ActiveDirectoryとドメインのDNS

現在、Internetに接続する社内LANシステムの更新作業を先人から引き継いで実施しています。
このシステムではActiveDirectoryのドメイン名とInternetで使用するドメイン名が同一になっています。
プロキシは使用しておらず、ActiveDirectoryのDNSからプライマリDNSにはフォワードを行っています。
このような場合、どのような不都合が起きるのでしょうか？

参考書によると内部構造が分かってしまうとありますが、どのように
分かるのでしょうか？
なお、このシステムには途中にファイヤーウオールが存在しています。

ベストアンサー retr 回答No.1

ActiveDirectory に統合された DNS には、そのドメインでドメインコントローラとなっているサーバの IP アドレスや、それらが果たしている役割分担（グローバルカタログ等）の情報が含まれます。こういった情報を、不要な DNS サーバに通知する場合、その情報が外部に漏れる可能性は高くなります。特に、プライマリ DNS が外部向けの DNS だったり、ゾーンファイルの転送に適切なフィルタがかけられていなかったりすると、見たい人が誰でもその情報を手に入れることができます。さらに、そういった情報をたれながしている DNS サーバを探し出すようなプログラムは30分もかからず書けます。

一般に、内部ネットワークのアドレス体系がわかるだけでも攻撃者を助けることになるため、境界ルータやファイヤウォールで NAT をかけることが推奨されています。ドメインコントローラの IP アドレスまで教えてしまうというのはそういった場合よりもかなり危険なことはお分かりいただけるかと思います。ドメインコントローラをターゲットとする攻撃を仕掛けようと思った場合、対象の IP アドレスが最初からわかってしまっているわけですから。

もちろん、ファイヤウォールが適切に動いていれば、内部ネットワークの情報が漏れてもすぐに攻撃されてしまうということはないでしょう。ただ、ファイヤウォールが破られてしまった場合にも侵害のリスクを最小化しておくことが、企業レベルのセキュリティには重要だという前提で、ご使用の参考書は書かれているのだと思います。

お礼 2006/08/16 10:28

ご回答ありがとうございます。
とりあえず現在運用を開始していまして
特に問題は起きていません（気づいていないだけかもしれませんが。。。）