ADドメイン環境のセキュリティについて考えていました。質問があります:デフォルトで(IPSecなどを実装せずに)ドメイン間の通信はどの程度安全ですか?たとえば、SMB(両方ともハブ経由で接続されています)、同じサブネット内にスニファーを持っている人は誰でもこのファイルをキャプチャできますか?ADメンバー間の通信でデフォルトで暗号化されているプロトコルのリストはありますか?
一般的にはそうではありません。ドメインメンバー間のトラフィックは、プロトコル自体が暗号化されていない限り(Kerberosトラフィックのように)、またはSMB 3.0で暗号化をオンにしてエンドポイントがサポートしている場合)、またはIPSecを適切に実装していない限り暗号化されません。
一般的なルールは次のとおりです。メカニズムが暗号化されているという事実を知らない限り、何も暗号化されません。
AD環境(Kerberosなど)の認証トラフィックは、基本機能の一部として常に暗号化されています。
データの移動(ファイルのコピーなど)はそうではありません。特に(ssl)でない限り、Web上でのデータ移動はそうではありません。特に(sftp)でない限り、ftpはそうではありません。特に(ssh)でない限り、telnetはそうではありません。
エルゴ、NSAの仕事はかなり簡単です.... 2048ビットの暗号化が想定されるトランスポートになるまで(ipsecの設定などの「努力による実装」トランスポートとは対照的です)
環境内の内部通信の暗号化が心配な場合は、IPSecを使用して ドメイン分離 を実装したいようです。 。