Внедрение LDAP с общедоступным IP-адресом
Я бы хотел реализовать LDAP с использованием FreeIPA для централизованной аутентификации и в целях безопасности (Kerberos).
Проблема в том, что мои серверы (Ubuntu) работают как общедоступное облако без частного интерфейса. Итак, мой единственный выбор - использовать общедоступный, но я не уверен, что это хорошая идея для реализации с общедоступным IP как для сервера, так и для клиентов.
Кроме того, меня беспокоят внешние сервисы. Как внешние службы могут получить доступ к REALM ?.
также интересуются пользователями. У нас есть два типа пользователей
- внешние пользователи с различными общедоступными IP-адресами
- внешние пользователи, которые используют один общедоступный IP-адрес, но используют NAT для назначения частного IP-адреса.
У меня мало опыта работы с LDAP и это было реализовано только в закрытом режиме. Поделитесь своим предложением. Я очень признателен.
Да, вы можете разрешить доступ к Kerberos и LDAP непосредственно через Интернет. Осторожно.
Kerberos был разработан для работы в недоверенных сетях.
Запускайте LDAP только через TLS; отключите незашифрованную службу. Ограничьте то, что может запрашивать анонимный пользователь. Проверьте, насколько чувствительны данные в LDAP, не возникнут ли проблемы с соблюдением нормативных требований или юридические проблемы, если произойдет утечка PII?
Знание IP-адресов пользователей само по себе не является аутентификацией. (Хотя достоверность IP-адресов может быть полезна в качестве разведки угроз). В этих приложениях аутентификация осуществляется с помощью сильной криптографии.
Поскольку эти услуги будут предоставляться через Интернет, постарайтесь обезопасить их. Защитите службы, не запускайте ничего другого на этом хосте. Проведите мониторинг, просмотрите неудачные входы в систему и посещения брандмауэра, чтобы получить представление о количестве попыток. Проконсультируйтесь с "красной командой", чтобы попробовать имитировать атаку на вашу защиту.
NAT - это не весело. Рассмотрите возможность внедрения IPv6, предлагая двойной стек, как и должно быть в интернет-сервисах.
Легче разрешить перечисление больших смежных сетевых блоков IPv6, если вы хотите это сделать. Пространство настолько велико, что его невозможно просканировать грубой силой, меньше шума из-за того, что злоумышленникам придется потрудиться, чтобы найти вас. И это еще раз подтверждает, что NAT - это не безопасность, измените правило брандмауэра, и ваш каталог больше не будет доступен из Интернета, несмотря на наличие "публичного" IP-адреса.