VMware로 망구성 부분 공부중입니다.
AD를 어디에 위치해야하는지 고민많이 하고 있는데
DMZ= 웹서버, DC
Application Server= AD하위
internal= 사원컴퓨터
이런식으로 두려하는데 DC와 DMZ가 공존해도 문제없는지 고민입니다...
조언 부탁드립니다 ㅠㅠ
VMware로 망구성 부분 공부중입니다.
AD를 어디에 위치해야하는지 고민많이 하고 있는데
DMZ= 웹서버, DC
Application Server= AD하위
internal= 사원컴퓨터
이런식으로 두려하는데 DC와 DMZ가 공존해도 문제없는지 고민입니다...
조언 부탁드립니다 ㅠㅠ
10개의 답변이 있습니다.
만에 하나 AD 해킹 당하면 AD 를 통해서 랜섬웨어 유포 될 수 있습니다.
AD 환경을 노린 랜섬웨어 공격, 어떻게 대응해야 하나 (boannews.com)
SSL VPN 접속 후 AD 이용하는 것이 보안상 맞습니다. DMZ 영역에 AD를 둔다는 것은 매우 위험합니다.
정 DMZ 영역에 접근한다면 2 팩터 인증(사용자 등록된 계정 핀 번호 등)을 한 후에 접근토록 하여야 합니다.
필요하다면 AD중 Read only만 가능한 서버를 두면 되지 않을까요? (RODC)
DC는 내부망에 위치 시키고 DMZ에 최소한의 정보만 놓고 Trust 형성해서 세컨더리 DC 사용되게 했었던 적이 있었습니다. DMZ 서버들 도메인 조인 시키는 수준으로만 사용 했습니다.
AD 같은 서버를 DMZ에 두고 사용한다는건...
나를 공격해 달라는 의미가 아닐까 싶어 보이네요.
AD가 해커에게 점령 당한다면 접속하는 클라이언트들까지 모두 해커에게 넘어 간다고 봐야 할 것 같고...
AD 서버를 DMZ에 두는건...
상식 밖이 아닐까 싶어 보이네요~
낭만생선 | 2년 이상 전
DMZ 에 서버 두고 이벤트 로그에 접근 시도 로그보면 등골이 서늘하죠.
방화벽으로 필터링을 한다고 해도
AD를 DMZ에 두는것은 너무큰 리스크로 보이는게 사실이네요.
외부 서비스가 많고
외부에서 접근 서비스가 많다면 DMZ가 맞고
DB는 내부 zone에 두는게 맞죠
AD는 외부 서비스보다 내부 데이터 성격이 맞다면
내부 zone에 구성해야겠죠
DC,AD는 DMZ에 두면 위험하지 않을까요? 거희 보통은 내부에 두고 웹서버등 보안에 노출 되는 시스템만 DMZ에 두는데 이런부분은 내부에 협의해서 확인할 필요가 있네요
DC의 경우 민감한 서비스라 DMZ에 많이 두진 않습니다.
두실려면 보안 설정 등 지속적인 모니터링과 관리가 필요합니다.
혹시 어떤 이유로 DMZ에 둘려고 하는것인지 알수 있을까요?
필요하면 놓고 쓰죠..
DC, AD가 외부에 서비스를 하거나 외부에 접근해야 할 일이 있다면 DMZ가 맞고..
외부에 노출되면 안되는 서버라면 다른 망에 두는 것이 맞을 듯 싶습니다.
아니면 DMZ에 놓고 방화벽이나 다른 보안을 적용해서 외부 접속을 차단하는 경우도 많습니다.
정답은 없지만 보안적 관점에서 외부에 노출이 불필요한 서버는 dmz에 없는 것이 좋죠..
네쓰트 | 2년 이상 전
답변감사합니다!
Internal 망으로 옮기는 것이 대안이 될 수 있겠다 생각했습니다 !