none
VLAN e Firewall RRS feed

  • Domanda

  • Buongiorno,

    stiamo introducendo nella rete un Firewall e separando la rete in diverse VLAN.

    Devo consentire comunque per tutte le aree di comunicare con il DC per autenticazioni e richieste DNS.

    Ho trovato questo documento:

    https://support.microsoft.com/it-it/help/179442/how-to-configure-a-firewall-for-domains-and-trusts

    ma non mi è ben chiaro se le porte indicate sia per il client che per il server siano da aprire sia in uscita che in entrata.

    Inoltre su uno dei miei server ho installato diversi componenti per l'integrazione con Office 365, quali:

    Azure AD Connect con accesso SSO Semplice

    Gateway dati Locali

    Proxy dell'applicazione

    Per quanto riguarda Gateway dati locali in questo documento:

    https://docs.microsoft.com/it-it/flow/gateway-reference

    sono indicate delle porte solo in uscita è corretto?

    Mentre non sono riuscito a trovare informazioni sulla configurazione del Firewall per AD Connect e Proxy dell'Applicazione.

    Potreste aiutarmi?

    Grazie

    Valerio

    venerdì 2 novembre 2018 11:22

Tutte le risposte

  • Dalla tua domanda esce un'idea confusa di quello che vuoi fare. 

    Vuoi segmentare una rete con il firewall? Con le vlan? Con entrambe?

    Spiega come è organizzata la tua rete, quale obiettivo vuoi raggiungere, come dovrebbe essere dopo la segmentazione e qualcuno ti potrà suggerire una soluzione in base alle esperienze e competenze in possesso.

    Se si parla di VLAN siamo a livello 2 ISO/OSI  e le porte (TCP/IP) non sono coinvolte e link citati sono solo per configurare il FW 

    Vlan, porte fisiche, trunk e tagged vlan

    Firewall, porte tcp e routing fra i segmenti 




    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere



    venerdì 2 novembre 2018 14:00
    Moderatore
  • Entrambe.

    Ho già segmentato la rete con le VLAN.

    Il mio obbiettivo è configurare il FW hardware in modo che solo il traffico sulle porte necessarie al corretto funzionamento del dominio venga consentito (primo link), ma non mi è ben chiaro se quelle porte sono IN/OUT

    Inoltre su un server ho installato quei connettori per Office 365 e ance qui vorrei che venga consentito il solo traffico necessario al corretto funzionamento del SSO, del Gateway dati locali e se possibile il Proxy applicazione.

    Grazie


    venerdì 2 novembre 2018 14:32
  • Hai già segmentato in vlan, a maggior ragione dovresti fornire una rappresentazione dei vari segmenti e cosa vuoi ottenere, mi chiedo perché complicarsi la vita viste le poche conoscenze sul networking di Windows?

    Le porte lato Server saranno IN e OUT, stessa cosa su client.

    Purtroppo il problema nella segmentazione del traffico Windows è che dovresti avere un firewall di livello, che sia capace di gestire le porte "effimere", per capirci quelle che hanno un range

    1024-65535/TCP 1024-65535/TCP RPC per LSA, SAM, il servizio Accesso rete (*)
    49152 -65535/TCP 49152-65535/TCP RPC per LSA, SAM, il servizio Accesso rete (*)

    Aprirle tutte è come costruire un muro (il tuo FW) e poi traforarlo come una gruviera!!! Se il tuo firewall non gestisce nativamente queste porte dinamiche, dovresti aprire 15000 porte … Se poi ti trovassi con dei problemi, di cui non capisci l'origine? Sarebbe colpa del firewall? Sarebbe una regola non corretta che impedisce l'autenticazione? Colpa di una malconfigurazione del computer client? Sarebbe colpa di aver intrapreso una strada sconosciuta?

    https://www.google.it/search?q=ephemeral+port+rpc+firewall&oq=ephemeral+port+rpc+firewall

    Segmentare il mondo Windows è facile se hai prodotti che lo prevedono, altrimenti lascia perdere.

    Che firewall usi? Quanti segmenti intendi fare? Le vlan come sono ora?

    ripeto: Spiega come è organizzata la tua rete, quale obiettivo vuoi raggiungere, come dovrebbe essere dopo la segmentazione e qualcuno ti potrà suggerire una soluzione in base alle esperienze e competenze in possesso.

    Ciao Gastone


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere



    sabato 3 novembre 2018 20:45
    Moderatore