Server und Domänen isolieren

Thema des aktuellen Teils der Artikelserie ist die genauere Betrachtung der Isolierung von Domänen. Auch dabei steht die Umsetzung im Mittelpunkt, wobei sich der Beitrag insbesondere auf die konzeptionellen Unterschiede zwischen der Isolierung von Domänen und Servern konzentriert.

Nachdem in den beiden vorangegangenen Teilen der Serie die Isolierung von Servern im Mittelpunkt stand, geht es nun um die Isolierung von Domänen von Systemen. Da die gleichen Technologien zur Anwendung kommen, gibt es hier viele Ähnlichkeiten zur Serverisolierung.

Die Zielsetzung der Isolierung von Domänen ist, dass Systeme außerhalb der Domäne nur noch unter bestimmten Voraussetzungen und über definierte Dienste mit Systemen innerhalb einer Domäne kommunizieren dürfen. Es geht also nicht mehr nur um den Schutz einzelner Server, sondern um größere Strukturen. Letztlich werden ganze Gruppen von Systemen, und zwar konkret die Mitglieder von Domänen, vor unberechtigten Zugriffen geschützt.

Bei der Isolierung von Servern kann mit Gruppen gearbeitet werden, die dort eine logische Struktur darstellen. So können beispielsweise alle Exchange-Server identisch behandelt werden. Der Begriff der „Isolation Domain“ ist dabei nicht analog zu den Domänen des Active Directory. Eine Isolation Domain ist zunächst nur eine Zusammenfassung mehrerer Systeme, die unter dem Aspekt der Isolierung einheitlich behandelt werden. Allerdings wird der Begriff auch von Microsoft überwiegend gebraucht, um Gruppen zu kennzeichnen, die auf einer oder mehreren Domänen des Active Directory basieren. Eine Domäne im Sinne der Isolierung umfasst also in der Regel eine einzelne Active Directory-Domäne oder mehrere gegenseitig vertraute Domänen, die in einheitlicher Weise vor unberechtigten Zugriffen isoliert werden.

Eingehende Verbindungen zu Systemen innerhalb einer solchen Domäne dürfen nur noch von vertrauten Systemen aus erfolgen. Gruppen von isolierten Servern können einerseits Mitglied einer solchen Domäne sein und andererseits auch über ihre Gruppenzugehörigkeit spezifische Einschränkungen oder Öffnungen für bestimmte Dienste haben.

Technisch gesehen liegt der wesentliche Unterschied zwischen der Server- und der Domänenisolierung in zwei Punkten:

  • Die Authentifizierung innerhalb einer Domäne kann in jedem Fall über Kerberos erfolgen, weil dieser Mechanismus in Domänen und zu vertrauten Domänen unterstützt wird.

  • Die Zuordnung der IPsec-Richtlinien kann zentral auf der Ebene von Domänen erfolgen und bezieht sich auf Clients und Server. Die Clients sind in diesem Modell die vertrauten Systeme, die mit den Servern kommunizieren dürfen – und gegebenenfalls auch Serverdienste, die von anderen Clients angeboten werden, nutzen dürfen. Darüber hinaus unterscheiden sich die Einschränkungen, die bei den IPsec-Filtern gesetzt werden. Bei der Serverisolierung muss sehr differenziert entsprechend der Dienste, die ein Server anbietet, vorgegangen werden. Bei der Domänenisolierung ist dagegen ein generischer Ansatz erforderlich, der die Grundfunktionen der Kommunikation innerhalb einer Domäne aktiviert.

Innerhalb der Domänen geht es nun darum, IPsec-Richtlinien zu erstellen, mit denen gesteuert wird, welche Kommunikation zulässig ist. Diese Richtlinien sind davon geprägt, dass sie den Zugriff der Clients auf alle Server innerhalb der Domäne sowie gegebenenfalls auf ausgewählte Server außerhalb der Domäne gestatten müssen, die Clients selbst aber schützen. Die weitergehenden Festlegungen für Server, mit denen beispielsweise einzelne Dienste zusätzlich auch vor Zugriffen von einem Teil der Clients aus der Domäne geschützt werden, ist ein Aspekt der Serverisolierung, also der Konfiguration einzelner Server oder Gruppen von Servern.

Die Domänenisolierung kann man also auch als den Standardfall der Isolierung bezeichnen, während mit der Serverisolierung weitere Ausnahmen konfiguriert werden. Für die eigentliche Umsetzung ist daher die Vorgehensweise identisch mit dem, was in den vorangegangenen Teilen der Serie beschrieben wurde.