Reenvío del puerto 88 para que los usuarios externos se autentiquen con DC

2

Luego de investigar, decidí hacer un reenvío de puerto en el puerto 88 desde los enrutadores Mikrotik externos usando la dirección IP pública x.x.x.x al puerto 88 en la oficina principal, para que los usuarios puedan autenticarse con el controlador de dominio para el inicio de sesión interactivo.

Si el reenvío de puertos se realiza desde el puerto 88 utilizando una IP real específica x.x.x.x (oficina de campo 1) al puerto 88 real IP y.y.y.y (oficina principal), el usuario externo debe poder autenticarse para obtener las credenciales.

Mi preocupación es hasta qué punto esta configuración puede ser vulnerable a los ataques?

    
pregunta Eddy Akl 30.07.2016 - 14:26
fuente

1 respuesta

3

Nunca debe exponer el servidor de autenticación a Internet. Es más seguro exponer el servidor VPN y luego hacer que los usuarios se conecten a VPN primero a la red de su oficina. También puede conectar sus dos redes a través de VPN. Utilice un dispositivo VPN seguro y bien probado, hay algunos software baratos como OpenVPN.

Las VPN también son el principal objetivo de los hackers. Por lo tanto, es bueno tener un número limitado de redes que puedan acceder a su VPN (firewall), mantenerlo siempre actualizado, no permitir la conexión sin el certificado de usuario (por lo que necesita un certificado SSL de cada usuario, de esta manera la fuerza bruta no funcionará en VPN), aplique un buen software AV para cada cliente que acceda a él.

Con respecto a la exposición de SSL para la VPN, tenga en cuenta que solía haber numerosas vulnerabilidades de SSL, por lo que tener certificados de usuario, firewall y actualizaciones es realmente importante.

Los usuarios deben poder iniciar sesión en Windows usando las credenciales de dominio sin conexión (sin VPN), luego iniciar sesión en VPN y continuar con el lanzamiento de Outlook y usar Active Directory y demás.

    
respondido por el Aria 30.07.2016 - 19:41
fuente

Lea otras preguntas en las etiquetas