RODC DMZ

hubble · Message par **hubble** » jeu. 04 juin 2015, 10:05

Bonjour,

Dans le cadre d'un projet , je dois créer un rodc dans une dmz.
Mais je ne suis pas vraiment sur de la faisabilité de la solution car la dmz protège de l'internet mais doit aussi répliquer avec le site central.
Le dessin seront plus parlant.
Pensez vous que l'architecture dessiné soit envisageable ?

Merci et bonne journée.

Message par **Timil** » jeu. 04 juin 2015, 11:15

Salut

Pourquoi?

Sans savoir votre objectif, impossible de vous dire si c'est ou pas une bonne idée.
De même, Afrique et Asie sont des domaines que vous gérez?

hubble · Message par **hubble** » jeu. 04 juin 2015, 11:18

Merci Timil pour ta reponse.

J'ai un mono domaine (central , afrique , asie....etc sont des sites AD)
Central contient les dc "centraux" avec tous les roles fsmo.
L'objectif du projet est de securiser les sites distant et d'avoir donc un rodc sur la dmz.

Merci pour tes conseils avisés.

hubble · Message par **hubble** » jeu. 04 juin 2015, 17:06

Pas simple comme archi...
je viens de la tester en lab et pour ma part, ce n'est pas possible de cette manière.

J'ai désactivé le kcc et fait mes liens de réplications manuellement mais les objets que je créé en Afrique ne sont pas répliquer sur le central et inversement. (Par contre tous les objets sur retrouvent sur le rodc)
Forcement car la réplication d'un rodc ne va que dans un sens. il ne peut donc pas être relais dans une DMZ.

Maintenant, savez vous si il est possible de faire passer le flux de réplication entre l'Afrique et le central (en passant dans la dmz) par un proxy par exemple ?

Merci par avance.

Message par **Timil** » jeu. 04 juin 2015, 17:19

Salut

Si les sites distants sont dans le même domaine, alors il faut que les contrôleurs de domaine aient un accès direct l'un a l'autre via les ports requis (Selon la méthode de lien de site choisi dans ton sites et domaine AD)
De plus un RODC ne sécurise PAS Active Directory, donc AD reste exposé en DMZ

La il vous faut un VPN quand même.

hubble · Message par **hubble** » jeu. 04 juin 2015, 17:23

J'ai deja des vpn , de l'encryption...de l'ipsec...
Sauf qu'on m'oblige a faire ca pour des questions de sécurité maximale.... dis toi que je bosse pour une joint-venture entre la nasa, la CIA et la plus grosse banque du monde

Bref, ils ont vu (dmz + AD) = RODC....
Donc RODC ne marche pas je dois faire passer le flux dans la dmz et faire répliquer mes dc... je vais m'arracher les cheveux...

A+ et merci

Message par **Timil** » jeu. 04 juin 2015, 17:33

Le client ne change rien a l'affaire. (quelques milliers de milliards, j'ai aussi ce genre de client

)

Le soucis est d'avoir un design étalé la ou il aurait fallu un design ségrégé.
D'ailleurs Microsoft pousse de plus en plus ce genre de design avec des sites qui sont des domaines enfants d'une organisation. Les sites sont plus a voir comme des étages d'un bâtiment ou des zones d'une ville que comme des sites distants de plusieurs km (d'ailleurs de moins en moins de produit ne supporte la géo résilience chez MS... seul AD, File et Exchange supporte encore ca, SQL c'est mort quelque soit le mode, Lync c'est pire, SharePoint n'en parlons pas)

Une meilleurs sécurité aurait été d'avoir un site central avec un root domaine, deux domaine enfants distant et un lien de site moins risqué entre eux... voir une fédération ADFS entre eux!

La DMZ n'apporte aucune sécurité quand on parle de connexion directe entre deux serveurs.

Voila ce que MS dit (c'est pas jeune, mais c'est beau

)
https://msdn.microsoft.com/en-us/librar ... 2147217396

hubble · Message par **hubble** » jeu. 11 juin 2015, 11:29

Merci Timil pour ton aide.

J'ai laissé tomber l’idée et on va plutôt partir sur un dc en mode Core.

par contre, Y a-t-il des possibilités pour limiter les range IP qui peuvent s’authentifier a un DC ?
Perso, je ne pense pas qu'on puisse le faire avec site et service ad, puisque ca gère les réplications

Message par **Timil** » jeu. 11 juin 2015, 11:55

Salut,

on va plutôt partir sur un dc en mode Core.

Ca ne que très peu le nombre de patch et de reboot (contrairement aux proclamations de MS) et c'est bien plus chiant a débugger

Y a-t-il des possibilités pour limiter les range IP qui peuvent s’authentifier a un DC ?

Au niveau du firewall qui est devant (pas le firewall MS) tu peux tout a fait bloquer ce trafic, c'est l'enfance de l'art pour ce genre de plateforme normalement.

Idéalement un site to site VPN aurait aussi limité la portée du risque.

hubble · Message par **hubble** » jeu. 11 juin 2015, 12:04

Effectivement le Core c'est chiant mais une fois en place, y a pas de raison de debugger , ni d'y toucher.
Il faut juste que je donne au service de sécurité des raisons de les payer....

Pour l'authentification, effectivement je pensais aussi au firewall mais je ne trouve pas cela judicieux non plus.
Si je perd mon dc dans la zone protégée, et que je ne peux pas m’authentifier sur la dmz, les utilisateur de la zone protégée ne pourront plus s'authentifier du tout...

A voir...

D’après toi, si je bloque juste le port Keberos, ça devrait suffire ?
Ou je peux laisser uniquement le port que j'ai paramétré pour la réplication dfsr ?

Coté Vpn, Oui il y a bien sur des site a site de partout crypté en tous ce que tu veux....

Merci encore pour ton expertise... je t'embauche quand tu veux

have a ncie day !

Message par **Timil** » jeu. 11 juin 2015, 14:09

Salut

Si je perd mon dc dans la zone protégée

Ben c'est la fin des haricots, c'est un DC quoi, c'est pas un WAP qui lui peut être perdu.

les utilisateur de la zone protégée ne pourront plus s'authentifier du tout

STOP, a aucun moment tu ne demandes que quelqu'un doive s'authentifié DANS la DMZ.
Tout ce que tu demandes est de laisser un partenaire de réplication aux DC distants qui sont dans le même domaine (en soi c'est déjà une faille majeur de sécurité ce design)

Si c'est "Juste" proposer de l'authentication dans la DMZ, le sujet change complétement!

D’après toi, si je bloque juste le port Keberos, ça devrait suffire ?

Non, bloque ANY, puisque de toute facon tu ne veux pas les voir, bloque 100% du trafic.

Ou je peux laisser uniquement le port que j'ai paramétré pour la réplication dfsr ?

Genre SMTP?

Si tu laisse un distant illégal accéder a ce port, que penses tu que la sécurité va en dire?

je t'embauche quand tu veux

Chiche, mais je suis pas donné

hubble · Message par **hubble** » jeu. 11 juin 2015, 15:06

Alors je vais enlever le mot DMZ car ca n'en ai pas vraiment une...

Voici ma conf actuel

et celle qui sera

On peut appeler ca une zone tampon... bien sur des firewall de partout...

Dans la zone tampon on place nos serveur d'infra... (replica wsus , veeam, syslog...) et dans la zone "afrique" les serveurs pur production.

j'ai donc besoin, dans la zone tampon, de m'authentifier aussi....

Projet interressant, design imposé...

Message par **Timil** » jeu. 11 juin 2015, 15:36

Réplication UPN?
Remplace par une fédération ADFS inter site.

Un peu plus chiant à configurer, mais tu supprimes (ou réduit) les risques de fuites en cas de tentative d'accès des externes.

Ton design demande que les users externes se connectent a ton site avec leur UPN propre, ca correspond exactement a ADFS pour moi

hubble · Message par **hubble** » jeu. 11 juin 2015, 15:53

putain je maitrise pas ADFS, j'avais passer le chapitre pour ma revision de la certif

hubble · Message par **hubble** » jeu. 11 juin 2015, 15:54

replication....
en dessous je mettais VPN site a site.. dans le dessin

Forum du laboratoire des technologies Microsoft

RODC DMZ

RODC DMZ

Re: RODC DMZ

Re: RODC DMZ

Re: RODC DMZ

Re: RODC DMZ

Re: RODC DMZ

Re: RODC DMZ

Re: RODC DMZ

Re: RODC DMZ

Re: RODC DMZ

Re: RODC DMZ

Re: RODC DMZ

Re: RODC DMZ

Re: RODC DMZ

Re: RODC DMZ