השבוע במסגרת עבודתי ביצעתי Policy Review ב-Firewall של אחד מלקוחתיי.
אחד הדברים אשר הפריעו לי זה מתן גישת "Any Service" מכתובת מקור לכתובת יעד.
כאשר שאלתי מדוע הנ"ל מאופשר הוסבר לי מערכת ה-Active Directory עושה שימוש בפורטים דינאמים עבור רפליקציות ו-RPC.
לאחר בדיקה קצרה התברר כי ניתן לקבע את הפורטים לסטטים ולהתגבר על הסוגיה , מה שיאפשר לנו להקשיח את ה-FW והתעבורה בין 2 שרתי ה-DC בסגמנטים השונים.
מאחר והשינוי מצריך שימוש ב-REGEDIT מומלץ לבצע גיבוי System State ,כמו גם Export ל-Registry ובדיקת רפליקציות ע"י Replmon ו-RepAdmin.
ל-KB המלא יש ללחוץ כאן.
אחד הדברים אשר הפריעו לי זה מתן גישת "Any Service" מכתובת מקור לכתובת יעד.
כאשר שאלתי מדוע הנ"ל מאופשר הוסבר לי מערכת ה-Active Directory עושה שימוש בפורטים דינאמים עבור רפליקציות ו-RPC.
לאחר בדיקה קצרה התברר כי ניתן לקבע את הפורטים לסטטים ולהתגבר על הסוגיה , מה שיאפשר לנו להקשיח את ה-FW והתעבורה בין 2 שרתי ה-DC בסגמנטים השונים.
מאחר והשינוי מצריך שימוש ב-REGEDIT מומלץ לבצע גיבוי System State ,כמו גם Export ל-Registry ובדיקת רפליקציות ע"י Replmon ו-RepAdmin.
ל-KB המלא יש ללחוץ כאן.
אין תגובות:
הוסף רשומת תגובה