| Artículos | 01 ABR 2007

Controladores de Dominio en la DMZ

Tags: Histórico
Juan Blázquez.
Los beneficios que aporta el Directorio Activo para la gestión de usuarios pueden extenderse a los servicios externos con las necesarias garantías de seguridad. Sólo es necesario definir una estructura de dominio adecuada y una buena configuracion de los cortafuegos.

El Directorio Activo conforma la espina dorsal de la estructura de red en Windows. Entre sus múltiples aplicaciones y consiguientes beneficios, destaca, por méritos propios, el que pueda constituirse como el punto central de la gestión de usuarios para todos los servicios de red disponibles. El Directorio Activo puede ser la base de datos central en la que se almacenen las credenciales de usuario, no sólo para el inicio de sesión en red. Correo, acceso a bases de datos, acceso a páginas web y otros aplicativos variopintos pueden tomar este directorio como referencia para la validación de cuentas de usuario, aplicación de privilegios y otras características que puedan implementarse. Una realidad que cada día se cumple con más profusión, a medida que los desarrolladores descubren cómo aprovechar las facilidades de este servicio.
Normalmente, las cuentas de usuario creadas en el sistema identifican al personal de la organización y, en buena lógica, los controladores de dominio Windows, los depositarios del Directorio Activo, se despliegan dentro de los límites internos de la red, lejos de posibles intrusiones externas, a salvo de las amenazas del exterior. Sin embargo, la práctica plantea multitud de situaciones, de servicios, que requieren del manejo de cuentas de usuario para su funcionamiento. Servicios para el exterior que no se prestan de forma anónima, necesitan que quién acceda indique un nombre y contraseña para iniciar e interactuar con los aplicativos. En estas situaciones es corriente mantener sendas bases de usuario. Una, el Directorio Activo, donde se inscriben los usuarios internos. Una o varias, según los aplicativos puestos en marcha, donde se registran los usuarios que acceden desde el exterior a esos servicios. Cuando se aborda el diseño e implementación de estos servicios que se despliegan para el exterior en redes protegidas, rápidamente se descarta la posibilidad de apoyarse en el Directorio Activo de Windows. Por precaución y por las dificultades que conlleva el correcto funcionamiento del dominio de Windows cuando hay cortafuegos (Firewalls) de por medio. Así, es frecuente que por el buen funcionamiento y simplificación de las configuraciones, se prefieran las incomodidades que conlleva mantener distintas bases de datos de usuario. Aunque no es una configuración inmediata, a poco que se profundice en el funcionamiento del Directorio Activo de Microsoft, incluir en la rutina de gestión habitual a los usuarios externos dentro de este directorio se verá factible para aprovechar los beneficios que aporta utilizar un servicio estándar de estas características. Ir más allá de instalar controladores de dominio y configurar sites puede ser la diferencia con la que evitar diseñar estructuras de datos y procedimientos para gestionar cuentas de usuarios, así como eliminar la problemática de utilizar credenciales independientes en contexto, consolidación de contraseñas y otras “particularidades” por el estilo, que por sencillas de resolver, no por ello dejan de incordiar y quitar un tiempo precioso que poder dedicar a otros menesteres.
En un escenario típico para el despliegue de este tipo de servicios se suele plantear una topología basada en DMZ, zona desmilitariaza o red de apantallamiento. Una subred limitada en sus extremos por un cortafuego de control de seguridad, que marca la frontera entre el mundo externo (habitualmente internet) y el interno (la red propia). En esta subred es factible aprovechar los beneficios del Directorio Activo de Windows para validación y gestión de cuentas de usuario, con las suficientes garantías de seguridad y correcto funcionamiento, desplegando controladores de dominio, siguiendo dos modelos básicos que tratan de cubrir distintos requerimientos de funcionamiento y seguridad. Uno de ellos consiste en orquestar una estructura de bosques diferentes para distinguir a los usuarios externos de los internos. El otro es mantener un único bosque para todos los usuarios y diferenciar a estos mediante dominios independientes. Cada uno de estos escenarios se ajusta a una concepción distinta en la gestión de usuarios y seguridad de acceso a los recursos.

Controladores de dominio en la DMZ
Diferenciar los usuarios en una estructura de bosques Windows independientes es el modelo de despliegue que mayor grado de seguridad ofrece. Por definición, los límites de seguridad del Dominio Windows lo conforma el bosque. Según este modelo, la gestión de usuarios externos mediante el Directorio Activo se basa en fundar un bosque nuevo para ellos, una estructura de dominio independiente respecto al bosque que organiza la red interna. Un modelo que podría aplicarse, por ejemplo, en situaciones en las que se quiera dar acceso a clientes y proveedores para recursos de la red interna. Los usuarios quedarían claramente diferenciados y la visibilidad de los recursos vendría determinada por la propia estructura del sistema, en base a la pertenencia a bosque y, lo más importante, la oportuna relación de confianza que se establezca entre dominios.
Con esta estructura, a través del control de cortafuego que separa ambos mundos no es necesario preocuparse del tráfico de replicación entre los controladores de dominio, puesto que mantienen directorios distintos y no es necesario sincronizar datos entre ellos. El cortafuego debe definir reglas concretas que permita tráfico en los puertos utilizados por las aplicaciones que se ejecutan en la red de apantallamiento y que requieren recursos de la red interna. Estos puertos, obviamente, dependerán de estas aplicaciones, y nada se puede anticipar sin saber cuáles son estos programas y los protocolos que utilizan. Adicionalmente, hay que considerar filtros que permitan el tráfico Windows para que la confianza entre dominios se aplique correctamente. Así, se necesita permitir el tráfico de Kerberos, puerto 88 para TCP y UDP. LDAP, que opera en el puerto 389, tanto en TCP como en UDP, así como el puerto 636 en TCP si se utiliza este protocolo de consulta de directorio sobre SSL. SMB también esta presente en estas comunicaciones, aunque sean IP, y se necesita habilitar el puerto 445 en TCP y UDP. Por último, la resolución de nombres DNS, que utiliza el archiconocido puerto 53, también en TCP-UDP. Además de estos protocolos, es interesante observar el comportamiento de RPC, para el servicio de inicio de sesión en red, Net Logon, puesto que Windows utiliza un rango reducido de puertos dinámicos aleatorios que pueden dar algunos problemas en el filtrado del cortafuego. Para tener controlados estos puertos, se puede modificar el registro de los controladores de dominio para establecerlos de forma fija. Dentro del registro de Windows, en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Internet\, hay que añadir, si no existe, el valor “Ports”=[REG_MULTI_SZ:Puerto-Puerto], donde se establece un rango de al menos 20 puertos, fijando el inferior y superior. De esta forma, los puertos que se abren por RPC serán conocidos y se podrán controlar en los filtros del cortafuego. Se puede encontrar más información al respecto consultando el documento de la base de conocimiento de Microsoft 154596.
La autenticación de los usuarios externos se produce dentro del área de la DMZ. Los equipos y servic

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información