Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » AD + firewall (or RPC VS static range ports)

Ответить
Настройки темы
AD + firewall (or RPC VS static range ports)

Аватара для Kobzar

Пользователь


Сообщения: 96
Благодарности: 2

Профиль | Отправить PM | Цитировать

Изменения
Автор: Kobzar
Дата: 02-06-2011
Описание: ошибка
Добрый день коллеги. Вопрос из еженедельника "А х... его знает..."
Итак, есть доменная сеть, отлаженная и работающая.
Появилась необходимость обезопасить сеть до безобразия, а именно - оставить открытыми только порты необходимые для работы -
остальное заблокировать. Закрываем все фаерволом и для работы нашего домена и нужных служб открываем следующий перечень портов:
ad_ports=53 67:68 88 123 135:139 389 3389 445 475 464 636 750 1026 3268:3269 9100
Обьяснять для чего какой порт нужен не буду, можно всегда прочитать тут:
Тыцать тут
И вот вроде бы все как раз должно работать... Но!
Гребанный майкрософт, для которого безопасность это что-то из разряда космоса, настоятельно рекомендует
для работы RPC открывать совсем небольшой диапазон портов:
RPC randomly allocated high TCP ports
TCP 1024 - 65535
49152 - 65535²
Что согласитесь практически приравнивается правилу открыть всем и все !
Вот хотелось бы найти как сделать следующее:
1.Ограничить диапазон портов RPC до минимума
2.Сделать это глобально без заморочек с конечными пользователями
Пока удалось нарыть только это: Тыцать тут
Если были люди которые занимались подобным - буду благодарен за любые подсказки по делу.
Прошу людей не понимающих сути вопроса или предлагающих не заниматься чепухой - не флудить!
Заранее спасибо !

Отправлено: 15:59, 02-06-2011

 
QRS QRS вне форума

Ветеран


Сообщения: 630
Благодарности: 111

Профиль | Отправить PM | Цитировать

Kobzar, а от кого и что Вы планируете защищать?

Если Вам просто нужно блокировать лишние порты на серверах, так это Security Configuration Wizard .

Если защищаетесь от внешних угроз, так это шлюз с firewall, NAT и VPN делает... да и порты RPC там не открываются.

Если Вам нужно защититься от подключившихся к Вашей локалке врагов, так это либо 802.1x, либо Domain IPSec (или NAP в качестве большого framework).

PS: Предлагаю сформулировать задачу, начиная с модели угроз (т.е. кого боимся и что он может сделать).
PS2: также интересна инфраструктура сети - какие ОС на серверах и клиентах, если ли управляемые коммутаторы и т.п. (что по теме будет).
Это сообщение посчитали полезным следующие участники:

Отправлено: 23:13, 02-06-2011 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Ветеран


Сообщения: 4900
Благодарности: 496

Профиль | Сайт | Отправить PM | Цитировать

Kobzar,
Сама Мicrosoft советует во внутренней сети не использовать брандмауэры (firewall), а защищаться лишь от внешнего доступа.

-------
Если сообщение оказалось полезным, нажмите, пожалуйста, соответствующую кнопку.

Это сообщение посчитали полезным следующие участники:

Отправлено: 12:28, 03-06-2011 | #3

QRS QRS вне форума

Ветеран


Сообщения: 630
Благодарности: 111

Профиль | Отправить PM | Цитировать

Цитата monkkey:
Сама Мicrosoft советует во внутренней сети не использовать брандмауэры (firewall), а защищаться лишь от внешнего доступа. »
Честно говоря, подобных рекомендаций не встречал, да и наличие domain профиля в firewall наводит на сомнения...

monkkey, а можно proof-link на эту тему?

Отправлено: 21:21, 03-06-2011 | #4


Новый участник


Сообщения: 1
Благодарности: 0

Профиль | Отправить PM | Цитировать

Я столкнулся с проблемой невоззможности залогиниться в домен, где КД за файерволом. Помогла

ссылка такая вот

Отправлено: 21:00, 04-06-2011 | #5


Ветеран


Сообщения: 4900
Благодарности: 496

Профиль | Сайт | Отправить PM | Цитировать

QRS,
Полчаса потратил на поиски; пока еще не нашел proof-link.
- Вы видите суслика?
- Нет!
- А он есть!

-------
Если сообщение оказалось полезным, нажмите, пожалуйста, соответствующую кнопку.

Отправлено: 13:20, 06-06-2011 | #6


Новый участник


Сообщения: 2
Благодарности: 1

Профиль | Отправить PM | Цитировать

Kobzar, друг, скажи, получилось у тебя сабж побороть? вот сейчас столкнулся с тем же самым...

Отправлено: 18:58, 05-06-2012 | #7

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать

Цитата QRS:
Честно говоря, подобных рекомендаций не встречал »
присоединяюсь. не видел рекомендаций отключать фаерволл внутри сети... при этом суслики да, есть.
по теме - первый ответ дал много информации для автора.

-------
Вежливый клиент всегда прав!

Отправлено: 20:17, 05-06-2012 | #8



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » AD + firewall (or RPC VS static range ports)

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
7 / 2008 R2 - unattend static ip vase Автоматическая установка Windows 11 / 10 / 8 / 7 / Vista 0 02-05-2011 02:54
out of range usappva Непонятные проблемы с Железом 11 12-02-2010 08:17
Win32 API - Прозрачный STATIC текст Maksim V Программирование и базы данных 8 19-11-2009 03:35
OUT OF RANGE!? La3aH Непонятные проблемы с Железом 14 14-06-2007 19:46
static route Guest Общий по Linux 7 16-02-2004 10:04


« Предыдущая тема | Следующая тема »


 
Переход