Mir ist bekannt, dass Best Practices derzeit vorschreiben, dass mein Windows AD-Domänenname eine Unterdomäne eines gekauften, global eindeutigen Namespace (dh ad.namespace.com) sein soll. Das ist gut so und gut.
Meine Frage ist, was sind die potenziellen Sicherheitslücken, die entstehen, wenn unsere Public-Domain-Registrierung erloschen ist und jemand den Domain-Namen unter uns entfernt hat (Bösewichte besitzen jetzt namespace.com)? Könnten sie DNS-Voodoo nutzen, um unser internes Netzwerk unter ad.namespace.com zu gefährden? Könnte ein nicht informierter Endbenutzer dazu verleitet werden, etwas zu tun, was er nicht tun sollte, oder vertrauliche Informationen über private Domains zu verlieren, indem er eine böswillige Website besucht, die unsere besetzte Webadresse belegt? Gibt es eine Sicherheitsanfälligkeit bezüglich Remote-AD-Authentifizierung, die darauf zurückzuführen ist, dass Bösewichte unseren Domain-Namen auf Stammebene besitzen?
Ich werde wahrscheinlich Ärger verdienen, wenn ich es sage, aber es scheint nur sicherer zu sein, dass die private AD-Domain einen separaten Namespace belegt, auf den über das Internet nicht zugegriffen werden kann, wie auch immer. Ich weiß, dass das gehasst wird. Jemand beruhigt mich bitte. Ich habe ein paar Tage damit verbracht, diese Frage zu untersuchen, aber ich kann niemanden finden, der meine Besorgnis über den möglichen Kompromiss eines Domainnamens auf Root-Ebene teilt. Vielleicht bin ich nur Nuubi. Danke im Voraus.
Antworten:
Die potenziellen Sicherheitslücken einer Person, die Ihre Domain besetzt, auf der AD gehostet wird, unterscheiden sich nicht von den Sicherheitslücken von Personen, die eine Domain ohne AD besetzen.
Sie können Ihre Benutzer mit perfekt gültigen SSL-Zertifikaten und der richtigen Domain fischen. Durch die Verwendung eines Namespace, auf den nicht zugegriffen werden kann - und das habe ich absichtlich in Anführungszeichen gesetzt - können Sie nur Kollisionen mit dem Namensraum und all den anderen Problemen, die das Rückgrat dafür bilden, warum die beste Vorgehensweise darin besteht, eine Subdomain in einem zu verwenden, öffnen Domain, die Sie besitzen.
DNS ist nur ein Teil der AD-Lösung und nur insoweit an der Sicherheit der Domäne beteiligt, als es zum Nachschlagen der Standorte von Netzwerkdiensten verwendet wird. Darüber hinaus verfügen Sie über alle Kerberos / LDAP-Funktionen, die die Authentifizierungsfähigkeit bestimmen.
So beantworten Sie Ihre spezifischen Fragen:
Phishing, Malware-Injektionen usw. Nichts davon hat viel mit AD-Sicherheit zu tun, obwohl es nur Ihre normalen "schlechten Dinge sind, die passieren, wenn jemand Ihre Domain besetzt".
Nein
Sicher sehen Sie das Phishing-Risiko oben. Dies gilt jedoch nicht speziell für AD. Sie haben lediglich Ihre Domain verloren.
Keine AD-Authentifizierung wird von Kerberos und nicht von DNS verarbeitet
Nun noch ein paar zusätzliche Hinweise:
1) Mit ICANN können beliebige TLDs erstellt werden, wenn Sie über genügend Geld verfügen. Alles ist faires Spiel, und der Namespace, den Sie letztes Jahr für kollisionssicher hielten, könnte dieses Jahr durchaus eine neue TLD sein.
2) Um Ihre Domain tatsächlich zu verlieren, müssten Sie sie ablaufen lassen und dann nicht für die 30 (60/90 /? Ich vergesse die genaue Anzahl in diesen Tagen. Und es könnte registrierungsabhängig sein, aber mindestens 2 Wochen) Kulanzfrist .
Warum reden die Leute nicht darüber? Weil es kein Problem ist, über das Sie sich Sorgen machen müssen. Es gibt keine Schwachstellen in Ihrer internen AD-Infrastruktur, und Ihr Risiko ist genauso hoch, als würden Sie AD auf einer anderen Domäne ausführen und Ihre Domäne ablaufen lassen. Stellen Sie Ihre Domain auf automatische Verlängerung ein und Sie sind fertig.
quelle