2 votos

Necesita dejar de LDAP reflexión ataque. Sólo se permite LAN IPs para LDAP descanso de active directory/funcionalidad de dominio?

Historia: tengo un controlador de dominio expuesto en internet (lo sé, no debería ser, fue elaborado por etapas). Por desgracia, hemos descubierto que se utiliza en LDAP ataques de reflexión. Sólo estamos usando esto para active directory, no se mucho de DNS de trabajo.

Yo no puedo hacer muchos cambios a la infraestructura física en esta etapa y sólo quiere limitar las solicitudes de golpear el puerto 389 a través de UDP/TCP para LAN sólo IPs. Estoy tratando de limitar los problemas y el tiempo de inactividad como es un entorno de tráfico.

Me di cuenta en el Monitor de Recursos > Red > Conexiones TCP, el IPs públicas para los otros servidores en el dominio mostrando en el puerto 389. Yo estaba bajo la impresión de la comunicación para el ANUNCIO fue a través de la 10.1.1.x.

Preguntas:

Puedo agregar sólo la IP de la LAN rango 10.1.1.0/24 a la regla de firewall para el puerto 389 sin romper otros AD/DC funcionalidad?

Por qué iba yo a ver la conexión que el ANUNCIO de otros servidores con su IP pública?

0voto

J. Martin Puntos 4

Así que está bien para permitir sólo las direcciones ip internas en el firewall para LDAP TCP/UDP (puerto 389) y LDAP Seguro (el puerto 636) agregando la IP interna de la gama.

enter image description here

Mi ANUNCIO es el uso de 10.1.1.0/24

Después de cambiar el firewall, mi actividad en la red pasó de 50-90Mbps a 1Mpbs a lo largo del tiempo.

Nota: En algunos casos, puede tomar un tiempo para las conexiones de salida para quitar de sí mismos. Supongo que esto se debe a que la cuestión de la ephermals puertos y de un cierto período de tiempo o la continuación de la actividad.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: