Active Directory: ¿Deben separarse las estaciones de trabajo de los servidores para protegerlos de los hacks de dominio relacionados?

2

¿Cómo debo proteger los hosts unidos a un dominio en el mismo dominio de AD del Ataque de cookies de dominio relacionado ?

Supongamos que hay un bosque de AD llamado example.com . Esta empresa tiene una variedad de aplicaciones web internas y externas:

  • store.example.com (orientado al cliente)
  • partnerPortal.example.com (interno / asociado)
  • payroll.example.com (orientado internamente)

El bosque también tiene estaciones de trabajo en el mismo dominio workstation001.example.com ... etc.

Ya que esta respuesta describe lo fácil que es modificar las cookies , creo que esta es una oportunidad para un < a href="http://en.wikipedia.org/wiki/Confused_deputy_problem"> problema de agente confuso , donde la autoridad otorgada es el nombre DNS otorgado a la computadora.

¿Sería un riesgo de seguridad tener usuarios finales y servidores bajo el mismo dominio compartido? Tenga en cuenta que la mayoría de las implementaciones de AD se encuentran en una de estas configuraciones:

Forest/Domain Name     External DNS Name       Vulnerable to Related Domain Attack
Contoso.com            Contoso.com             Yes
AD.Contoso.com         Contoso.com             Yes                 
Contoso.Local          Contoso.com             No

¿Cuál es la mejor manera de mitigar esto?

    
pregunta random65537 05.03.2012 - 10:54
fuente

1 respuesta

1

No creo que esto tenga nada que ver con Active Directory. Es una pregunta sobre aplicaciones web internas.

Sí, imagino que hay un beneficio de seguridad al colocar las aplicaciones internas en dominios totalmente separados. Sin embargo, esto puede ser molesto desde una perspectiva de usabilidad (puede ser más conveniente para sus usuarios tener todos los servicios bajo un solo nombre de dominio fácil de recordar), y no estoy convencido de que valga la pena el uso de la usabilidad. Dado que los riesgos de seguridad son probablemente modestos. En cuanto a la resistencia a los ataques internos, sospecho que en la mayoría de los sitios habrá otras formas más efectivas de fortalecerse contra los ataques internos / internos. Pero eso es algo que tendrás que evaluar por ti mismo; Es un ejercicio de gestión de riesgos.

No sé si hay mejores maneras de mitigar el riesgo mientras se mantiene la misma estructura de nombre de dominio. Puede haber formas de implementar las aplicaciones web críticas (por ejemplo, payroll.example.com ) de una manera que limite el impacto de ese tipo de ataques, pero simplemente no sé de qué manera podrían ser, por desgracia. Lo siento por eso.

    
respondido por el D.W. 05.03.2012 - 20:13
fuente

Lea otras preguntas en las etiquetas