Quão importante é o LDAP sobre SSL com o Active Directory?

2

Eu decidi integrar o Active Directory ao iDRAC LOM dos nossos servidores Dell. Um dos pré-requisitos é que os controladores de domínio estejam habilitados para SSL para comunicação de ldap. O processo de configuração no iDRAC diz Upload Active Directory CA Certificate . Então eu faço o login em um dos nossos CDs, vou ao seu armazenamento de certificados pessoais e está vazio. Até hoje, sempre assumi que nossos serviços de domínio estavam usando SSL (não fui eu quem configurou o domínio). Eu nunca configurei antes, e eu não estou muito familiarizado com os ins-e-outs, então a única maneira que eu sei de verificar se estamos usando SSL ou não é usar o wireshark no DC e as capturas pacotes. Capturar na porta 636 não produziu nada, enquanto a captura em 389 me deu todos os tipos de dados. Então, neste momento, tenho certeza de que não estamos usando SSL.

Então, minha pergunta é: qual é a importância de que as informações do diretório transmitidas sejam criptografadas? Estou assumindo que, se houvesse um risco imediato de não ser criptografado, não importa como é o seu domínio (se a empresa é grande ou pequena com níveis variáveis de regras de segurança), a Microsoft teria forçado o SSL.

Obviamente, gostaria de ter a integração do AD com o LOM em meus servidores Dell, mas tenho algum trabalho a fazer antes de implementá-lo. Algumas perguntas que eu gostaria de respostas são:

  1. Quais riscos devo ter em conta que estamos enfrentando por não usar SSL
  2. Se eu seguir um dos milhões de guias na internet para ativar o SSL, ele interromperá o serviço atual? Ou poderei fazê-lo e as máquinas clientes saberão como usar o SSL automaticamente?
  3. Eu tenho dois DCs executando um único domínio como domain.local. Como é um TLD "interno", acredito que precisarei configurá-lo usando uma autoridade de certificação interna e não uma empresa terceirizada?
  4. Com base na resposta de # 1, você diria que é seguro ficar fora do SSL? O que você acha que é a proporção de benefício para esforço envolvido na conversão para SSL?
por Safado 26.01.2012 / 00:33

1 resposta

7

What risks should I be aware of that we're facing by not using SSL

As solicitações dos membros do domínio usarão o SASL (consulte: seção Modelo de segurança LDAP em este doc )

Solicitações que não forem de um membro do domínio ou cliente capaz de usar o SALS podem ser interceptadas. Internamente, isso pode não ser um grande negócio, já que você provavelmente tem uma rede comutada e um bom controle de sua infraestrutura física.

If I follow one of the million guides on the internet to enable SSL, will it interrupt current service? Or will I be able to do it and the client machines will some how be informed to use SSL automatically?

Não deve interromper o serviço atual. Alguns clientes (como o Dell LOM) precisarão de configuração para usar a porta SSL, se estiverem funcionando no momento, e você quiser ativar o SSL. Você não precisa fazer nada em seus servidores Windows / estações de trabalho.

I have two DCs running a single domain as domain.local. Since it's an "internal" TLD, I'm guessing I'll need to set this up using an internal CA and not a third party?

Você também pode usar um certificado autoassinado. Alguns clientes não vão gostar deste certificado auto-assinado, mas o seu Drac provavelmente ficaria bem com um certificado auto-assinado.

A configuração de uma CA corporativa é relativamente fácil, mas deve estar em uma caixa / vm apenas para essa finalidade. Você pode pagar uma licença extra do Windows?

Você também pode executar uma OpenSSL CA, pode executar uma a partir de uma unidade flash USB muito facilmente . Se você estiver familiarizado com o Linux, a configuração de um dispositivo Ubuntu box / vm / usb executando o tinyca só deve levar algumas horas.

Based off the answer of #1, would you say it's safe to stay off of SSL? What would you feel is the ratio of benefit to effort involved in getting converted to ssl?

  • Se você não confia em sua infraestrutura física, provavelmente deve ativar o SSL.
  • Se você tiver um número muito pequeno de servidores, talvez não valha a pena o esforço.
  • Você pode reduzir o risco usando ipsec ou alguma VPN para criptografar o LDAP.
  • Como Evan mencionou em um comentário, o DRAC LOM basicamente fornece acesso físico, portanto, você deve considerar a configuração do SSL para protegê-lo de um MITM.
por 26.01.2012 / 00:42