[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:11715]Re: DMZ でのドメイン認証
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:11715]Re: DMZ でのドメイン認証
- From: hamamoto <hamamoto@xxxxxxxxxxxxxxxxx>
- Date: Tue, 28 Aug 2007 14:26:36 +0900 (JST)
はまもとです。
亀レスですが・・・
On Fri, 10 Aug 2007 18:24:05 +0900 (JST)
Murashima Syuichi <mura@xxxxxxxx> wrote:
> Windows な話題で恐縮なのですが、こんな事を考えています。
>
> 皆様のご意見を頂けますでしょうか?
>
> # そもそも Windows を使う事がナンセンスってのはナシで ^^;
ナンセンス方向のレスで。
いまだと、フロントにWindowsを持ってくるよりは、SSL VPN装置付きのFirewallか
なにかで、ADのユーザ認証と連携と言うのが、現実的なんじゃないかなぁとおもいます。
セキュリティ製品でも脆弱性が報告されている時代ですし・・・
http://www.atmarkit.co.jp/news/200708/23/tcp5136.html
壊れたら、フル交換で復旧できるし、Windowsでちゃんとしたサーバ立てるよりは安く
つきますしね。
Windows Serverも安くなったとはいえ、メーカ製 1UでSCSI RAID構成、3年保障だと
50万円以上しますし、下手にWindowsでサーバ立てるよりアプライアンスのほうが管理
の手間が楽なんじゃないかと思います。
> DMZでのドメイン認証
>
> 1 必要性
> 社員向けのWebページ提供や、VPNゲートウェイだけではなく、
> Windows Server 2008 で実装されるTS-Gateway(ターミナルサービスを
> SSLで飛ばして、ゲートウェイでネイティブポートに変換する)等DMZで
> の Active Direcoty 認証の必要性は今後増え続けると予想されます。
> ところが、これらインターネット側からアクセスが許されているサー
> バはクラッキングの危険性が常につきまとい、ドメインメンバーとして
> 稼働している DMZ サーバが陥落した場合、最悪 Active Directory が
> 汚染(改ざん、破壊等)される危険性有ります。
> このようなリスクを無くし、DMZ で安全にドメイン認証できる仕組み
> が必要なのではないかと考えています。
>
> 2 望ましい姿
> ISA(MSのファイヤウォール製品)やファイヤウォール製品を駆使すれ
> ば安全に DMZ でのドメイン認証をする事は可能ですが、中小規模の企
> 業の場合は費用的にもスキル的にも敷居が高く現実的ではありません。
> RODC(2008で提供される読み取り専用ドメインコントローラ)はコンセ
> プトが違うし、ADFS(2003 R2で実装されたドメイン境界を越えた認証)
> が比較的近いところに位置していますがちょっと違うかなと。
>
> この条件を考えると、Standard Edition の標準機能で実現できる事
> が望ましいです。
> 更に、各サービスレベルでは特別な操作が必要なく、ドメインメンバ
> ーと同様に扱えるのが望ましいですね。
> 更に、数多くの通信ポートやダイナミックマッピングを使うのではな
> く、1つあるいは少数ポートで通信をして、ファイヤウォールでは特定
> ポートだけを開いておけば良いようになって欲しいです。通信は暗号化
> されているのが良いでしょう。
>
> 一番大切なのは、万が一 DMZ に配置したサーバが陥落して、ドメイ
> ン管理権限アカウントのパスワードが解読されたとしても、Active
> Directory に対しては一切影響を与える事が出来ない読み取り専用の仕
> 組みである必要があります。
>
> 総当たりでパスワードを解読する手口には、間違い回数でロックする
> 現在の仕様で対抗できると考えます。
>
> 3 例えばこんな実装で
> DMZ に配置するドメインメンバーは、通常のドメイン参加ではなく、
> ドメインが発行した X.509 証明書(ドメイン内に証明機関があれば、そ
> ちらから発行)を手動ストア方式にすれば、外部から許可無しでドメイ
> ンメンバーに参加されるリスクは軽減できそうです。通信も、この証明
> 書で暗号化すれば一石二鳥かな。
>
> ただし、X.509 の有効期限が切れる都度に証明書を手動ストアするの
> は現実的ではないので、証明書自動更新の仕掛けが必要かもです。
>
> DMZ 上のサーバのサーバも GPO(グループポリシー)で管理できる必要
> はあまりないと思われる(個別にセキュリティ設定をする)ので、GPO の
> 対象外でも大した問題は無いかも...
>
> X.509 証明書を使ってドメインメンバーになったサーバからの
> Active Directory 更新リクエストは一切受け付けないって仕掛けにな
> れば(通信ポートも違う事だし)、DMZ 上で安全に Active Directory 認
> 証が出来ると思います。
>
>
> 如何でしょうか?
>
> --
> MURA
> http://www.vwnet.jp
> mailto:mura@xxxxxxxx
>
> 【MLコミュホームページ】http://www.freeml.com/connect24h
>
> --[PR]------------------------------------------------------------------
> 一円で会社設立できる!イーネットの1000名以上の専門家が全国をサポート!
> ┏━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┓
> ┃ア┃ナ┃タ┃に┃ピ┃ッ┃タ┃リ┃の┃税┃理┃士┃を┃探┃せ┃!┃
> ┗━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┛
> http://acnw.jp/oJ0M/cT2j/
> ------------------------------------------------------------------[PR]--
> ■GMO INTERNET GROUP■ GMO INTERNET www.gmo.jp
>
+---------------------------------------------------------------------
| はまもと(Microsoft MVP Windows - Security)
| ■地域密着型情報セキュリティ勉強会
| セキュリティもみじblog
| http://d.hatena.ne.jp/sec-momiji/
| セキュリティもみじメーリングリスト
| http://www.freeml.com/info/sec-momiji@xxxxxxxxxx
| ■ハニーポッターの部屋
| http://d.hatena.ne.jp/connect24h/
| ■24 時間常時接続メーリングリスト「connect24h」開催中
| http://www.freeml.com/info/connect24h@xxxxxxxxxx
| ■セカンダリDNS互助会
| http://d.hatena.ne.jp/connect24h/20000307
+----------------------------------------------------------------------
【MLコミュホームページ】http://www.freeml.com/connect24h
--[PR]------------------------------------------------------------------
「アロマの資格って?」┃ *~*今話題のアロマコーディネーター:*~*
━━━━━━━━━━━┛ 【日本アロマコーディネータースクール】
◇━自然の香りエッセンスの知識で豊かなライフスタイルを実現!━◇
http://ad.freeml.com/cgi-bin/sa.cgi?id=ahxuU
------------------------------------------------------------------[PR]--
■GMO INTERNET GROUP■ GMO INTERNET www.gmo.jp