none
Публикация sfb наружу. RRS feed

  • Вопрос

  • Здравствуйте!

    У нас есть домен ad. Развернули в нем sfb standard без публикации наружу, т.е. edge и reverse proxy не ставили, т.к. служба безопасности против дефолтного сценария публикации из-за уязвимости блокировки учетной записи (снаружи учетку возможно заблокировать брутфорсом). В связи с этим поставлена задача выпустить skype наружу.

    1. Какие возможны варианты недефолтного сценария публикации sfb?

    2. Рассматривали вариант с новым доменом - По edge и reverse proxy в каждом домене. Между ними настроены trust`ы, где edge основного пула не смотрит в интернет, а edge второго пула выпущен наружу. Вопрос: как реализовать 2 пула разных доменов так, чтобы учетные записи из основного домена могли выходить в инет через пул второго домена?

    27 февраля 2017 г. 7:43

Ответы

  • Добрый день.

    А почта у Вас наружу тоже не торчит через OWA потому что "заблокирут хакеры"?

    Вопрос изначально стоит некорректно. Account lockout policies применяют сейчас нечасто. Ибо смысла большого в обычных паролях и нет как такового: 2017 год на дворе, двухфакторная аутентификация намного безопаснее обычного пароля.

    Что касается блокировок- ну, счетчик можно повысить до 30 попыток (почему нет), если СБ защищается таким образом от брутфорса. Сделать блокировку учетки на 10 минут, тогда пользователь не почувствует скорее всего, что его учетку кто-то заблокировал- вообще, дикий сценарий если честно. Атакующий будет перебирать открытые наружу и внутрь сервисы, вроде http сайта, (как например почты) или RDP.

    А система мониторинга сообщит о подборе пароля куда следует. Но счастья сидеть и подбирать пароли к пользовательским учеткам сфб, или тем более, вызывать для таких учеток ddos- ну, размораживаться надо СБ, честное слово, 90-е прошли. Если для них такой риск критичен- то, ок, прикручивайте к таким учеткам двухфакторку, и проблем нет. И стоит сейчас это- копейки.

    Усложнять публикацию для этого- дикость, ну опубликуете Вы хитрым крабом СФБ, а как это уберет сценарий блокировки?

    Варианты- какие угодно, только снаружи все одно кто-то да должен будет вводить имя пользователя и пароль. Не важно, ARR, ADFS WAP или не МС решение любое, нужно в другую сторону смотреть. Не в публикацию, а в либо изменение своих требований, либо допил под свои же хотелки решения (двухфакторка)

    27 февраля 2017 г. 19:56
  • Ну, немножко поискать же можно самостятельно. Ключевое- бесплатного решения не будет. Как вариант.
    28 февраля 2017 г. 12:54

Все ответы

  • Добрый день.

    А почта у Вас наружу тоже не торчит через OWA потому что "заблокирут хакеры"?

    Вопрос изначально стоит некорректно. Account lockout policies применяют сейчас нечасто. Ибо смысла большого в обычных паролях и нет как такового: 2017 год на дворе, двухфакторная аутентификация намного безопаснее обычного пароля.

    Что касается блокировок- ну, счетчик можно повысить до 30 попыток (почему нет), если СБ защищается таким образом от брутфорса. Сделать блокировку учетки на 10 минут, тогда пользователь не почувствует скорее всего, что его учетку кто-то заблокировал- вообще, дикий сценарий если честно. Атакующий будет перебирать открытые наружу и внутрь сервисы, вроде http сайта, (как например почты) или RDP.

    А система мониторинга сообщит о подборе пароля куда следует. Но счастья сидеть и подбирать пароли к пользовательским учеткам сфб, или тем более, вызывать для таких учеток ddos- ну, размораживаться надо СБ, честное слово, 90-е прошли. Если для них такой риск критичен- то, ок, прикручивайте к таким учеткам двухфакторку, и проблем нет. И стоит сейчас это- копейки.

    Усложнять публикацию для этого- дикость, ну опубликуете Вы хитрым крабом СФБ, а как это уберет сценарий блокировки?

    Варианты- какие угодно, только снаружи все одно кто-то да должен будет вводить имя пользователя и пароль. Не важно, ARR, ADFS WAP или не МС решение любое, нужно в другую сторону смотреть. Не в публикацию, а в либо изменение своих требований, либо допил под свои же хотелки решения (двухфакторка)

    27 февраля 2017 г. 19:56
  • А есть какое-то решение для двухфакторки через ADFS?
    28 февраля 2017 г. 8:36
  • Добрый день.

    Есть - https://technet.microsoft.com/en-us/windows-server-docs/identity/ad-fs/operations/configure-additional-authentication-methods-for-ad-fs


    Печенкин Николай

    28 февраля 2017 г. 10:12
  • Немножко не то. Хотелось бы двухфакторную авторизацию с sms-ками
    28 февраля 2017 г. 11:33
  • Ну, немножко поискать же можно самостятельно. Ключевое- бесплатного решения не будет. Как вариант.
    28 февраля 2017 г. 12:54
  • Добрый день 

    Нанимаете команду программистов, они пишут Вам "бесплатно" что угодно, хоть смс хоть хоть ммс, хоть вайбер :). 


    Печенкин Николай

    28 февраля 2017 г. 15:09