Port 88 inoltro per gli utenti fuori sede per l'autenticazione con DC

2

Quindi, dopo una ricerca, ho deciso di eseguire un port forwarding sulla porta 88 dai router Mikrotik esterni utilizzando l'indirizzo IP pubblico x.x.x.x sulla porta 88 nell'ufficio principale, in modo che gli utenti possano autenticarsi con il controller di dominio per l'accesso interattivo.

Se il port forwarding è fatto dalla porta 88 usando specifici IP reali x.x.x.x (field office 1) a porta 88 real IP y.y.y.y (ufficio principale) l'utente fuori sede dovrebbe quindi essere in grado di autenticare per le credenziali.

La mia preoccupazione è fino a che punto questa configurazione può essere vulnerabile agli attacchi?

    
posta Eddy Akl 30.07.2016 - 14:26
fonte

1 risposta

3

Non dovresti mai esporre il server di autenticazione su Internet. È più sicuro esporre il server VPN e quindi fare in modo che gli utenti si connettano prima a VPN alla rete dell'ufficio. Puoi anche connettere le tue due reti tramite VPN. Utilizza un'appliance VPN sicura e collaudata, ci sono alcuni software economici come OpenVPN.

Le VPN sono anche il principale obiettivo per gli hacker. Pertanto è bene avere un numero limitato di reti che possono accedere alla VPN (firewall), tenerlo sempre aggiornato, non consentire la connessione senza certificato utente (quindi è necessario un problema per ogni cert SSL dell'utente, in questo modo la forza bruta non funzionerà su VPN), applica un buon software AV per ogni client che accede ad esso.

Per quanto riguarda l'esposizione di SSL per la VPN, si noti che un tempo esistevano numerosi exploit SSL, quindi avere certs utente, firewall e aggiornamenti è davvero importante.

Gli utenti dovrebbero poter accedere a Windows utilizzando le credenziali di dominio offline (senza VPN), quindi accedere a VPN e procedere con l'avvio di Outlook e l'utilizzo di Active Directory e altro.

    
risposta data 30.07.2016 - 19:41
fonte

Leggi altre domande sui tag