FreeIPA под прицелом: изучение атак и стратегий защиты / Комментарии / Хабр

Добрый день! На мой взгляд, пока рано утверждать, что FreeIPA безопаснее Active Directory (AD). Действительно, на FreeIPA сейчас совершается мало атак, но это скорее связано с тем, что она не так популярна, как AD. Злоумышленники просто не успели обнаружить столько уязвимостей и вариантов атак, сколько есть в MS AD.

Атаки на FreeIPA, например, на Kerberos, немного отличаются от атак на AD. Атаки типа Golden/Silver Ticket здесь имеют другой формат, потому что можно выпустить билет для любого пользователя или сервиса прямо с контроллера домена, имея root-права и не нуждаясь в хэше пароля krbtgt. В случае с AD для этого потребуются сторонние инструменты, такие как mimikatz, rubeus и другие. Существующие инструменты не подходят для работы с используемыми в FreeIPA тикетами.

Подводя итог, я бы не спешил утверждать, что FreeIPA безопаснее. С ростом популярности этого решения появится больше инструментов и методов атак.