Czy można ograniczyć dostęp do serwera plików użytkownikom domeny korzystającym z komputerów należących do domeny?

1

Wygląda na to, że można zastosować izolację domeny, ale chciałbym rozwiązania, które nie wymaga IPsec, a ściślej mówiąc, nie wymaga IPsec na serwerze plików. Protokół IPsec, jeśli jest wykonywany w oprogramowaniu, ma duży narzut procesora, a nasze urządzenia NAS nie obsługują żadnego odciążenia.

Celem jest uniknięcie uwierzytelnienia użytkowników korzystających z niezarządzanych maszyn w celu uzyskania dostępu do zasobów sieciowych. Ochrona dostępu do sieci (NAP) i różne punkty wymuszające wyglądały obiecująco, ale nie mogłem znaleźć kuloodpornego sposobu ich użycia [który nie wymaga IPsec na serwerze plików].

Myślałem, że kiedy użytkownik domeny uzyskuje dostęp do skrzynki NAS, najpierw będzie potrzebował biletu Kerberos z AD, więc jeśli AD może w jakiś sposób zweryfikować komputer, który żądał biletu, znajduje się w domenie, mam rozwiązanie.

Chris Madden
źródło
Czy mogę zapytać, dlaczego chcesz to zrobić? Jeśli użytkownik ma już dostęp do Twojej sieci LAN i ma prawidłową nazwę użytkownika / hasło, dlaczego nie miałby móc połączyć się z serwerem plików? Jaki problem próbujesz rozwiązać?
mfinni,
Musisz to zrobić dla każdej metody dostępu, jeśli nie używasz czegoś takiego jak NAP. Dopuszczasz już niezaufane maszyny do swojej sieci LAN lub VPN. Co powstrzyma nieznaną maszynę przed próbą wykorzystania exploita, który nie wymaga uwierzytelnionego dostępu SMB? Co powstrzyma ich przed uderzeniem w wewnętrzne aplikacje internetowe?
mfinni

Odpowiedzi:

1

Tak. Użyj ipSec. Domeny są zaprojektowane właśnie w ten sposób.

Również narzut nie jest tak wysoki, jeśli nie używasz IpSec do SZYFROWANIA ruchu, tylko do sprawdzania tożsamości punktu końcowego.

TomTom
źródło
Na NetApp FAS3050 (tak 5-letni sprzęt) maksymalna przepływność CIFS wynosi 290 MB / s. Włącz sprawdzanie integralności IPsec (AH z SHA1), a przepustowość spada do 30 MB / s, co jest dużym hitem. NetApp daje wiele innych korzyści, więc nie chcemy zmieniać, stąd pytanie o rozwiązanie, które nie korzysta z IPsec.
Chris Madden,