Назад | Перейти на главную страницу

Междоменные UNC-пути - защита учетных данных

У меня есть папка в удаленном домене:

\ DomainRemote \ Shared_Folder

И процесс в локальном домене, которому требуется доступ к указанной общей папке:

Между доменами существуют доверительные отношения, но только аутентифицированные пользователи из локального домена должны иметь доступ к общему ресурсу.

Хорошо - мне предлагается ввести учетные данные, и я могу получить доступ к общему ресурсу ...

Как эти учетные данные передаются по сети? Они ясны?

Если ясно, есть ли способ сделать это более надежно?

Если у вас есть действительное и функциональное доверие, а удаленный сервер, предоставляющий общий ресурс, является членом удаленного домена, вам никогда не следует запрашивать учетные данные. Тот факт, что вы являются запрашиваются учетные данные, это признак того, что доверие каким-то образом нарушено.

Если оставить в стороне проблему доверия, аутентификация для общих ресурсов SMB может быть выполнена с помощью одного из следующих механизмов:

  • LANMAN (устарел и небезопасен)
  • NTLM v1 (устарело и небезопасно)
  • NTLM v2
  • Билеты Kerberos (доступны только в доменах AD)

какой из них будет выбран, зависит от поддержки и конфигурации клиента и сервера. В вашем случае вы, вероятно, аутентифицируетесь с помощью NTLMv2, который является процесс вызова / ответа и, таким образом, не раскрывает пароли удаленной стороне.

Тем не менее сам протокол имеет слабые места. Один из них заключается в том, что взломать брутфорс в автономном режиме возможно, имея под рукой только переданные пакеты аутентификации и успешно для длины пароля <= 8 символов более десяти лет назад. Кроме того, аутентификация NTLMv2 подвержена вектору атаки, называемому отражение атак где злоумышленник обманом заставляет вас пройти аутентификацию на хосте, которым он управляет, и использует эту информацию для «прокси» данных аутентификации для сеанса, который он хочет установить.

Итак, auth делает не используйте пароли в виде открытого текста, но, тем не менее, они могут быть небезопасными. Если вас это беспокоит, убедитесь, что обе стороны аутентифицированы и желательно зашифрованы - например, используя сквозной IPSEC для всего вашего трафика.