我知道,目前的最佳做法规定我的 Windows AD 域名应该是购买的全局唯一命名空间的子域(即 ad.namespace.com)。这很好。
我的问题是,如果我们的公共域名注册失效,有人抢注了我们的域名(现在坏人拥有 namespace.com),会引入哪些潜在的安全漏洞?他们是否可以利用一些 DNS 巫术来破坏我们在 ad.namespace.com 的内部网络?不知情的最终用户是否会被诱骗去做他们不应该做的事情,或者通过访问占用我们抢注的网址的恶意网站来泄露敏感的私人域名信息?坏人拥有我们的根级域名是否会导致任何远程 AD 身份验证漏洞?
我可能会因为这样说而招致愤怒,但让私有 AD 域占据一个无法从互联网访问的单独命名空间(如 whatever.local)似乎更安全。我知道这很讨厌。请有人让我放心。我花了几天时间研究这个问题,但我找不到其他人和我一样担心根级域名的潜在危害。也许我只是个新手。提前谢谢。
答案1
有人抢注您托管 AD 的域名,这种潜在的安全漏洞与有人抢注没有 AD 的域名,这种漏洞与其他人造成的漏洞没有什么不同。
攻击者能够利用完全有效的 SSL 证书和正确的域名来钓鱼您的用户。使用“无法访问”的命名空间(我故意将其放在引号中)只会让您面临名称空间冲突以及所有其他问题,而这些问题正是最佳实践是在您自己的域名上使用子域名的根本原因。
DNS 只是 AD 解决方案的一部分,仅用于查找网络服务的位置,与域安全有关。除此之外,您还拥有 Kerberos/LDAP 的所有优点,这些优点决定了身份验证的能力。
回答您的具体问题:
如果我们的公共域名注册失效并且有人抢注了我们的域名(坏人现在拥有 namespace.com),会引入哪些潜在的安全漏洞?
网络钓鱼、恶意软件注入等。这些都与 AD 安全没有太大关系,但它们只是正常的“当有人抢注你的域名时发生的坏事”
他们能否利用某种 DNS 巫术来危害我们位于 ad.namespace.com 的内部网络?
不
不知情的最终用户是否会被诱骗去做不该做的事情,或者通过访问占用我们抢注网址的恶意网站而泄露敏感的私人域名信息?
当然,请参阅上面的网络钓鱼风险。不过,这并不是 AD 特有的,只是你丢失了你的域名。
坏人拥有我们的根级域名是否会导致远程 AD 身份验证漏洞
没有 AD 身份验证由 Kerberos 而不是 DNS 处理
现在补充几点说明:
1) 如果您有足够的钱,ICANN 允许创建任意 TLD,任何事情都是公平的,并且您去年认为不会发生冲突的命名空间今年很可能成为一个新的 TLD。
2) 要真正失去您的域名,您必须让它过期,然后在 30(60/90/?我忘记了确切的数字。它可能取决于注册商,但至少是 2 周)的宽限期内不予通知。
那么为什么人们不谈论它呢?因为这不是你需要担心的问题。你的内部 AD 基础架构没有漏洞,你的风险与你在其他域上运行 AD 并让你的域过期时的风险相同。将你的域设置为自动续订,你就完成了。