Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Macchina in DMZ che tramite LDAP deve collegarsi ad AD DC
34 views
Skip to first unread message
^Bart
Nov 26, 2023, 9:57:16 AM11/26/23
to
Ciao a tutti,
ho due macchine in DMZ esposte al web, una con Debian Bookworm dove gira
Zammad.org ed un'altra con CentOS dove gira il centralino su base
Asterisk, entrambe tramite LDAP si tirano dentro gli utenti di AD DC
quindi per forza necessitano di una porta aperta verso la LAN dove gira
appunto il domain controller.
Entrambe le macchine hanno un job giornaliero in cui eseguono la query
verso AD DC quindi potrei schedulare l'apertura verso la LAN solo per
pochi minuti ad un determinato orario.
Altra ipotesi, non so quanto possa avere senso, mettere una macchina
Debian sempre in DMZ che faccia routing tra Asterisk e Zammad verso la
LAN così da avere uno "scudo" in più ma lo considero alla stregua di un
pour parler, tra l'altro tramite Samba potrei far girare una vera e
propria replica di AD DC...
Chi mi gestisce PfSense non ha "battuto ciglio" nell'ipotesi di tenere
le macchine in DMZ e lasciare aperta la porta verso la LAN per LDAP di
conseguenza non mi ha fatto altre proposte.
Saluti.
^Bart
ho due macchine in DMZ esposte al web, una con Debian Bookworm dove gira
Zammad.org ed un'altra con CentOS dove gira il centralino su base
Asterisk, entrambe tramite LDAP si tirano dentro gli utenti di AD DC
quindi per forza necessitano di una porta aperta verso la LAN dove gira
appunto il domain controller.
Entrambe le macchine hanno un job giornaliero in cui eseguono la query
verso AD DC quindi potrei schedulare l'apertura verso la LAN solo per
pochi minuti ad un determinato orario.
Altra ipotesi, non so quanto possa avere senso, mettere una macchina
Debian sempre in DMZ che faccia routing tra Asterisk e Zammad verso la
LAN così da avere uno "scudo" in più ma lo considero alla stregua di un
pour parler, tra l'altro tramite Samba potrei far girare una vera e
propria replica di AD DC...
Chi mi gestisce PfSense non ha "battuto ciglio" nell'ipotesi di tenere
le macchine in DMZ e lasciare aperta la porta verso la LAN per LDAP di
conseguenza non mi ha fatto altre proposte.
Saluti.
^Bart
sm
Nov 27, 2023, 2:28:28 AM11/27/23
to
Il Sun, 26 Nov 2023 15:58:01 +0100, ^Bart ha scritto:
> Chi mi gestisce PfSense non ha "battuto ciglio" nell'ipotesi di tenere
> le macchine in DMZ e lasciare aperta la porta verso la LAN per LDAP di
> conseguenza non mi ha fatto altre proposte.
Magari visto che devi autorizzare delle applicazioni web utilizzare un
> Chi mi gestisce PfSense non ha "battuto ciglio" nell'ipotesi di tenere
> le macchine in DMZ e lasciare aperta la porta verso la LAN per LDAP di
> conseguenza non mi ha fatto altre proposte.
identity management tipo Keycloak, federato con ActiveDirectory e che
supporta protocolli standard come SAML, OpenID e OAuth2.
Devi sempre aprire verso ActiveDirectory ma almeno hai una sola apertura
puntuale e su una macchina che sarà ragionevolmente sicura. Non solo, ma a
quel punto niente più ti vieta di prendere quegli applicativi e spostarli
sul cloud.
^Bart
Nov 27, 2023, 2:57:05 AM11/27/23
to
> Magari visto che devi autorizzare delle applicazioni web utilizzare un
> identity management tipo Keycloak, federato con ActiveDirectory e che
> supporta protocolli standard come SAML, OpenID e OAuth2.
Ti ringrazio per il feedback, non conoscevo questa possibilità e speravo
> identity management tipo Keycloak, federato con ActiveDirectory e che
> supporta protocolli standard come SAML, OpenID e OAuth2.
me la segnalasse chi in materia dovrebbe essere più esperto di me... in
ogni caso cercherò di studiare il tutto in autonomia in modo da farmi
un'idea per poi "inoltrare" la richiesta agli esperti e capire se ciò
che mi proporranno sarà degno di nota.
> Devi sempre aprire verso ActiveDirectory ma almeno hai una sola apertura
> puntuale e su una macchina che sarà ragionevolmente sicura. Non solo, ma a
> quel punto niente più ti vieta di prendere quegli applicativi e spostarli
> sul cloud.
Saluti.
^Bart
ObiWan
Nov 27, 2023, 3:49:15 AM11/27/23
to
:: On Sun, 26 Nov 2023 15:58:01 +0100
:: (it.comp.sicurezza.varie)
:: <ujvmc9$3a4mf$1...@dont-email.me>
a cosa mi sto riferendo, vedi questo esempio
https://ldaptor.readthedocs.io/en/latest/cookbook/ldap-proxy.html
in breve, invece di far parlare direttamente le macchine con il DC,
metti in piedi un proxy (in DMZ o in LAN) che sia una "black box",
ossia che esponga SOLO la porta LDAP, e lo configuri in modo da
inoltrare le richieste al DC, uno dei vantaggi di tale soluzione è la
possibilità di filtrare/manipolare le richieste, per cui, ad esempio,
potresti eliminare (o modificare) le richieste e/o le risposte in modo
da non fornire dati che ritieni "sensibili" e/o che non siano "utili"
al corretto funzionamento del tutto
Tra l'altro, in tal modo, le macchine in DMZ non avrebbero alcun tipo
di accesso diretto all'infrastuttura AD della LAN
:: (it.comp.sicurezza.varie)
:: <ujvmc9$3a4mf$1...@dont-email.me>
:: ^Bart <gabriel...@hotmail.com> wrote:
> ho due macchine in DMZ esposte al web, una con Debian Bookworm dove
> gira Zammad.org ed un'altra con CentOS dove gira il centralino su
> base Asterisk, entrambe tramite LDAP si tirano dentro gli utenti di
> AD DC quindi per forza necessitano di una porta aperta verso la LAN
> dove gira appunto il domain controller.
Hai considerato l'idea di usare un proxy LDAP ? Tanto per farti capire
> ho due macchine in DMZ esposte al web, una con Debian Bookworm dove
> gira Zammad.org ed un'altra con CentOS dove gira il centralino su
> base Asterisk, entrambe tramite LDAP si tirano dentro gli utenti di
> AD DC quindi per forza necessitano di una porta aperta verso la LAN
> dove gira appunto il domain controller.
a cosa mi sto riferendo, vedi questo esempio
https://ldaptor.readthedocs.io/en/latest/cookbook/ldap-proxy.html
in breve, invece di far parlare direttamente le macchine con il DC,
metti in piedi un proxy (in DMZ o in LAN) che sia una "black box",
ossia che esponga SOLO la porta LDAP, e lo configuri in modo da
inoltrare le richieste al DC, uno dei vantaggi di tale soluzione è la
possibilità di filtrare/manipolare le richieste, per cui, ad esempio,
potresti eliminare (o modificare) le richieste e/o le risposte in modo
da non fornire dati che ritieni "sensibili" e/o che non siano "utili"
al corretto funzionamento del tutto
Tra l'altro, in tal modo, le macchine in DMZ non avrebbero alcun tipo
di accesso diretto all'infrastuttura AD della LAN
John Smith
Nov 27, 2023, 4:17:20 AM11/27/23
to
On 27/11/2023 09:49, ObiWan wrote:
>
> Hai considerato l'idea di usare un proxy LDAP ? Tanto per farti capire
> a cosa mi sto riferendo, vedi questo esempio
Questa soluzione mi piace di piu'.
>
> Hai considerato l'idea di usare un proxy LDAP ? Tanto per farti capire
> a cosa mi sto riferendo, vedi questo esempio
> uno dei vantaggi di tale soluzione è la
> possibilità di filtrare/manipolare le richieste, per cui, ad esempio,
> potresti eliminare (o modificare) le richieste e/o le risposte in modo
> da non fornire dati che ritieni "sensibili" e/o che non siano "utili"
> al corretto funzionamento del tutto
> Tra l'altro, in tal modo, le macchine in DMZ non avrebbero alcun tipo
> di accesso diretto all'infrastuttura AD della LAN
:)
ObiWan
Nov 27, 2023, 6:58:54 AM11/27/23
to
:: On Mon, 27 Nov 2023 10:17:16 +0100
:: (it.comp.sicurezza.varie)
:: <uk1mqs$3mgtv$4...@dont-email.me>
:: John Smith <jsmi...@tiscali.it.invalid> wrote:
> e quest'altro motivo.
ne aggiungo un altro; supponiamo di piazzare il proxy in LAN e non in
DMZ, quindi configuriamo una regola che permetta alle macchine in DMZ
di poter contattare solo proxy LDAP e solo sulla porta LDAP, ed in più
metti la connessione tra DMZ e proxy su una VLAN isolata, mentre il
proxy avrà una seconda scheda di rete che gli permette di contattare il
DC per le query LDAP
:: (it.comp.sicurezza.varie)
:: <uk1mqs$3mgtv$4...@dont-email.me>
:: John Smith <jsmi...@tiscali.it.invalid> wrote:
> e quest'altro motivo.
ne aggiungo un altro; supponiamo di piazzare il proxy in LAN e non in
DMZ, quindi configuriamo una regola che permetta alle macchine in DMZ
di poter contattare solo proxy LDAP e solo sulla porta LDAP, ed in più
metti la connessione tra DMZ e proxy su una VLAN isolata, mentre il
proxy avrà una seconda scheda di rete che gli permette di contattare il
DC per le query LDAP
sm
Nov 27, 2023, 8:12:45 AM11/27/23
to
LDAP verso la LAN è aperta solo per il proxy e non per le altre macchine
esposte.
ObiWan
Nov 27, 2023, 10:09:49 AM11/27/23
to
> Mi piace meno. Il proxy ha senso se sta in DMZ
> con la regola che la porta LDAP verso la LAN è aperta solo per il
> proxy e non per le altre macchine esposte.
di avere il proxy in LAN è appunto quello di poter definire in DMZ una
regola che permetta alle macchine di inoltrare richieste LDAP *solo*
verso il proxy e, se necessario, il proxy potrebbe reperire in LAN
ulteriori informazioni che fossero necessarie per "filtrare" le query
^Bart
Nov 28, 2023, 8:51:57 AM11/28/23
to
> Mi piace meno. Il proxy ha senso se sta in DMZ, con la regola che la porta
> LDAP verso la LAN è aperta solo per il proxy e non per le altre macchine
> esposte.
La mia curiosità è quella di capire se possa fare un LDAP proxy con una
> LDAP verso la LAN è aperta solo per il proxy e non per le altre macchine
> esposte.
macchina Unix like tipo Debian piuttosto che con Windows anche perché
con SAMBA ad esempio si può replicare un Domain Controller.
Saluti.
^Bart
ObiWan
Nov 28, 2023, 11:08:46 AM11/28/23
to
:: On Tue, 28 Nov 2023 14:52:40 +0100
:: (it.comp.sicurezza.varie)
:: <uk4r9r$9t2b$1...@dont-email.me>
considerando che l'esempio che ho postato è in python, direi che non
dovrebbero esserci problemi, potresti anche usare un RaspberryPI per
implementare il proxy :)
:: (it.comp.sicurezza.varie)
:: <uk4r9r$9t2b$1...@dont-email.me>
dovrebbero esserci problemi, potresti anche usare un RaspberryPI per
implementare il proxy :)
^Bart
Dec 3, 2023, 4:50:11 AM12/3/23
to
> considerando che l'esempio che ho postato è in python, direi che non
> dovrebbero esserci problemi, potresti anche usare un RaspberryPI per
> implementare il proxy :)
Ho riguardato i tuoi post e quindi anche l'esempio in questione!
> dovrebbero esserci problemi, potresti anche usare un RaspberryPI per
> implementare il proxy :)
Saluti.
^Bart
sm
Dec 3, 2023, 1:01:24 PM12/3/23
to
con il firewall a bordo della stessa macchina proxy.
Da mio punto di vista una macchina che fa da proxy per un servizio LAN non
può stare nella LAN. Banalmente se una delle macchine esposte venisse
compromessa in quel caso avrebbe un potenziale accesso alla LAN, cosa che
per come la vedo io è proprio quello che vorrei mitigare.
ObiWan
Dec 4, 2023, 4:09:47 AM12/4/23
to
:: On Sun, 3 Dec 2023 18:01:22 -0000 (UTC)
:: (it.comp.sicurezza.varie)
:: <pan$2fcd9$e04987ea$4c11eebb$528e...@carotone.net>
proxy in LAN, ed il proxy esporrebbe comunque solo la porta LDAP/LDAPS
per cui la vedo dura usare il proxy come "trampolino" per entrare in
LAN d'altro canto, con il proxy in DMZ il firewall dovrebbe essere
configurato per permettere il traffico LDAP/LDAPS dalla DMZ ad uno dei
server LDAP in LAN... e sinceramente la cosa non mi piace molto :)
:: (it.comp.sicurezza.varie)
:: <pan$2fcd9$e04987ea$4c11eebb$528e...@carotone.net>
:: sm <caro...@test.net> wrote:
> Da mio punto di vista una macchina che fa da proxy per un servizio
> LAN non può stare nella LAN. Banalmente se una delle macchine esposte
> venisse compromessa in quel caso avrebbe un potenziale accesso alla
> LAN, cosa che per come la vedo io è proprio quello che vorrei
> mitigare.
Se un host in DMZ venisse compromesso, l'unico accesso sarebbe verso il
> Da mio punto di vista una macchina che fa da proxy per un servizio
> LAN non può stare nella LAN. Banalmente se una delle macchine esposte
> venisse compromessa in quel caso avrebbe un potenziale accesso alla
> LAN, cosa che per come la vedo io è proprio quello che vorrei
> mitigare.
proxy in LAN, ed il proxy esporrebbe comunque solo la porta LDAP/LDAPS
per cui la vedo dura usare il proxy come "trampolino" per entrare in
LAN d'altro canto, con il proxy in DMZ il firewall dovrebbe essere
configurato per permettere il traffico LDAP/LDAPS dalla DMZ ad uno dei
server LDAP in LAN... e sinceramente la cosa non mi piace molto :)
sm
Dec 5, 2023, 10:15:27 AM12/5/23
to
proxy, che non è esposta direttamente ma accessibile LDAPS solo alle altre
macchine in DMZ che ne necessitano.
In sostanza aggiungi un hop prima di arrivare alla LAN.
ObiWan
Dec 6, 2023, 4:31:16 AM12/6/23
to
:: On Tue, 5 Dec 2023 15:15:24 -0000 (UTC)
:: (it.comp.sicurezza.varie)
:: <pan$73b96$2e86f887$510a460$41ee...@carotone.net>
nella DMZ, potrebbe (ad es.) fare ARP spoofing in modo da potersi poi
presentare al firewall con l'IP della macchina "proxy" ed in tal modo
raggiungere il server LDAP in LAN, se invece il "proxy" fosse situato
in LAN, l'eventuale attaccante potrebbe solo raggiungere il "proxy" e
non avrebbe "spazio di manovra", spero di essere stato più chiaro :-)
:: (it.comp.sicurezza.varie)
:: <pan$73b96$2e86f887$510a460$41ee...@carotone.net>
:: sm <caro...@test.net> wrote:
> No, dovrebbe essere configurato non dalla DMZ ma solo dalla macchina
> proxy, che non è esposta direttamente ma accessibile LDAPS solo alle
> altre macchine in DMZ che ne necessitano.
> In sostanza aggiungi un hop prima di arrivare alla LAN.
Si, quello lo sapevo, quello che intendo è che se qualcuno "penetra"
> No, dovrebbe essere configurato non dalla DMZ ma solo dalla macchina
> proxy, che non è esposta direttamente ma accessibile LDAPS solo alle
> altre macchine in DMZ che ne necessitano.
> In sostanza aggiungi un hop prima di arrivare alla LAN.
nella DMZ, potrebbe (ad es.) fare ARP spoofing in modo da potersi poi
presentare al firewall con l'IP della macchina "proxy" ed in tal modo
raggiungere il server LDAP in LAN, se invece il "proxy" fosse situato
in LAN, l'eventuale attaccante potrebbe solo raggiungere il "proxy" e
non avrebbe "spazio di manovra", spero di essere stato più chiaro :-)
0 new messages