Vraag Moet ik mijn Active Directory blootstellen aan het openbare internet voor externe gebruikers?


Ik heb een klant wiens personeel volledig bestaat uit externe werknemers die een combinatie van Apple en Windows 7 pc's / laptops gebruiken.

De gebruikers verifiëren momenteel niet tegen een domein, maar de organisatie zou om verschillende redenen in die richting willen gaan. Dit zijn bedrijven die eigendom zijn van het bedrijf en het bedrijf probeert controle te hebben over deactivering van accounts, groepsbeleid en enige preventie van lichtverlies (uitschakelen van externe media, USB, enz.). Ze zijn bezorgd dat VPN-authenticatie vereist is om toegang te krijgen tot AD zou omslachtig zijn, vooral op het kruispunt van een beëindigde werknemer en inloggegevens in de cache op een externe machine.

De meeste services in de organisatie zijn gebaseerd op Google (e-mail, bestanden, chat, enzovoort), dus de enige domeinservices zijn DNS en de auth voor hun Cisco ASA VPN.

De klant wil graag begrijpen waarom dat zo is niet acceptabel om hun domeincontrollers aan het publiek bloot te stellen. Bovendien, wat is een meer acceptabele domeinstructuur voor een gedistribueerd extern personeelsbestand?

Bewerk:

Centrify is in gebruik voor een handvol Mac-clients.


45
2018-02-06 15:30


oorsprong


Er is een gerelateerde vraag HIER. Toestaan ​​dat externe services verbinding maken met uw AD om te synchroniseren of te verifiëren, is geen vreselijke praktijk, maar uw domeincontrollers plaatsen op een open DMZ, in essentie zoals u heeft gevraagd, is zeer onveilig. Zonder beveiliging op zijn plaats vraagt ​​u om een ​​verscheidenheid aan mogelijke aanvallen en problemen. Ik zou het ten zeerste aanbevelen en een VPN- of VPN-client aanbevelen van een firewall zoals Sonicwall met gebruikers van lokale apparaten. - Mike Naylor
Een always-on, machine-brede, automatisch herverbindende, op certificaten gebaseerde VPN instellen. (OpenVPN, DirectAccess, enz.) Dus VPN-authenticatie is niet gekoppeld aan de gebruikersaccounts en de gebruiker heeft geen directe interactie met de VPN-software. - Zoredache
DA is perfect, maar heeft ernstige eindpuntvereisten waaraan de klant niet voldoet (Mac zeker). - mfinni
+10 - Voor de suggestie van Zoredache. - Evan Anderson
Als je een back-up maakt van eindgebruikersapparaten, doe je het verkeerd. Als je een back-up maakt van apparaten van eindgebruikers via USB, dan doe je het echt verkeerd. - MDMarra


antwoorden:


Ik plaats dit als antwoord vooral omdat iedereen zijn eigen "opgeleide mening" heeft gebaseerd op ervaring, informatie over derden, geruchten en stamkennis binnen IT, maar dit is meer een lijst met citaten en lezingen "rechtstreeks" van Microsoft. Ik heb citaten gebruikt omdat ik zeker weet dat ze niet alle meningen filteren die door hun werknemers zijn gemaakt, maar dit zou toch nuttig moeten zijn als je op zoek bent naar authoritative referenties rechtstreeks van Microsoft.


BTW, Ik denk ook dat het ZEER GEMAKKELIJK is om DOMAIN CONTROLLER == ACTIEF GIDS te zeggen, wat niet helemaal het geval is. AD FS-volmachten en andere middelen (op formulieren gebaseerde machtigingen voor OWA, EAS, enz.) Bieden een manier om AD zelf aan het web bloot te stellen zodat clients ten minste via AD kunnen proberen te verifiëren zonder de DC's zelf bloot te stellen. Ga op iemands OWA-site en probeer in te loggen en AD zullen ontvang het verzoek om authenticatie op een backend DC, dus AD is technisch "blootgesteld" ... maar is beveiligd via SSL en proxied via een Exchange-server.


Citaat # 1

Richtlijnen voor het implementeren van Windows Server Active Directory op Windows Azure Virtual Machines

Voordat u vertrekt, is 'Azure is AD' ... u kunt ADDS implementeren op een Azure VM.

Maar om de relevante stukjes te citeren:

Stel STS's nooit rechtstreeks op internet.

Als een beste beveiligingsmethode, plaatst u STS-instanties achter een firewall en   verbind ze met uw bedrijfsnetwerk om blootstelling aan het netwerk te voorkomen   Internet. Dit is belangrijk omdat de STS-rol beveiliging uitdraagt   tokens. Als gevolg, ze moeten met hetzelfde niveau worden behandeld   bescherming als een domeincontroller. Als een STS is gecompromitteerd, kwaadwillig   gebruikers hebben de mogelijkheid om toegangstokens uit te geven die mogelijk bevatten   claims van hun keuze voor afhankelijke partijtoepassingen en andere STS's   in vertrouwende organisaties.

ergo ... domeincontrollers niet rechtstreeks op het internet plaatsen.

Citaat # 2

Active Directory - Het UnicodePwd-mysterie van AD LDS

Het blootstellen van een domeincontroller aan internet is normaal gesproken een slechte zaak   oefenen, of die blootstelling rechtstreeks uit de productie komt   omgeving of via een perimeternetwerk. Het natuurlijke alternatief is   om een ​​Windows Server 2008-server met Active Directory te plaatsen   De rol van Lightweight Directory Services (AD LDS) in de perimeter   netwerk.

Citaat # 3 - niet van MS ... maar toch nuttig om vooruit te kijken

Active Directory-as-a-Service? Azure, Intune geeft een hint naar een door cloud gehoste AD-toekomst

Uiteindelijk is er geen groot "kort" antwoord dat voldoet aan de doelstellingen van   het kantoor van de ADsserver bevrijden in ruil voor een Azure   alternatief. Hoewel Microsoft zelfgenoegzaam is in het toestaan ​​van klanten   om Active Directory Domain Services te hosten op Server 2012 en 2008 R2   vakken in Azure, hun bruikbaarheid is slechts zo goed als de VPN   connectiviteit die u kunt verzamelen voor uw personeel. DirectAccess, terwijl een zeer   Veelbelovende technologie, heeft zijn handen gebonden vanwege zijn eigen ongelukkige   beperkingen.

Citaat # 4

Implementeer AD DS of AD FS en Office 365 met Single Sign-On en Windows Azure Virtual Machines

Domeincontrollers en AD FS-servers mogen nooit rechtstreeks worden weergegeven   naar het internet en zou alleen bereikbaar moeten zijn via VPN


31
2018-02-06 19:39



Dit is een redelijk antwoord, hoewel alleen de eerste bronvermelding iets zegt over wat slechte dingen kunnen zijn als u het advies negeert. - Casey


Active Directory (AD) was niet ontworpen voor dat soort implementatie.

De bedreigingsmodellen die worden gebruikt in het ontwerp van het product gaan uit van een "achter de firewall" -implementatie met een aantal vijandige actoren gefilterd aan de netwerkgrens. Hoewel je Windows Server zeker kunt verharden om te worden blootgesteld aan een openbaar netwerk, vereist de correcte werking van Active Directory een beveiligingshouding die beslist lakser is dan een host die gehard is voor openbare netwerken. EEN lot van services moeten worden getoond vanuit een domeincontroller (DC) zodat AD correct werkt.

De suggestie van Zoredache in de opmerkingen, in het bijzonder verwijzen naar iets als OpenVPN dat wordt uitgevoerd als een machine-brede service met certificaatauthenticatie, past misschien wel goed. DirectAccess is, zoals anderen al hebben gezegd, precies wat u nodig hebt, behalve dat het niet beschikt over de platformonafhankelijke ondersteuning die u wenst.

Terzijde: ik speelde graag met het idee om IPSEC op basis van een certificaat te gebruiken om AD direct op internet te zetten, maar had nooit tijd om het te doen. Microsoft heeft wijzigingen aangebracht in de Windows Server 2008 / Vista-tijdspanne die dit zogenaamd haalbaar hadden gemaakt, maar ik heb het nooit echt uitgeoefend.


19
2018-02-06 18:31



+1 voor de OpenVPN die als een service draait, ik heb deze benadering met verkeerssoldaten in het verleden met succes toegepast. Er waren echter gemengde gevoelens van de Sr sys-admins, vooral omdat als een computer werd gecompromitteerd, dat een automatisch achterdeur in het netwerk. Geldige zorgen natuurlijk, want elke omgeving moet zich afvragen of de voordelen opwegen tegen het risico ....? - MDMoore313
Microsoft heeft een eigen bedrijfsnetwerk op het openbare internet met IPSec. Dus het is te doen. - Michael Hampton♦
@MichaelHampton maar ze gebruiken domeinisolatie met Windows Firewall en IPSec, dus het is niet echt "AD op het internet" het is "AD op het internet en in een beveiligingszone die lijkt op die welke een firewall zou bieden met behulp van host-gebaseerde firewallregels" - MDMarra
@ MDMoore313 - FTW-certificaat intrekken, hoewel de gebruiker die gestolen machine snel moet melden. - Evan Anderson
Er zijn ook manieren om bepaalde VPN-clients (bijvoorbeeld Juniper) af te melden na de verbinding. Het is niet zo mooi als de oude met GINA's geïnfundeerde degenen, maar het dwingt de gebruiker om zich opnieuw aan te melden terwijl hij zich op de VPN bevindt om daadwerkelijk te authenticeren tegen AD en GPO's te krijgen, etc. Je logt eerst in met inloggegevens in de cache, start zo nodig de VPN, en het logt je meteen af ​​en blijft verbonden terwijl je weer inlogt. - TheCleaner


Wat de rest zei. Ik ben bijzonder nerveus over de brute krachtpogingen die Christopher Karel noemde. Een presentatie op de laatste Def Con was over het onderwerp:

Dus je denkt dat je domeincontroller beveiligd is? 

JUSTIN HENDRICKS SECURITY ENGINEER, MICROSOFT

Domeincontrollers zijn de kroonjuwelen van een organisatie. Zodra zij   vallen, alles in het domein valt. Organisaties gaan geweldig   lengtes om hun domeincontrollers te beveiligen, maar ze slagen er vaak niet in   de software die wordt gebruikt om deze servers te beheren correct te beveiligen.

Deze presentatie behandelt onconventionele methoden voor het verkrijgen van een domein   admin door veelgebruikte managementsoftware te misbruiken die organisaties   implementeren en gebruiken.

Justin Hendricks werkt aan het Office 365-beveiligingsteam waar hij is   betrokken bij rode teaming, penetratietesten, veiligheidsonderzoek, code   beoordeling en toolontwikkeling.

Ik weet zeker dat je nog veel andere voorbeelden kunt vinden. Ik was op zoek naar artikelen over domeincontrollers en hacking in de hoop een beschrijving te krijgen van hoe snel de DC zou worden gevonden, enz., Maar ik denk dat dat voorlopig wel zal lukken.


15
2018-02-06 18:02



Hier is de video van de presentatie van de heer Hendricks: youtube.com/watch?v=2d_6jAF6OKQ  Ik wilde de DefCon 21-video's bekijken en ik denk dat ik hiermee begin. - Evan Anderson


Als u het management probeert te overtuigen, is een goede start:

It goes against Microsoft's Best Practices for Active Directory Deployment.

Bijwerken : Zien dit technische artikel over het beveiligen van domeincontrollers tegen aanvallen en de sectie getiteld Perimeter Firewall Restrictions dat verklaart:

Perimeter firewalls should be configured to block outbound connections
from domain controllers to the Internet. 

En de sectie met de titel Blocking Internet Access for Domain Controllers welke staten:

Launching web browsers on domain controllers should be prohibited not only
by policy, but by technical controls, and domain controllers should not be
permitted to access the Internet

Ik weet zeker dat je wat Microsoft-documentatie over de kwestie kunt opnemen, dus dat is het. Bovendien zou je de gevaren van zo'n zet kunnen aangeven, iets in de trant van:

A gaping hole would be created, possibly resulting in severe data loss and/or loss of company secrets.

Inloggegevens voor de cache zijn precies dat - in de cache. Ze werken voor de lokale machine wanneer het kan geen verbinding maken met het domein, maar als dat account was uitgeschakeld, zouden ze niet werken voor netwerkbronnen (svn, vpn, smb, fbi, cia, enz.), dus daar hoeven ze zich geen zorgen over te maken. Onthoud ook dat gebruikers al volledige rechten hebben over bestanden in hun profielmap op een lokale machine (en waarschijnlijk verwisselbare media), dus uitgeschakelde inloggegevens of niet dat ze kunnen doen wat ze willen met die gegevens. Ze zouden ook niet werken voor de lokale machine als deze opnieuw verbinding maakt met het netwerk.

Verwijst u naar de services die Active Directory of een domeincontroller biedt, zoals LDAP? Als dit het geval is, wordt LDAP vaak veilig uitgebroken voor authenticatie en directory-query's, maar als u de Windows Firewall uitschakelt (of alle vereiste poorten opent voor het publiek - hetzelfde in dit voorbeeld), kan dit ernstige problemen veroorzaken.

AD doet het niet echt beheren Macs, dus een afzonderlijke oplossing is vereist (denk aan OS X Server). U kunt lid worden van een Mac naar een domein, maar dat doet weinig meer dan hen toestemming geven met netwerkreferenties, domeinbeheerders instellen als lokale beheerders op de mac, enz. Geen groepsbeleid. MS probeert die reden te doorbreken met nieuwere versies van SCCM die beweren dat ze applicaties kunnen gebruiken in macs en * nix-boxen, maar ik moet het nog zien in een productieomgeving. Ik geloof ook dat je de macs zou kunnen configureren om verbinding te maken met OS X Server die zou authenticeren naar je AD-gebaseerde directory, maar ik zou het mis hebben.

Dat gezegd hebbende, kunnen enkele creatieve oplossingen worden bedacht, zoals de suggestie van Evan om OpenVPN als een service te gebruiken en de machine uit te schakelen als of wanneer het tijd is om die werknemer te laten gaan.

Het klinkt alsof alles op Google is gebaseerd, dus handelt Google als uw LDAP-server? Ik zou mijn cliënt aanraden om het zo te houden als het enigszins mogelijk is. Ik ken de aard van uw bedrijf niet, maar voor webgebaseerde apps zoals een git- of redmine-server, zelfs als de interne installatie kan worden geverifieerd met OAuth, gebruikmakend van een Google-account.

Ten slotte zou zo'n roadwarrior-opstelling bijna zo zijn vereisen een VPN om succesvol te zijn. Nadat de machines het kantoor zijn binnengebracht en zijn geconfigureerd (of op afstand via een script zijn geconfigureerd), hebben ze een manier nodig om eventuele wijzigingen in de configuratie te ontvangen.

De macs zouden een aparte beheeraanpak nodig hebben naast de VPN, het is jammer dat ze geen echte mac-servers meer maken, maar ze hadden een fatsoenlijke beleidsimplementatie in OS X Server de laatste keer dat ik controleerde (een paar jaar geleden ).


14
2018-02-06 19:10



Werkelijk, Centrify is in deze omgeving in gebruik voor het beheer van het beleid voor een handvol Mac-systemen op dit moment. - ewwhite
@ewwhite wat bedoel je met beheren? Het lijkt niets meer dan een centraal verificatiehulpprogramma. - MDMoore313
@ MDMoore313 je bent al een paar uur te laat, ik win: chat.stackexchange.com/transcript/127?m=13626424#13626424 - :) - TheCleaner
@TheCleaner haha ​​het lijkt zo, Je wint deze keer, je kent de kunst van Google Fu goed, maar je techniek ontgaat je In mijn beste Kung Fu met vreselijke lipsync stem. Nadat je je antwoord had gepost, moest ik dubbel zo hard zoeken om er een te vinden was niet een duplicaat van jou! - MDMoore313
LOL, geen zorgen ... de volgende keer dat we elkaar ontmoeten, is de overwinning mogelijk de jouwe. (in vreselijke lipsync stem) - TheCleaner


Het is jammer dat DirectAccess alleen beschikbaar is op Win7 + Enterprise Edition, omdat het op maat is gemaakt voor uw verzoek. Maar als u uw editie niet kent en ziet dat u MacOS hebt, werkt dat niet.

/ Bewerken - lijkt erop dat sommige derde partijen beweren DA-clients te hebben voor Unices: http://www.centrify.com/blogs/tomkemp/what_is_microsoft_directaccess_and_unix_linux_interoperability.asp

Er zijn MDM-oplossingen beschikbaar die kunnen werken om aan uw behoeften te voldoen; we rollen een van hen (MAAS360) uit naar een klant die zich in een vergelijkbare positie bevindt.


7
2018-02-06 16:25





Dit zou uiteraard een aanzienlijk veiligheidsrisico vormen. Bovendien zou het waarschijnlijk niet zo goed werken als je zou willen. Als willekeurige mensen op het internet aanmeldingen kunnen proberen in uw AD-omgeving, is de kans groot dat al uw gebruikers worden buitengesloten. Voor altijd. En het verwijderen van de uitsluitingsvereisten betekent dat het vrij gemakkelijk wordt om brute force-checks uit te voeren voor eenvoudige wachtwoorden.

Wat nog belangrijker is, is dat u geen problemen ondervindt bij het implementeren van uw doel (eindgebruikers inloggen op een laptop met domeinreferenties) zonder de AD-servers direct toegankelijk te maken. Namelijk, Windows-machines kunnen de laatste succesvolle X-logins opslaan, zodat diezelfde referenties werken wanneer ze worden losgekoppeld. Dit betekent dat eindgebruikers kunnen inloggen en nuttig werk kunnen doen, zonder dat ze uw AD-servers hoeven aan te raken. Het is duidelijk dat ze een VPN moeten gebruiken om verbinding te maken met andere belangrijke bedrijfsbronnen en tegelijkertijd de AD / GPO-instellingen kunnen vernieuwen.


5
2018-02-06 15:42



AD gebruikt voor niets alles (of op zijn minst ervan afhangen) uitzendingen, zolang AD voor zover ik weet AD is. Voor bepaalde technologieën is WINS vereist, die kunnen terugvallen op broadcast-aanvragen als er geen WINS-server beschikbaar is, maar dat is niet relevant voor AD in het algemeen. Als het hing van uitzendingen, kon je helemaal geen gebruikers op afstand hebben zonder lokale DC's. - mfinni
Bewerkt die regel uit. Bedankt voor de input. Het is duidelijk dat een Linux-man als ik niet op Windows moet blijven. - Christopher Karel
Als het zo 'voor de hand liggend' was, zou het toch geen vraag zijn, toch? - Casey


Ewwhite,

Uw vraag is uiterst geldig en verdient een zorgvuldige beoordeling.

Alle beveiligingsprofessionals raden lagen van beveiliging aan voor elke netwerkbron, inclusief SPI-firewalls, IDS, host-gebaseerde firewalls, enzovoort. Gebruik altijd een proxy-perimetergateway-firewall zoals ISA (nu TMG) ​​wanneer mogelijk.

Dat gezegd hebbende, Microsoft Active Directory 2003+ heeft geen grote kwetsbaarheden openbaar gemaakt. LDAP-technologie en de hash-algoritmen zijn over het algemeen erg veilig. Het is aantoonbaar veiliger dan de SSL VPN als die SSL VPN OpenSSL draait en kwetsbaar is voor heartbleed.

Ik zou 5 dingen waarschuwen:

  1. Wees bezorgd over de andere services die met het netwerk te maken hebben, zoals Terminal Server, DNS Services, CIFS en vooral IIS met zijn verschrikkelijke veiligheidsrecord.

  2. Gebruik LDAPS met een beveiligingscertificaat om te voorkomen dat de inloggegevens van het duidelijke tekstdomein via de draad worden doorgegeven. Dit gebeurt automatisch na het installeren van Certificate Services (gebruik een afzonderlijke machine voor PKI)

  3. Zet een packet-sniffer op de interface en bekijk uw verkeer, corrigeer eventuele clear-text-wachtwoorden, want firewall of niet, als u geen VPN of LDAPS gebruikt, zullen sommige legacy-systemen clear-text-wachtwoorden verzenden.

  4. Weet dat MITM-aanvallen de native authenticatiemechanismen kunnen dwingen om wachtwoorden te downgraden en bloot te stellen aan zwakkere NTLM-authenticatie.

  5. Houd rekening met sommige beveiligingslekken in de opsomming van gebruikers die mogelijk nog steeds bestaan.

Dat gezegd hebbende, Active Directory heeft een geweldige reputatie op het gebied van beveiliging. Verder slaat MS Active Directory geen wachtwoorden op, alleen hashes die ook de ernst van een compromis kunnen verminderen.

U kunt profiteren van een meer naadloze beveiligingsinfrastructuur, u hoeft geen speciale DNS-servers in te stellen of domein.local te gebruiken en u kunt uw daadwerkelijke domein gebruiken op het openbare internet, zoals domain.com.

In mijn professionele mening is er een substantieel voordeel voor het gebruik van beveiligingstechnologieën zoals Active Directory in het openbaar, waar andere technologieën zoals Exchange en DNS en webservers eenvoudig geen voordelen en alle risico's bieden.

Opmerking: als u Active Directory implementeert, bevat het een DNS-server. Wees zeker om recursie uit te schakelen op uw DNS-servers (standaard ingeschakeld) of u zult absoluut deelnemen aan Denial of Service-aanvallen.

cheers,

-Brian


2
2017-09-05 09:38





Dell (via het kopen van Quest (via de aankoop van Vintela)) heeft een platformonafhankelijke oplossing die vaak wordt ingezet in F500-bedrijven voor dit uitdrukkelijke doel.

Dingen om te overwegen...

  1. Zijn uw gebruikers altijd verbonden? Als dat het geval is, kunt u het beste worden bediend met een flexibele VM-gebaseerde hostingomgeving die kan buigen wanneer veel actieve gebruikers LDAP hameren
  2. Draait u in meer dan één fysiek datacenter? Overweeg geografische load-balancing voor de AD-services om het aantal hops tussen gebruikers en uw systemen te verminderen
  3. Als het antwoord op # 2 ja is, zorg er dan voor dat u een aantal speciale netwerkbronnen instelt om uw bos te repliceren zoals afgebeeld hier

En zorg ervoor dat uw firewall-oplossing in staat is om extreem hoge hertransmissiesnelheden aan te nemen als u gebruikers hebt met beperkte uplinks, verbinding maakt via luidruchtige wifi-centra, enz.


-3
2018-02-07 00:47



Hoe beheert dit Windows-machines, of beveiligt u iets als een DC dat is blootgesteld aan internet? Het leest helemaal niet zoals het doet. - mfinni
Verkeerde link, bedankt voor de vangst - gerepareerd. - subulaz