DNS 安全和 .com AD 域,如果有人搶占我的公共 .com 域,我的 AD 域有什麼危險
我知道目前的最佳實踐要求我的 Windows AD 域名應該是購買的全球唯一命名空間(即 ad.namespace.com)的子域。這很好,花花公子。
我的問題是,如果我們的公共域註冊失效並且有人從我們下面搶注了域名(壞人現在擁有 namespace.com),會引入哪些潛在的安全漏洞?他們是否可以利用一些 DNS 巫術來破壞我們位於 ad.namespace.com 的內部網路?一個不知情的最終使用者是否會被誘騙做他們不應該做的事情,或者通過訪問一個佔據我們搶注網址的惡意網站來洩露敏感的私人域資訊?是否存在因擁有我們根級域名的壞人而導致的任何遠端 AD 身份驗證漏洞?
我可能會因為這樣說而激怒,但讓私有 AD 域佔據一個無法從 Internet 訪問的單獨命名空間(如whatever.local)似乎更安全。我知道這是討厭的。有人請讓我放心。我已經派了幾天來試圖研究這個問題,但我找不到其他人分享我對根級域名潛在危害的擔憂。或許我只是在鬧脾氣。提前致謝。
有人搶占您託管有 AD 的域的潛在安全漏洞……與有人搶占沒有 AD 的域的漏洞沒有什麼不同。
將能夠使用完全有效的 SSL 證書和正確的域對您的使用者進行網路釣魚。通過使用“不可訪問”的命名空間——我故意將其放在引號中——只會讓你面臨命名空間衝突,以及所有其他問題,這些問題是最佳實踐是在您擁有的域。
DNS 只是 AD 解決方案的一部分,僅涉及域的安全,因為它用於查找網路服務的位置。除此之外,您還擁有決定身份驗證能力的所有 Kerberos/LDAP 優點。
要回答您的具體問題:
如果我們的公共域註冊失效並且有人從我們下面搶注了域名(壞人現在擁有 namespace.com),會引入哪些潛在的安全漏洞?
網路釣魚、惡意軟體注入等。這些都與 AD 安全性無關,儘管這只是您正常的“當有人搶占您的域時發生的壞事”
他們是否可以利用一些 DNS 巫術來破壞我們位於 ad.namespace.com 的內部網路?
不
一個不知情的最終使用者是否會被誘騙做他們不應該做的事情,或者通過訪問一個佔據我們搶注網址的惡意網站來洩露敏感的私人域資訊?
肯定會看到上面的網路釣魚風險。但這並不是 AD 獨有的,只是您失去了域。
是否存在因擁有我們根級域名的壞人而導致的任何遠端 AD 身份驗證漏洞
沒有 AD 身份驗證由 Kerberos 而非 DNS 處理
現在補充幾點:
- 如果您有足夠的資金,ICANN 允許創建任意 TLD,任何事情都是公平的遊戲,並且您認為去年不會發生衝突的命名空間現在很可能成為今年的新 TLD。
2)要真正失去你的域名,你必須讓它過期,然後不通知 30(60/90/?這些天我忘記了確切的數字。它可能取決於註冊商,但至少 2 週)寬限期.
那麼為什麼人們不談論它呢?因為這不是你需要擔心的問題。您的內部 AD 基礎架構沒有漏洞,您的風險與您在不同域上執行 AD 並讓您的域過期一樣。將您的域設置為自動更新,您就完成了。