Active Directory: le workstation dovrebbero essere separate dai server per proteggerle da hack dei domini correlati?

2

In che modo è necessario proteggere gli host unificati del dominio nello stesso dominio di Active Directory da Attacco cookie di dominio correlato ?

Supponiamo che ci sia una foresta AD chiamata example.com . Questa azienda ha una varietà di applicazioni Web interne ed esterne:

  • store.example.com (customer facing)
  • partnerPortal.example.com (interno / partner di fronte)
  • payroll.example.com (rivolto verso l'interno)

Anche la foresta ha workstation sullo stesso dominio workstation001.example.com ... ecc.

Poiché questa risposta descrive come è facile modificare i cookie , penso che questa sia un'opportunità per < a href="http://en.wikipedia.org/wiki/Confused_deputy_problem"> confuso problema delegato , in cui l'autorizzazione concessa è il nome DNS concesso al computer.

Potrebbe essere un rischio per la sicurezza avere utenti e server sotto lo stesso dominio condiviso? Tenere presente che la maggior parte delle distribuzioni di AD rientrano in una di queste configurazioni:

Forest/Domain Name     External DNS Name       Vulnerable to Related Domain Attack
Contoso.com            Contoso.com             Yes
AD.Contoso.com         Contoso.com             Yes                 
Contoso.Local          Contoso.com             No

Qual è il modo migliore per mitigarlo?

    
posta random65537 05.03.2012 - 10:54
fonte

1 risposta

1

Non penso che questo abbia qualcosa a che fare con Active Directory. È una domanda sulle applicazioni Web interne.

Sì, immagino ci siano alcuni vantaggi in termini di sicurezza nel collocare le app interne su domini completamente separati. Tuttavia, ciò potrebbe risultare fastidioso dal punto di vista dell'usabilità (potrebbe essere più conveniente per i tuoi utenti avere tutti i servizi sotto un unico nome di dominio facile da ricordare), e non sono convinto che ne valga la pena di usabilità, dato che i rischi per la sicurezza sono probabilmente modesti. In termini di resistenza agli attacchi interni, sospetto che nella maggior parte dei siti ci saranno altri modi più efficaci per indurirsi contro attacchi interni / interni. Ma è qualcosa che dovrai valutare per te stesso; è un esercizio di gestione del rischio.

Non so se ci sono modi migliori per mitigare il rischio mantenendo la stessa struttura dei nomi di dominio. Ci possono essere modi per implementare le webapp critiche (ad esempio payroll.example.com ) in un modo che limita l'impatto di questo tipo di attacchi, ma non so in che modo potrebbero essere, ahimè. Mi dispiace.

    
risposta data 05.03.2012 - 20:13
fonte