Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   AD + firewall (or RPC VS static range ports) (http://forum.oszone.net/showthread.php?t=208095)

Kobzar 02-06-2011 15:59 1687140
AD + firewall (or RPC VS static range ports)
 
Добрый день коллеги. Вопрос из еженедельника "А х... его знает..."
Итак, есть доменная сеть, отлаженная и работающая.
Появилась необходимость обезопасить сеть до безобразия, а именно - оставить открытыми только порты необходимые для работы -
остальное заблокировать. Закрываем все фаерволом и для работы нашего домена и нужных служб открываем следующий перечень портов:
ad_ports=53 67:68 88 123 135:139 389 3389 445 475 464 636 750 1026 3268:3269 9100
Обьяснять для чего какой порт нужен не буду, можно всегда прочитать тут:
Тыцать тут
И вот вроде бы все как раз должно работать... Но!
Гребанный майкрософт, для которого безопасность это что-то из разряда космоса, настоятельно рекомендует
для работы RPC открывать совсем небольшой диапазон портов:
RPC randomly allocated high TCP ports
TCP 1024 - 65535
49152 - 65535²
Что согласитесь практически приравнивается правилу открыть всем и все !
Вот хотелось бы найти как сделать следующее:
1.Ограничить диапазон портов RPC до минимума
2.Сделать это глобально без заморочек с конечными пользователями
Пока удалось нарыть только это: Тыцать тут
Если были люди которые занимались подобным - буду благодарен за любые подсказки по делу.
Прошу людей не понимающих сути вопроса или предлагающих не заниматься чепухой - не флудить!
Заранее спасибо !

QRS 02-06-2011 23:13 1687398
Kobzar, а от кого и что Вы планируете защищать?

Если Вам просто нужно блокировать лишние порты на серверах, так это Security Configuration Wizard .

Если защищаетесь от внешних угроз, так это шлюз с firewall, NAT и VPN делает... да и порты RPC там не открываются.

Если Вам нужно защититься от подключившихся к Вашей локалке врагов, так это либо 802.1x, либо Domain IPSec (или NAP в качестве большого framework).

PS: Предлагаю сформулировать задачу, начиная с модели угроз (т.е. кого боимся и что он может сделать).
PS2: также интересна инфраструктура сети - какие ОС на серверах и клиентах, если ли управляемые коммутаторы и т.п. (что по теме будет).

monkkey 03-06-2011 12:28 1687693
Kobzar,
Сама Мicrosoft советует во внутренней сети не использовать брандмауэры (firewall), а защищаться лишь от внешнего доступа.

QRS 03-06-2011 21:21 1688032
Цитата:
Цитата monkkey
Сама Мicrosoft советует во внутренней сети не использовать брандмауэры (firewall), а защищаться лишь от внешнего доступа. »
Честно говоря, подобных рекомендаций не встречал, да и наличие domain профиля в firewall наводит на сомнения...

monkkey, а можно proof-link на эту тему?

Aldoos 04-06-2011 21:00 1688491
Я столкнулся с проблемой невоззможности залогиниться в домен, где КД за файерволом. Помогла

ссылка такая вот

monkkey 06-06-2011 13:20 1689261
QRS,
Полчаса потратил на поиски; пока еще не нашел proof-link.
- Вы видите суслика?
- Нет!
- А он есть!

militar123 05-06-2012 18:58 1928687
Kobzar, друг, скажи, получилось у тебя сабж побороть? вот сейчас столкнулся с тем же самым...

exo 05-06-2012 20:17 1928738
Цитата:
Цитата QRS
Честно говоря, подобных рекомендаций не встречал »
присоединяюсь. не видел рекомендаций отключать фаерволл внутри сети... при этом суслики да, есть.
по теме - первый ответ дал много информации для автора.


Время: 19:52.

Время: 19:52.
© OSzone.net 2001-