DNS-Sicherheit & .com AD-Domänen, Was sind die Gefahren für meine AD-Domäne, wenn jemand meine öffentliche .com-Domäne besetzt?

7

Mir ist bekannt, dass Best Practices derzeit vorschreiben, dass mein Windows AD-Domänenname eine Unterdomäne eines gekauften, global eindeutigen Namespace (dh ad.namespace.com) sein soll. Das ist gut so und gut.

Meine Frage ist, was sind die potenziellen Sicherheitslücken, die entstehen, wenn unsere Public-Domain-Registrierung erloschen ist und jemand den Domain-Namen unter uns entfernt hat (Bösewichte besitzen jetzt namespace.com)? Könnten sie DNS-Voodoo nutzen, um unser internes Netzwerk unter ad.namespace.com zu gefährden? Könnte ein nicht informierter Endbenutzer dazu verleitet werden, etwas zu tun, was er nicht tun sollte, oder vertrauliche Informationen über private Domains zu verlieren, indem er eine böswillige Website besucht, die unsere besetzte Webadresse belegt? Gibt es eine Sicherheitsanfälligkeit bezüglich Remote-AD-Authentifizierung, die darauf zurückzuführen ist, dass Bösewichte unseren Domain-Namen auf Stammebene besitzen?

Ich werde wahrscheinlich Ärger verdienen, wenn ich es sage, aber es scheint nur sicherer zu sein, dass die private AD-Domain einen separaten Namespace belegt, auf den über das Internet nicht zugegriffen werden kann, wie auch immer. Ich weiß, dass das gehasst wird. Jemand beruhigt mich bitte. Ich habe ein paar Tage damit verbracht, diese Frage zu untersuchen, aber ich kann niemanden finden, der meine Besorgnis über den möglichen Kompromiss eines Domainnamens auf Root-Ebene teilt. Vielleicht bin ich nur Nuubi. Danke im Voraus.

domain-name-system  active-directory  subdomain  domain-name 
elCrash
quelle
Könnte besser zu sec.se passen.
Parthian Shot

Antworten:

10

Die potenziellen Sicherheitslücken einer Person, die Ihre Domain besetzt, auf der AD gehostet wird, unterscheiden sich nicht von den Sicherheitslücken von Personen, die eine Domain ohne AD besetzen.

Sie können Ihre Benutzer mit perfekt gültigen SSL-Zertifikaten und der richtigen Domain fischen. Durch die Verwendung eines Namespace, auf den nicht zugegriffen werden kann - und das habe ich absichtlich in Anführungszeichen gesetzt - können Sie nur Kollisionen mit dem Namensraum und all den anderen Problemen, die das Rückgrat dafür bilden, warum die beste Vorgehensweise darin besteht, eine Subdomain in einem zu verwenden, öffnen Domain, die Sie besitzen.

DNS ist nur ein Teil der AD-Lösung und nur insoweit an der Sicherheit der Domäne beteiligt, als es zum Nachschlagen der Standorte von Netzwerkdiensten verwendet wird. Darüber hinaus verfügen Sie über alle Kerberos / LDAP-Funktionen, die die Authentifizierungsfähigkeit bestimmen.

So beantworten Sie Ihre spezifischen Fragen:

Was sind die potenziellen Sicherheitslücken, die entstehen, wenn unsere Public-Domain-Registrierung abgelaufen ist und jemand den Domain-Namen unter uns entfernt hat (Bösewichte besitzen jetzt namespace.com)?

Phishing, Malware-Injektionen usw. Nichts davon hat viel mit AD-Sicherheit zu tun, obwohl es nur Ihre normalen "schlechten Dinge sind, die passieren, wenn jemand Ihre Domain besetzt".

Könnten sie DNS-Voodoo nutzen, um unser internes Netzwerk unter ad.namespace.com zu gefährden?

Nein

Könnte ein nicht informierter Endbenutzer dazu verleitet werden, etwas zu tun, was er nicht tun sollte, oder vertrauliche Informationen über private Domains zu verlieren, indem er eine bösartige Website besucht, die unsere besetzte Webadresse belegt?

Sicher sehen Sie das Phishing-Risiko oben. Dies gilt jedoch nicht speziell für AD. Sie haben lediglich Ihre Domain verloren.

Gibt es eine Sicherheitsanfälligkeit bezüglich Remote-AD-Authentifizierung, die darauf zurückzuführen ist, dass Bösewichte unseren Domain-Namen auf Stammebene besitzen?

Keine AD-Authentifizierung wird von Kerberos und nicht von DNS verarbeitet

Nun noch ein paar zusätzliche Hinweise:

1) Mit ICANN können beliebige TLDs erstellt werden, wenn Sie über genügend Geld verfügen. Alles ist faires Spiel, und der Namespace, den Sie letztes Jahr für kollisionssicher hielten, könnte dieses Jahr durchaus eine neue TLD sein.

2) Um Ihre Domain tatsächlich zu verlieren, müssten Sie sie ablaufen lassen und dann nicht für die 30 (60/90 /? Ich vergesse die genaue Anzahl in diesen Tagen. Und es könnte registrierungsabhängig sein, aber mindestens 2 Wochen) Kulanzfrist .

Warum reden die Leute nicht darüber? Weil es kein Problem ist, über das Sie sich Sorgen machen müssen. Es gibt keine Schwachstellen in Ihrer internen AD-Infrastruktur, und Ihr Risiko ist genauso hoch, als würden Sie AD auf einer anderen Domäne ausführen und Ihre Domäne ablaufen lassen. Stellen Sie Ihre Domain auf automatische Verlängerung ein und Sie sind fertig.

Zypher
quelle
Mein Kommentar ist zu lang, deshalb werde ich die Regeln brechen. Vielen Dank für die gründliche und informative Antwort, @Zypher. Ich nahm an, dass die Antwort in diese Richtung gehen würde, aber Paranoia ist auch eine bewährte Sicherheitsmethode. Ich lerne immer noch die tieferen Feinheiten von DNS, aber ich glaube, ich war hauptsächlich besorgt, ob diese Konfiguration mich DNS-Hijacking, Vergiftung, Maskierung oder was auch immer aussetzen würde (etwas anderes als Standard-Phishing-Angriffe) und ob dies jemals meine Auswirkungen haben könnte LAN- oder Straßenkämpfer. Zum Beispiel kann der letzte Eintrag in dem Gewinde ( superuser.com/questions/1036865/what-happens-t
elCrash
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.