Доступ к Active Directory через LDAP злоумышленниками — чем грозит?

Question

[Григорий Бондаренко]

Разворачиваем в компании корпоративный портал Битрикс (коробка). Хотим его интегрировать с Active Directory, чтобы синхронизировать учётные записи сотрудников. Для этого придётся открыть доступ к контроллеру домена по 3268-му порту и прописать в Битриксе логин/пароль учётной записи, входящей в группу "Пользователи домена". Вопрос в следующем: чем грозит взлом Битрикса контроллеру домена? Какие существуют атаки на контроллер домена через LDAP?
Конфигурация: Windows Server 2012 R2

Comments

[Роман Безруков]

Вы планируете этот портал выставить наружу?

[Григорий Бондаренко]

Роман Безруков, да, в этом то и проблема. Начальство хочет, чтобы сотрудники могли использовать Битрикс со своих смартфонов вне офиса.

[Роман Безруков]

Григорий Бондаренко, понятно...тогда, как уже было сказано, смотрите в сторону LDAPS между Битрикс и AD

[Григорий Бондаренко]

Роман Безруков, я всё ещё не понимаю, как LDAPS поможет в случае взлома Битрикса. Особенно, учитывая, что сервер Битрикса и Контроллер домена находятся в одном и том же помещении.

[Роман Безруков]

Григорий Бондаренко, одно и то же помещение - это просто физическое расположение. Если Вы знаете, что Битрикс так или иначе сломают - зачем Вы пытаетесь его внедрить? Как внутреннюю болталку или решение для совместной/удаленной работы? Редактировать документы на телефоне - сомнительное удовольствие.
Следующий момент - Битрикс явно имеет рекомендованные шаблоны внедрения, его компоненты можно разнести и выставлять наружу/DMZ только веб-морду через балансировки/реверс-прокси, остальное - за файрволами, в разных подсетях, открываются только нужные порты. Можно ещё сильнее запараноить - и научить Битрикс ходить за учетками в AD LDS, который будет играть роль AD-прокси и синхронизироваться с AD по LDAPS

Answer 1

[Sasha Odarchuk]

TS,
юзайте LDAPS для связи AD&B24.
Сам В24 в мир выпускайте только по нужных портах а еще лучше через реверс-прокси!

Answer 2

[Григорий Бондаренко]

Благодарю Роман Безруков за упоминание AD LDS, возможно это и есть решение моего вопроса. Буду изучать.

Answer 3

[akelsey]

Ну во-первых получают список всех объектов:
* серверов с их ролями
* пользователей с их логинами

Далее уже подход будет индивидуальным, наверняка найдется пользователь с паролем "qweasd123" - ну и там далее тактические шаги - атака на Exchange если есть, RDP если опубликован и прочее и прочее.

Comments

[Sasha Odarchuk]

* серверов с их ролями

всех-всех?

[Григорий Бондаренко]

А были ли в Active Directory критические уязвимости в прошлом, эксплуатируемые через LDAP? Например, позволяющие утянуть пароль администратора или выполнить произвольный код на контроллере домена? Насколько LDAP устойчив к перебору паролей (сколько паролей в секунду позволяет перебрать)?

[akelsey]

Sasha Odarchuk, ну что вы ерунду то спрашиваете - понятно что те что в AD.

Answer 4

[Karpion]

Ну, тут зависит от схемы интеграции. Если Вы копируете в Битрикс информацию (именно так я понимаю слово "синхронизация") - то при взломе Битрикса можно утянуть всё, что туда скопировано.

Кроме того, теоретически можно вскрыть Битрикс и подсадить туда свою программу, которая будет перехватывать вход юзера - тогда можно будет утянуть ещё и пароли тех, кто логинится.

Для начала надо бы сделать так, чтобы Битикс был доступен только в лок.сети, но не снаружи. А если надо снаружи - то через VPN.

А вообще - странно разворачивать систему, которую можно легко взломать.

Comments

[Григорий Бондаренко]

Начальство хочет, чтобы сотрудники могли пользоваться Битриксом со смартфонов. Я замахаюсь настраивать VPN на каждом смартфоне.
Насчёт лёгкости взлома: Битрикс вроде достаточно надёжен при грамотном использовании. Но готовимся к худшему :)

[Роман Безруков]

Григорий Бондаренко, подумайте в сторону использования LDAPS между Битриксом и КД

[Karpion]

Григорий Бондаренко, Ищите VPN, позволяющий экспортировать и импортировать настройки. Один раз сделал - потом всем импортировал.

Также можно глянуть в сторону port knocking - довольно интересная технология.

А я решал такую проблему созданием SSh-туннеля (клиент: W'XP, PuTTY; сервер: FreeBSD, sshd). Не знаю, как на смартфонах.

[Григорий Бондаренко]

Karpion, проблема со смартфонами состоит в том, что у меня нет инструмента массового удалённого администрирования. В случае с ноутбуками, я могу создать политику на контроллере домена (например, настройка VPN-клиента), и на следующее утро она будет автоматически применена ко всем ноутбукам компании. Я также могу удалённо подключиться к любому ноутбуку через powershell и, не прерывая работы пользователя, выполнять конфигурацию вручную. Смартфоны же находятся в постоянном использовании (входящие/исходящие звонки), и их массовая конфигурация становится головной болью.

[Григорий Бондаренко]

Роман Безруков, а что даст LDAPS в случае взлома Битрикса?

[Роман Безруков]

Григорий Бондаренко, ну, по крайней мере, обмен между Битрикс и AD не в открытом виде...