none
Правильная настройка DNS RRS feed

  • Вопрос

  • Добрый день!

    прошу совета, есть сервер с "белым" ip смотрящим в инет(сетевая карта одна), на нём поднята AD/DNS......начал получать письма от хостера

    следующего вида

    ----------

    > the Lightweight Directory Access Protocol (LDAP) is a networking

    > protocol for accessing and maintaining distributed directory

    > information services.

    >

    > Over the past months, systems responding to LDAP requests from

    > anywhere on the Internet have been increasingly abused for DDoS

    > reflection attacks against third parties.

    >

    > Please find below a list of affected systems hosted on your network.

    > The timestamp (timezone UTC) indicates when the openly accessible LDAP

    > server was identified.

    >

    > We would like to ask you to check this issue and take appropriate

    > steps to secure the LDAP services on the affected systems or notify

    > your customers accordingly.

    >

    > If you have recently solved the issue but received this notification

    > again, please note the timestamp included below. You should not

    > receive any further notifications with timestamps after the issue has

    > been solved.

    >

    > Additional information on this notification, advice on how to fix

    > reported issues and answers to frequently asked questions:

    > <https://reports.cert-bund.de/en/>

    >

    > This message is digitally signed using PGP. Information on the

    > signature key is available at the aforementioned URL.

    ---------------

    ниже фигурирует ip моего сервера

    Affected systems on your network:

    >

    > Format: ASN | IP address | Timestamp (UTC) | DNS Hostname

    >  24940 | 148.XXX.XXX.XXX | 2017-08-20 06:00:08 |

    > XXXX-XXXX.XXXX.local  -- это имя машины в моём домене

    Вопрос, что я сделал не так? мне нужно каким-то образом закрыть свой домен снаружи? я верно понимаю?

    22 августа 2017 г. 9:06

Ответы

  • вопрос исключительно для самообразования в данной теме, машину с поднятым днсом и прямым ип в принципе не выставляют в интернет, или можно, но закрывать её скажем от всех кроме определённых ип?

    Для начала стоит себя спросить а зачем вообще выставлять в интернет голый сервер (разумеется если у вас это не арендованный выделенный сервер на какой-либо внешней площадке).

    Спросите себя - зачем вам днс-сервер, смотрящий наружу одним из своих интерфейсов. Это публичный днс-сервер? Он обслуживает запросы внешних клиентов? Если да, то в таком случае на этом сервере не должно быть роли AD, а зоны должны быть обычными зонами днс, не интегрированными в AD.

    Помимо этого, даже если вам все же пришлось выставить сервер наружу, вы должны понимать, что открытыми на этом сервере должны быть только порты, без которых сервер свою роль выполнять не сможет. Все остальное нужно принудительно закрывать.

    Ну и напоследок: на мой взгляд не существует ни одной причины, по которой бы сервер с AD,DNS должен был смотреть в интернет одним из своих интерфейсов. 

    22 августа 2017 г. 10:16

Все ответы

  • там изначально задача стояла с MS Azure AD подружить локальный AD, но занимаюсь этим не я и подробности сказать не могу
    22 августа 2017 г. 9:14
  • Расскажите что вас заставило выставить сервер с AD наружу? Неужели вы ещё в этот домен и другие внешние серверы с белыми адресами вводите?
    22 августа 2017 г. 9:16
  • там изначально задача стояла с MS Azure AD подружить локальный AD, но занимаюсь этим не я и подробности сказать не могу

    Интересные личности это все настраивали судя по всему...

    Для таких целей есть специальный инструмент, Azure AD Connect называется: https://docs.microsoft.com/ru-ru/azure/active-directory/connect/active-directory-aadconnect 

    Или вы на Azure разворачивали отдельную виртуалку? В таком случае надо было все на vpn завязывать, а не выставлять в инет "голый" контроллер домена.


    • Изменено Egor Vasilev 22 августа 2017 г. 9:18
    22 августа 2017 г. 9:17
  • там изначально задача стояла с MS Azure AD подружить локальный AD, но занимаюсь этим не я и подробности сказать не могу

    Интересные личности это все настраивали судя по всему...

    Для таких целей есть специальный инструмент, Azure AD Connect называется: https://docs.microsoft.com/ru-ru/azure/active-directory/connect/active-directory-aadconnect 

    Или вы на Azure разворачивали отдельную виртуалку? В таком случае надо было все на vpn завязывать, а не выставлять в инет "голый" контроллер домена.


    c VPN понятно, значит так и сделаю
    22 августа 2017 г. 9:22
  • Расскажите что вас заставило выставить сервер с AD наружу? Неужели вы ещё в этот домен и другие внешние серверы с белыми адресами вводите?
    нет конечно
    22 августа 2017 г. 9:22
  • вопрос исключительно для самообразования в данной теме, машину с поднятым днсом и прямым ип в принципе не выставляют в интернет, или можно, но закрывать её скажем от всех кроме определённых ип?
    22 августа 2017 г. 9:47
  • вопрос исключительно для самообразования в данной теме, машину с поднятым днсом и прямым ип в принципе не выставляют в интернет, или можно, но закрывать её скажем от всех кроме определённых ип?

    Для начала стоит себя спросить а зачем вообще выставлять в интернет голый сервер (разумеется если у вас это не арендованный выделенный сервер на какой-либо внешней площадке).

    Спросите себя - зачем вам днс-сервер, смотрящий наружу одним из своих интерфейсов. Это публичный днс-сервер? Он обслуживает запросы внешних клиентов? Если да, то в таком случае на этом сервере не должно быть роли AD, а зоны должны быть обычными зонами днс, не интегрированными в AD.

    Помимо этого, даже если вам все же пришлось выставить сервер наружу, вы должны понимать, что открытыми на этом сервере должны быть только порты, без которых сервер свою роль выполнять не сможет. Все остальное нужно принудительно закрывать.

    Ну и напоследок: на мой взгляд не существует ни одной причины, по которой бы сервер с AD,DNS должен был смотреть в интернет одним из своих интерфейсов. 

    22 августа 2017 г. 10:16
  • вопрос исключительно для самообразования в данной теме, машину с поднятым днсом и прямым ип в принципе не выставляют в интернет, или можно, но закрывать её скажем от всех кроме определённых ип?

    Для начала стоит себя спросить а зачем вообще выставлять в интернет голый сервер (разумеется если у вас это не арендованный выделенный сервер на какой-либо внешней площадке).

    Спросите себя - зачем вам днс-сервер, смотрящий наружу одним из своих интерфейсов. Это публичный днс-сервер? Он обслуживает запросы внешних клиентов? Если да, то в таком случае на этом сервере не должно быть роли AD, а зоны должны быть обычными зонами днс, не интегрированными в AD.

    Помимо этого, даже если вам все же пришлось выставить сервер наружу, вы должны понимать, что открытыми на этом сервере должны быть только порты, без которых сервер свою роль выполнять не сможет. Все остальное нужно принудительно закрывать.

    Ну и напоследок: на мой взгляд не существует ни одной причины, по которой бы сервер с AD,DNS должен был смотреть в интернет одним из своих интерфейсов. 

    спасибо за ответ!

    22 августа 2017 г. 10:18
  • ну с днсом то выставляют, чо нет то? закрыть все порты окромя 53удп\тсп... а вот лдап наружу то зачем? это не секурно и ваще... у вас провайдер просто ругается что вам в этот открытый лдап насуют полну попу огурцов(ДДОС) и собственно сам провайдер от этого страдать будет
    22 августа 2017 г. 10:19
  • понял, спасибо, сервер убрал за vpn
    22 августа 2017 г. 10:20
  • понял, спасибо, сервер убрал за vpn

    мне просто интересно: как этот сервер общался с другими вашими КД? Вы сказали, что у этого сервера одна сетевуха и та смотрит в инет. Может быть у вас ещё какие-то КД смотрели в инет? Или может быть этот сервер был единственным в домене?

    киньте с сервера вывод

    ipconfig /all 

    а также 

    nltest /dclist:your.domain

    your.domain замените на реальное имя домена.

    22 августа 2017 г. 10:25
  • понял, спасибо, сервер убрал за vpn

    мне просто интересно: как этот сервер общался с другими вашими КД? Вы сказали, что у этого сервера одна сетевуха и та смотрит в инет. Может быть у вас ещё какие-то КД смотрели в инет? Или может быть этот сервер был единственным в домене?

    киньте с сервера вывод

    ipconfig /all 

    а также 

    nltest /dclist:your.domain

    your.domain замените на реальное имя домена.

    всё предельно просто, этот КД не имел отношения к моему рабочем домену, это просто отдельно поднятая виртуалка у хостера для нужд которые мне были озвучены, моя ошибка, что я вывалил его наружу, хотя действительно смысла в этом не было...
    22 августа 2017 г. 10:29