Я знаю, что в настоящее время передовой опыт диктует, что мое доменное имя Windows AD должно быть поддоменом приобретенного, глобально уникального пространства имен (например, ad.namespace.com). Это просто прекрасно и модно.
У меня вопрос: каковы потенциальные уязвимости системы безопасности, если наша регистрация в общественном домене истечет и кто-то вытащит доменное имя из-под нас (плохие парни теперь владеют namespace.com)? Могут ли они использовать некое подобие DNS, чтобы скомпрометировать нашу внутреннюю сеть на ad.namespace.com? Можно ли обманом заставить неосведомленного конечного пользователя сделать то, чего он не должен, или утечку конфиденциальной информации о частном домене, посетив вредоносный веб-сайт, занимающий наш сквотированный веб-адрес? Существует ли какая-либо уязвимость удаленной аутентификации AD из-за того, что злоумышленники владеют нашим доменным именем корневого уровня?
Я, вероятно, вызову гнев, сказав это, но кажется более безопасным, чтобы частный домен AD занимал отдельное пространство имен, недоступное из Интернета, например something.local. Я знаю, что это ненавидят. Кто-нибудь, пожалуйста, успокойте меня. Я отправил несколько дней на то, чтобы исследовать этот вопрос, но не могу найти никого, кто бы разделял мои опасения по поводу возможной компрометации доменного имени корневого уровня. Может я просто нууби. Заранее спасибо.
Потенциальные уязвимости безопасности, связанные с тем, что кто-то захватывает ваш домен, на котором размещен AD ... ничем не отличаются от уязвимостей людей, которые захватывают домен без AD.
Он сможет фишинговать ваших пользователей с помощью совершенно действующих сертификатов SSL и правильного домена. Использование пространства имен, которое является `` недоступным '' - и я намеренно заключил это в кавычки - открывает вам только конфликты пространства имен и все другие проблемы, которые являются основой того, почему лучше всего использовать поддомен на домен, которым вы владеете.
DNS - это лишь одна часть решения AD, и она участвует в обеспечении безопасности домена только в той мере, в какой она используется для поиска местоположений сетевых служб. Помимо этого, у вас есть все достоинства Kerberos / LDAP, определяющие возможность аутентификации.
Чтобы ответить на ваши конкретные вопросы:
Какие потенциальные уязвимости в системе безопасности появятся, если наша регистрация в общественном домене истечет и кто-то вытащит доменное имя из-под нас (злодеи теперь владеют namespace.com)?
Фишинг, внедрение вредоносных программ и т. Д. Ничто из этого не имеет ничего общего с безопасностью AD, хотя это просто обычные «плохие вещи, которые случаются, когда кто-то захватывает ваш домен»
Могут ли они использовать некое подобие DNS, чтобы скомпрометировать нашу внутреннюю сеть на ad.namespace.com?
Нет
Можно ли обманом заставить неосведомленного конечного пользователя сделать что-то, чего он не должен, или дать утечку конфиденциальной информации частного домена, посетив вредоносный веб-сайт, занимающий наш сквотированный веб-адрес?
Обязательно посмотрите на риск фишинга выше. Это не относится к AD, просто вы потеряли свой домен.
Есть ли какая-либо уязвимость удаленной аутентификации AD из-за того, что злоумышленники владеют нашим доменным именем корневого уровня?
Проверка подлинности AD не обрабатывается Kerberos, а не DNS
Теперь несколько дополнительных примечаний:
1) С ICANN разрешить создание произвольных TLD, если у вас достаточно денег, все будет честно, и пространство имен, которое, как вы считали, было защищено от конфликтов в прошлом году, вполне может теперь стать новым TLD в этом году.
2) Чтобы фактически потерять свой домен, вам придется дать ему истечь, а затем не уведомлять о 30 (60/90 /? Я забыл точное число в наши дни. И это может зависеть от регистратора, но не менее 2 недель) льготного периода .
Так почему же об этом не говорят? Потому что это не проблема, о которой вам нужно беспокоиться. В вашей внутренней инфраструктуре AD нет уязвимостей, и ваш риск такой же, как если бы вы запускали AD в другом домене, и срок действия вашего домена истек. Установите для вашего домена автоматическое продление, и все готово.