yurybx
@yurybx
системный администратор

Доступ к Active Directory через LDAP злоумышленниками — чем грозит?

Разворачиваем в компании корпоративный портал Битрикс (коробка). Хотим его интегрировать с Active Directory, чтобы синхронизировать учётные записи сотрудников. Для этого придётся открыть доступ к контроллеру домена по 3268-му порту и прописать в Битриксе логин/пароль учётной записи, входящей в группу "Пользователи домена". Вопрос в следующем: чем грозит взлом Битрикса контроллеру домена? Какие существуют атаки на контроллер домена через LDAP?
Конфигурация: Windows Server 2012 R2
  • Вопрос задан
  • 594 просмотра
Решения вопроса 2
TS,
юзайте LDAPS для связи AD&B24.
Сам В24 в мир выпускайте только по нужных портах а еще лучше через реверс-прокси!
Ответ написан
Комментировать
yurybx
@yurybx Автор вопроса
системный администратор
Благодарю Роман Безруков за упоминание AD LDS, возможно это и есть решение моего вопроса. Буду изучать.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 2
akelsey
@akelsey
Ну во-первых получают список всех объектов:
* серверов с их ролями
* пользователей с их логинами

Далее уже подход будет индивидуальным, наверняка найдется пользователь с паролем "qweasd123" - ну и там далее тактические шаги - атака на Exchange если есть, RDP если опубликован и прочее и прочее.
Ответ написан
@Karpion
Ну, тут зависит от схемы интеграции. Если Вы копируете в Битрикс информацию (именно так я понимаю слово "синхронизация") - то при взломе Битрикса можно утянуть всё, что туда скопировано.

Кроме того, теоретически можно вскрыть Битрикс и подсадить туда свою программу, которая будет перехватывать вход юзера - тогда можно будет утянуть ещё и пароли тех, кто логинится.

Для начала надо бы сделать так, чтобы Битикс был доступен только в лок.сети, но не снаружи. А если надо снаружи - то через VPN.

А вообще - странно разворачивать систему, которую можно легко взломать.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы