É geralmente aceitável expor o LDAP no modo somente leitura à Internet?

Question

É geralmente aceitável expor o LDAP no modo somente leitura à Internet?

#1 resposta do (12 votos)
#2 resposta do (11 votos)

4

Eu preciso oferecer suporte a clientes Mac que precisam acessar um servidor LDAP para localizar chaves SMIME.

Como as chaves já estão no AD e é fácil criar uma floresta RODC ou somente de leitura para a qual envio os certificados, é aceitável expor LDAP e LDAP não autenticados à Internet?

Um problema em que posso pensar é uma forma LDAP de um ataque de coleta de diretório, em que um spammer pode determinar quais endereços são válidos e quais não são.

ldap active-directory openldap rodc smime

por random65537 05.03.2014 / 01:43

2 respostas

11

Não, não seria geralmente aceitável. Não tenho certeza do que você está tentando alcançar, mas eu diria que a maneira correta é primeiro estabelecer uma conexão VPN e, em seguida, conectar-se ao LDAP.

por 05.03.2014 / 02:14

Tags ldap active-directory openldap rodc smime

É melhor ter quatro servidores médios ou um servidor incrível? Para uma inicialização muito inicial: servidor inicial ou EC2? [fechadas]

score 12 · Accepted Answer

Depende completamente do que está no diretório LDAP.

Para o Active Directory, absolutamente não, mesmo para um RODC - o perfil destes dispositivos de segurança é projetado para estar dentro de sua rede (o RODC especificamente é endurecido contra comprometimento físico, para que possa mantê-lo em um armário - um compromisso físico de um DC normal daria a um invasor o controle do domínio e os hashes de senha de todos os usuários).

Um invasor pode ganhar uma montanha de informações de anúncio - usernames para tentar autenticar com, nomes de sistemas, uma certa quantidade de topologia de rede .. se não o suficiente para atacar com diretamente (ataques de senha contra um terminal público diferente, como VPN? ), certamente o suficiente para unir uma engenharia social sólida ou um ataque de spear phishing.