20T34 Czy Twój DMZ Jest Bezpieczny

Linki do artykułów omawianych w odcinku:

Proces akceptacji dostępu gościnnego przez sponsora:

https://community.arubanetworks.com/t5/Security/Guest-Captive-Portal-sponsor-approval-architecture/td-p/267625

Integracja Radiusa z AD:

https://www.arubanetworks.com/techdocs/ClearPass/6.8/Aruba_DeployGd_HTML/Content/802.1X%20Authentication/8021X_About.htm

AD w DMZ (Perimeter):

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd728034(v=ws.10)?redirectedfrom=MSDN

Jak połączyć integrację z Actie Directory systemu oraz portalu gościa umieszczonego w DMZ’cie?

Przedstawiam w tym odcinku jeden z możliwych wariantów odpowiedzi na powyższe pytanie.

Przeglądałem niedawno webinar dotyczący bezpieczeństwa DMZ i przypomnienie o zasadzie braku możliwości połączenia od DMZ do sieci wewnętrznej, uświadomiło mi ciekawe pytanie.

Jak można zaprojektować portal gościnny (w założeniu dostępny tylko w DMZ), jednocześnie korzystając z popularnego scenariusza odstępu gościnnego w oparciu o rolę sponsora?

Okazuje się że można, a problem ten jest szerszy i Microsoft opracował metodę implementacji kontrolera domeny w strefach DMZ.

W największym skrócie chodzi o ograniczenie możliwości zapisu do kontrolera domeny w DMZ ,oraz ograniczenie dostępnych informacji w takim wyniesionym AD, do niezbędnego minimum.

Najważniejsze zagadnienia:

👉Ruch do DMZ możliwy tylko od strony publicznej lub bezpiecznej firmowej

👉Umieszczenie AD w DMZ w formie tylko do odczytu ROAD

👉Integracja systemu w DMZ (w moim przykłacie Radius) z AD

#netadminpro_pl #networksecurity

Chcesz więcej informacji?

Dołącz do naszej strony fanów na Facebook:

Grupa na facebooku

Więcej miejsc do posłuchania:

Transkrypcja filmu:

1
00:00:02,020 –> 00:00:05,560
Cześć. Czy Twój DMZ jest bezpieczny?

2
00:00:05,560 –> 00:00:09,600
Nad tym pytaniem się dzisiaj pochylę i odpowiem

3
00:00:09,820 –> 00:00:12,880
jak widzę tą sytuację

4
00:00:12,880 –> 00:00:16,800
i co ciekawe, jest to dla wielu osób bardzo zaskakujące,

5
00:00:17,100 –> 00:00:21,140
dla mnie odkrycie problemu z DMZ-etem również było.

6
00:00:21,440 –> 00:00:25,160
Zacznę jednak od opisania scenariusza.

Czy Twój DMZ Jest Bezpieczny

7
00:00:25,160 –> 00:00:28,920
Ja napotkałem to pytanie i było ono związane

8
00:00:29,100 –> 00:00:32,580
z projektowaniem przeze mnie dostępu gościnnego

9
00:00:32,580 –> 00:00:35,800
i system, który ma świadczyć captive portal,

10
00:00:35,800 –> 00:00:38,920
w tym dostępie, oczywiście będzie w DMZ-ecie.

11
00:00:39,480 –> 00:00:42,880
W scenariuszu o którym mówię, chciałem żeby

12
00:00:42,880 –> 00:00:45,780
ten dostęp gościnny był oparty

13
00:00:45,780 –> 00:00:49,280
o portal autorejestracji gościa

14
00:00:49,660 –> 00:00:51,740
i zatwierdzeniu sponsora.

15
00:00:52,100 –> 00:00:54,120
Żeby to było możliwe,

16
00:00:54,120 –> 00:00:57,400
to musi być zintegrowany ten portal, stojący w DMZ-ecie

17
00:00:57,880 –> 00:00:59,820
z active directem.

18
00:00:59,820 –> 00:01:05,440
Żeby to lepiej pokazać, spójrz na ekran, który to dobrze obrazuje.

19
00:01:05,440 –> 00:01:07,800
Tutaj przykład takiego połączenia,

20
00:01:07,800 –> 00:01:10,700
czyli spójrz tutaj na rysunek, który

21
00:01:10,720 –> 00:01:13,160
teraz przedstawiam.

22
00:01:13,160 –> 00:01:16,600
Mamy clearpassa, czyli system radiusowy.

23
00:01:17,100 –> 00:01:19,480
Mamy kontroler bezprzewodowy

24
00:01:19,480 –> 00:01:23,060
no i mamy klienta. Czyli ten klient łączy się przez kontroler

25
00:01:23,100 –> 00:01:25,520
do systemu radius.

26
00:01:25,520 –> 00:01:28,560
W tym przykładzie, akurat tutaj jest pokazane 802.1x,

27
00:01:28,560 –> 00:01:33,100
ale ten sposób jest dokładnie taki sam, jeżeli mówimy o dostępie gościnnym

28
00:01:33,100 –> 00:01:36,000
i co ważne, po prawej stronie tego

29
00:01:36,000 –> 00:01:38,940
radiusa, mamy integrację z active directory.

30
00:01:38,940 –> 00:01:41,760
Czyli tak standardowo wygląda

31
00:01:41,760 –> 00:01:43,580
typowy proces

32
00:01:43,585 –> 00:01:46,205
tego połączenia całego środowiska.

33
00:01:46,205 –> 00:01:49,285
Oczywiście w active directory mamy użytkownika, hasło

34
00:01:49,285 –> 00:01:52,920
i inne atrybuty, które się wiążą z użytkownikami.

35
00:01:53,260 –> 00:01:57,200
Okej, teraz przejdę do procesu

36
00:01:57,200 –> 00:02:00,880
jak wygląda ten cały proces rejestracji

37
00:02:00,880 –> 00:02:02,860
tego gościa,

38
00:02:02,860 –> 00:02:05,680
w przypadku zatwierdzenia przez sponsora.

39
00:02:05,680 –> 00:02:07,420
Czyli mamy krok pierwszy.

40
00:02:07,420 –> 00:02:09,720
Najpierw gość wypełnia,

41
00:02:09,720 –> 00:02:12,640
na captive portalu, który jest w moim przypadku w DMZ-ecie,

42
00:02:12,660 –> 00:02:14,880
wypełnia swoje dane,

43
00:02:14,880 –> 00:02:17,920
które są związane ze stworzeniem konta.

44
00:02:17,920 –> 00:02:21,100
Sponsorem jest tutaj pracownik domenowy,

45
00:02:21,100 –> 00:02:23,340
czyli użytkownik, który ma konto w domenie.

46
00:02:23,705 –> 00:02:26,785
Tak i przypomnę, że tutaj połączenie tego

47
00:02:26,785 –> 00:02:29,945
Dmz-etu i domeny, jest problematyczne.

48
00:02:29,945 –> 00:02:32,280
Będę to jeszcze za chwilę bardziej rozwijał.

49
00:02:32,280 –> 00:02:35,480
Ten sponsor dostaje maila

50
00:02:35,480 –> 00:02:37,940
z możliwością zatwierdzenia tego konta.

51
00:02:38,160 –> 00:02:43,460
Oczywiście ten sponsor wynika, jego tożsamość z tego, że ma

52
00:02:43,460 –> 00:02:45,440
swoje konto założone w domenie.

53
00:02:45,440 –> 00:02:47,880
No i, jeżeli sponsor zatwierdzi ten dostęp,

54
00:02:47,880 –> 00:02:52,200
to w trzecim kroku mamy stworzenie konta lokalnie,

55
00:02:52,200 –> 00:02:55,140
na systemie radiusowym, który jest zintegrowany

56
00:02:55,140 –> 00:02:56,600
z captive portalem.

57
00:02:56,600 –> 00:02:59,460
Czyli tak wygląda ten cały proces.

58
00:02:59,460 –> 00:03:01,620
Okej, jak teraz już rozumiesz w jaki sposób

59
00:03:01,620 –> 00:03:04,420
ten dostęp gościnny, w dużym skócie, działa,

60
00:03:04,540 –> 00:03:07,440
to , to co jest sednem dzisiejszego odcinka, to jest

61
00:03:07,440 –> 00:03:09,920
temat, jak w DMZ-ecie

62
00:03:09,920 –> 00:03:12,300
stworzyć ten captive portal

63
00:03:12,300 –> 00:03:15,500
jednocześnie integrując go z domeną, która jest

64
00:03:15,500 –> 00:03:19,240
po stronie zaufanej naszej sieci firmowej.

65
00:03:19,580 –> 00:03:22,580
A tak jest u większości klientów.

66
00:03:22,585 –> 00:03:24,955
Jeżeli zostawimy ten cały schemat

67
00:03:24,955 –> 00:03:27,895
w takim formacie, jak przed chwilą pokazałem,

68
00:03:27,895 –> 00:03:31,145
oznacza to że łamiemy podstawową zasadę DMZ-tu,

69
00:03:31,175 –> 00:03:34,385
czyli nasz system radiusowy, który świadczy captive portal,

70
00:03:34,385 –> 00:03:37,495
musi się połączyć do systemu

71
00:03:37,540 –> 00:03:40,060
domeny, który jest po stronie zaufanej.

72
00:03:40,060 –> 00:03:43,880
Czyli zezwalamy na firewallu wewnętrznym w DMZ-ecie

73
00:03:43,880 –> 00:03:48,000
na połączenie do systemów wewnątrz naszej firmy.

74
00:03:48,300 –> 00:03:50,480
To oczywiście nie jest dobra praktyka.

75
00:03:50,480 –> 00:03:54,000
Zacząłem więc szukać, jaka jest najlepsza metoda

76
00:03:54,220 –> 00:03:56,940
zrealizowania jednocześnie tego

77
00:03:56,940 –> 00:04:00,500
systemu, w moim przypadku dostępu gościnnego, który jest w DMZ-ecie,

78
00:04:00,865 –> 00:04:04,055
integracji z domeną, czyli żeby zachować możliwość

79
00:04:04,060 –> 00:04:08,200
integracji z centralną bazą użytkowników domenowych,

80
00:04:08,440 –> 00:04:12,120
ale jednocześnie nie łamać tego bezpieczeństwa DMZ-tu.

81
00:04:12,120 –> 00:04:14,400
Czyli, żeby móc

82
00:04:14,620 –> 00:04:18,280
funkcjonalność zachować, nie pogarszając poziomu bezpieczeństwa.

83
00:04:18,560 –> 00:04:23,160
I okazuje się, że Microsoft stworzył taką formułę

84
00:04:23,180 –> 00:04:26,220
wyniesionego kontrolera domeny

85
00:04:26,225 –> 00:04:28,935
właśnie do takich środowisk jak DMZ.

86
00:04:28,935 –> 00:04:31,855
Po to, żeby móc dostarczać tą funkcjonalność

87
00:04:31,860 –> 00:04:35,260
centralnego użytkownika czy centralnej bazy użytkowników

88
00:04:35,260 –> 00:04:38,520
dla systemów, które w DMZ-ecie stoją.

89
00:04:38,960 –> 00:04:43,080
Popatrz tutaj dobrze, w tym artykule, który za chwilę pokażę,

90
00:04:43,080 –> 00:04:45,080
jest pokazane, jaka jest idea

91
00:04:45,085 –> 00:04:48,075
stojąca za propozycją Microsoftu

92
00:04:48,080 –> 00:04:51,980
instalacji wyniesionego kontrolera domeny w DMZ-ecie.

93
00:04:52,100 –> 00:04:54,840
Jak widzisz na pokazanym tutaj rysunku,

94
00:04:54,840 –> 00:04:57,180
mamy po prawej stronie Intranet,

95
00:04:57,180 –> 00:04:59,260
czyli naszą sieć zaufaną.

96
00:04:59,260 –> 00:05:01,700
W środku Perimeter network,

97
00:05:01,700 –> 00:05:03,760
czyli w naszym przypadku to jest DMZ

98
00:05:03,760 –> 00:05:05,500
i po lewej stronie Internet.

99
00:05:05,500 –> 00:05:09,340
Czyli naszych użytkowników poza siecią firmową.

100
00:05:09,340 –> 00:05:12,920
W moim scenariuszu ten Internet to są użytkownicy

101
00:05:12,920 –> 00:05:15,360
gościnni, czyli oni są przekierowywani

102
00:05:15,360 –> 00:05:18,180
na portal gościnny, który jest umiejscowiony tutaj,

103
00:05:18,180 –> 00:05:20,060
w tym Perimeter network

104
00:05:20,060 –> 00:05:22,760
i jeżeli przeczytasz sobie

105
00:05:22,760 –> 00:05:25,580
tą rekomendację, którą tutaj pokazuję,

106
00:05:25,580 –> 00:05:28,380
ja link oczywiście dołączę do

107
00:05:28,440 –> 00:05:32,040
tego wideo, będzie umieszczony pod wideo.

108
00:05:32,040 –> 00:05:35,940
To, mamy tutaj domenę, która jest po prawej stronie.

109
00:05:35,940 –> 00:05:38,920
Mamy serwer domenowy, który jest w DMZ-ecie.

110
00:05:38,920 –> 00:05:40,860
I zwróć uwagę na te strzałki.

111
00:05:40,885 –> 00:05:44,335
Czyli nasza domena zaufana

112
00:05:44,360 –> 00:05:49,000
wysyła informacje do serwera domenowego, który stoi w DMZ-ecie.

113
00:05:49,000 –> 00:05:50,940
Ale ten serwer DMZ-owy

114
00:05:50,940 –> 00:05:55,100
nie łączy się z powrotem do naszego

115
00:05:55,200 –> 00:05:58,740
centralnego kontrolera domeny, czyli do Intranetu.

116
00:05:59,360 –> 00:06:05,340
Tu jest łączność tylko od wewnątrz, od strefy bardziej zaufanej do strefy mniej zaufanej.

117
00:06:05,540 –> 00:06:11,560
I to jest scenariusz, w którym możemy zapewnić tą funkcjonalność dostępu gościnnego,

118
00:06:11,660 –> 00:06:16,540
jednocześnie utrzymując poziom bezpieczeństwa w DMZ-ecie.

119
00:06:16,820 –> 00:06:20,360
Czyli jest taka możliwość, żeby zrealizować funkcjonalnie

120
00:06:21,060 –> 00:06:24,220
dany system, stojący w DMZ-ecie,

121
00:06:24,260 –> 00:06:27,295
i jednocześnie móc korzystać

122
00:06:27,300 –> 00:06:29,940
z tych domenowych kont, które są

123
00:06:29,940 –> 00:06:32,300
w naszej centralnej bazie użytkowników.

124
00:06:32,300 –> 00:06:37,060
Jeżeli jesteś zainteresowany większą ilością szczegółów, dotyczącą jak to zrobić,

125
00:06:37,060 –> 00:06:40,340
umieszczę szczegółowy link do dokumentu,

126
00:06:40,340 –> 00:06:42,245
pod tym wideo,

127
00:06:42,245 –> 00:06:44,680
jak również pozostałe materiały,

128
00:06:44,680 –> 00:06:48,160
które dzisiaj pokazywałem, linki do stron będą dostępne.

129
00:06:48,300 –> 00:06:52,040
Jeżeli masz jakieś pytanie do tego tematu,

130
00:06:52,040 –> 00:06:55,240
to chętnie na nie odpowiem, zadaj je w komentarzu

131
00:06:55,240 –> 00:06:58,820
i widzimy się już za tydzień. Do zobaczenia.