Según tengo entendido, las computadoras unidas a Windows AD siempre se identifican/autentican de forma segura antes que DC (usando contraseñas de cuentas de computadora que se cambian automáticamente).
Ahora leí (en un artículo que no está en inglés) que IPSec siempre debe configurarse en AD. ¿Por qué es así? Supongamos que AD está bien protegido de Internet o incluso no tiene conexión a Internet en un entorno empresarial reducido.
¿Cuándo es "imprescindible" IPSec para AD?
Por cierto, ¿por qué siempre es necesaria la autenticación segura de las computadoras AD? ¿Se puede configurar DC para una autenticación insegura de computadoras (por ejemplo, en un entorno de desarrollo/prueba pequeño)?
----------
Actualización 1:
Teniendo este IPSec muy seguro, muy flexible y muy sencillo, ¿cómo diablos recurrir a computadoras AD inseguras?
¿Entiendo correctamente que esta autenticación segura de las computadoras AD hace imposible
- inicio de sesión único entre usuarios de grupos de trabajo y cuentas de usuarios de AD
- RunAs e inicio de sesión secundario con cuenta de usuario de AD en grupo de trabajo de Windows (y viceversa)
que es un dolor de cabeza para el desarrollo o las infraestructuras de las empresas pequeñas. ¿Esta inflexibilidad no tiene mucho sentido (tener IPSec)?
Respuesta1
Cuando me encontré con esta opinión por primera vez en 2001, era lo suficientemente temprano en el desarrollo de Active Directory como para que TI en su conjunto todavía estuviera comprendiendo qué se podía hacer exactamente con él. Windows NT tenía algunos controles IPSec, pero Windows 2000 y Active Directory trajeron muchos más. El pensamiento fue así:
Active Directory y las políticas de grupo hacen que IPSec sea MUCHO más fácil de configurar. ¡Significa cifrado completo en el cable, lo que hace que la red sea inmune al rastreo! Eso es muy seguro.
Esto fue visto como un paso muy sólido en la "defensa en profundidad". Las pocas personas de las que escuché que habían logrado que sus redes fueran completamente IPSec todavía tuvieron que trabajar mucho para lograrlo, a pesar de que, en teoría, AD lo hacía más fácil. Sinceramente, no he oído hablar de una red IPSec AD pura en los últimos 5 años.
¿Es una buena idea? Probablemente. ¿Es necesario? Eso depende de su postura de seguridad. Si no puede confiar en las capas físicas de su red, entonces IPSec es absolutamente una buena idea. Tal como señaló Zoredache. "No se puede confiar" puede deberse a una política explícita que establece que no se puede confiar en la capa física, a puertos realmente abiertos que permiten a cualquiera husmear o a tener que aprovechar una red pública.
IPSec es probablemente una muy buena idea cuando se trata de redes inalámbricas, pero nuevamente, no he oído hablar de muchos que realmente lo hagan.
Respuesta2
¿Cuándo es "imprescindible" IPSec para AD?
Sospecho que la razón principal de este requisito sería cuando no se puede confiar en la red física. Quizás porque estás compartiendo la red con otra persona. Quizás los interruptores estén fuera de su control.
Respuesta3
No consideraría IPSec unrequeridocaracterística de un AD sin un requisito de seguridad específico, pero si está implementando un nuevo entorno AD hoy, lo consideraría seriamente.
Microsoft está adoptando la noción de computación de cliente totalmente móvil, y las PKI e IPSec son una gran parte de esa estrategia. Ahora puede tener con bastante facilidad trabajadores remotos en cualquier lugar conectados persistentemente a su red corporativa a través de DirectAccess cuyas computadoras se administran fuera del firewall a través de SCCM en modo nativo. Cosas bastante vertiginosas.
Otro caso de uso es si tiene una red donde hay muchos firewalls que restringen la comunicación entre niveles de aplicaciones, DMZ u otras divisiones políticas. Instalar servidores AD en estas pequeñas redes se vuelve costoso rápidamente, e IPSec hace que sea mucho más fácil atravesar estos firewalls de forma segura y garantizar que solo los dispositivos a los que se les haya emitido un certificado puedan usar IPSec para comunicarse.