将 LDAP 以只读模式公开到互联网上是普遍可以接受的吗?

将 LDAP 以只读模式公开到互联网上是普遍可以接受的吗?

我需要支持需要访问 LDAP 服务器来定位 SMIME 密钥的 Mac 客户端。

由于密钥已经在 AD 中,并且我可以轻松创建 RODC 或只读林并将证书推送到其中,将未经身份验证的 LDAP 和 LDAP 暴露给互联网是否可以接受?

我能想到的一个问题是 LDAP 形式的目录收集攻击,其中垃圾邮件发送者可以确定哪些地址有效,哪些地址无效。

答案1

这完全取决于 LDAP 目录中的内容。

对于 Active Directory 来说,绝对不是,即使对于 RODC 也是如此 - 这些设备的安全配置文件是为在您的网络内部设计的(RODC 专门针对物理攻击进行了强化,因此您可以将其保存在壁橱中 - 普通 DC 的物理攻击将使攻击者控制域和所有用户的密码哈希)。

攻击者可以从 AD 中获取大量信息 - 尝试验证的用户名、系统名称、一定数量的网络拓扑...如果不足以进行直接攻击(针对不同公共端点的密码攻击,如 VPN?),肯定足以组织一次可靠的社会工程学或鱼叉式网络钓鱼攻击。

答案2

不,这通常不可接受。我不确定您想要实现什么,但我认为正确的方法是先建立 VPN 连接,然后连接到 LDAP。

相关内容