{"id":3279,"date":"2016-11-30T16:19:25","date_gmt":"2016-11-30T19:19:25","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=3279"},"modified":"2018-01-16T15:54:45","modified_gmt":"2018-01-16T18:54:45","slug":"active-directory-domain-services-ad-ds-en-una-dmz","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=3279","title":{"rendered":"Active Directory Domain Services (AD DS) en una DMZ?"},"content":{"rendered":"<p align=\"justify\"> A menudo tenemos clientes que implementan aplicaciones Web Active Directory en una DMZ que aloja servidores web orientados al p\u00fablico. Estas aplicaciones suelen tener acceso a un Active Directory interno detr\u00e1s del firewall y autentican a los usuarios del dominio de Active Directory interno.<\/p>\n<p align=\"justify\">Esto puede presentar un mayor riesgo de seguridad sobre los servidores web internos y tenemos algunas pautas para elegir el modelo mejor y m\u00e1s seguro de implementaci\u00f3n para este escenario. Al implementar Active Directory en una DMZ, es importante utilizar las mejores pr\u00e1cticas.<\/p>\n<p align=\"justify\">Hemos completado algunas investigaciones para determinar estas pr\u00e1cticas recomendadas para configurar aplicaciones web en la DMZ que utilizan la autenticaci\u00f3n integrada de Windows en IIS y acceder a Active Directory internamente detr\u00e1s del firewall. Algunas preguntas simples podr\u00edan ser:<\/p>\n<ul>\n<li>\n<div align=\"justify\">Hay cuatro modelos de implementaci\u00f3n: Sin AD (servidor de grupo de trabajo independiente con solo cuentas locales); Isolated forest model (Modelo de bosque aislado); Extended corporate forest model (Modelo de bosque corporativo extendido) y Forest trust model (Modelo de confianza del forest).<\/div>\n<\/li>\n<li>\n<div align=\"justify\">No puede ejecutar la mayor\u00eda de las aplicaciones habilitadas para AD en servidores de grupo de trabajo independientes de Windows en la DMZ.<\/div>\n<\/li>\n<li>\n<div align=\"justify\">Dispone de varios modelos de arquitectura para permitir el acceso seguro desde una DMZ.<\/div>\n<\/li>\n<li>\n<div align=\"justify\">El modelo de bosque aislado y el modelo de bosque corporativo extendido que utiliza controladores de dominio de s\u00f3lo lectura (RODC, Read Only Domain Controllers) proporcionan los riesgos de seguridad m\u00e1s bajos.<\/div>\n<\/li>\n<li>\n<div align=\"justify\">Todos los modelos se pueden endurecer para proporcionar una seguridad excelente.<\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\">Les recomiendo ver la nota de TechNet <a href=\"https:\/\/technet.microsoft.com\/en-us\/library\/dd728034(v=ws.10).aspx\">Active Directory Domain Services in the Perimeter Network (Windows Server 2008)<\/a> que nos proporciona toda la informaci\u00f3n necesaria para implementar con seguridad las aplicaciones web habilitadas para AD en la DMZ. Igualmente no deja de ser una discusi\u00f3n interesante que van a tener que tener con Seguridad Inform\u00e1tica (cuenten su experiencia y la publicare).<\/p>\n<p align=\"justify\">Espero les sea de inter\u00e9s. Saludos. Roberto Di Lello<\/p>\n","protected":false},"excerpt":{"rendered":"<p>A menudo tenemos clientes que implementan aplicaciones Web Active Directory en una DMZ que aloja&#8230;<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[281],"tags":[217,290],"class_list":["post-3279","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-281","tag-ad-domain-services","tag-windows-server-2016"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3279","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3279"}],"version-history":[{"count":1,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3279\/revisions"}],"predecessor-version":[{"id":3280,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3279\/revisions\/3280"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3279"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3279"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3279"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}