Необходимо остановить атаку отражения LDAP. Разрешит ли только разрешение LAN IP для LDAP нарушить функциональность активного каталога / домена?
Предыстория: У меня есть контроллер домена, подключенный к Интернету (я знаю, что этого не должно быть, был собран по частям). К сожалению, мы только что обнаружили, что он используется в атаках отражения LDAP. Мы используем это только для активного каталога, работа с DNS не ведется.
На данном этапе я не могу внести много изменений в физическую инфраструктуру и просто хочу ограничить запросы, поступающие на порт 389 через UDP / TCP, только IP-адресами в локальной сети. Я пытаюсь ограничить проблемы и время простоя, так как это среда с высоким трафиком.
Я заметил в Resource Monitor> Network> TCP Connections, общедоступные IP-адреса для других серверов в домене, показываемые на порту 389. У меня сложилось впечатление, что связь с AD осуществляется через 10.1.1.x.
Вопросы:
Могу ли я добавить только диапазон IP-адресов LAN 10.1.1.0/24 к правилу брандмауэра для порта 389 без нарушения других функций AD / DC?
Почему я должен видеть подключения к AD с других серверов с их общедоступным IP-адресом?
Так что можно разрешить только внутренние IP-адреса в брандмауэре для LDAP TCP / UDP (порт 389) и Secure LDAP (порт 636), добавив внутренний диапазон IP.
Моя реклама использует 10.1.1.0/24
После смены брандмауэра моя сетевая активность со временем увеличилась с 50-90 Мбит / с до 1 Мбит / с.
Примечание: В некоторых случаях для удаления исходящих подключений может потребоваться некоторое время. Я предполагаю, что это связано с проблемой портов эфермалов и определенным периодом времени или продолжающейся активностью.