Offene LDAP-Server und DDoS-Reflection-Attacks

LDAP & DDoS

LDAP steht für Lightweight Directory Access Protocol. Dabei handelt es sich um ein offenes Netzwerkprotokoll, das zur Abfrage und Änderung von Informationen von verteilten Verzeichnisstrukturen verwendet wird. Das Protokoll ist auf Windows-Servern standardmäßig aktiv und hört auch innerhalb von ungesicherten Verbindungen auf Port 389. Offene LDAP-Server werden immer häufiger für DDoS-Reflection-Attacks genutzt.


Offene LDAP-Server und DDoS-Reflection-Attacks pixabay.com / Markus Spiske https://pixabay.com/de/users/markusspiske-670330/

 

Offene LDAP-Server können drittgefährdend sein und sollten gesichert werden

Situation

Während das zunächst für das System selbst kein größeres Risiko zu bedeuten hat, stellen offene Netzwerkprotokolle Risiken für andere dar. Denn: Jeder kann offene LDAP-Server anfragen und erhält eine Antwort. Dabei kann die Antwort bis zu fünfzig mal größer sein als die Antwort. Angreifer können sich dies mit gefälschten Absender IP-Adressen zu nutze machen und eine DDoS-Reflection-Attacke auf einen Dritten mit einem Verbund fremder Server machen. Denn die Antwort des offenen LDAP-Servers geht dann an die Adresse des Opfers.

Deshalb: Sichern Sie den LDAP-Server ab

Ob Ihr Server einen offenen LDAP-Server im Netz hat können Sie durch eine einfache Bash-Abfrage in Erfahrung bringen (geht auch min Windows-Subsystem für Linux).

$ ldapsearch -x -h 192.168.178.1 -s base

Dabei müssen Sie natürlich die öffentliche IP-Adresse Ihres Servers eingeben und den Test aus der Situation eines außenstehenden (also nicht im LAN oder VPN) durchführen. Wenn der LDAP-Server nicht offen ist, läuft die Anfrage in einen Time-Out. Wenn nicht sollten Sie handeln!

Verbieten Sie, wenn möglich, die Ports 389 über UDP und TCP für Anfragen aus dem öffentlichen Netzwerk und wiederholen Sie den Test. Die Anfrage sollte nun leerlaufen.

Alternativ hierzu können Sie auch SSL-gesicherte Verbindungen verwenden, um die Authentizität der Clients zu prüfen und Fälschungen auszuschließen.

Geschafft? Sie haben das Internet sicherer gemacht!

Beachten Sie auch:

Nicht nur offene LDAP-Server stellen eine Gefahr dar. Beachten Sie daher auch folgendes:

 

  • NTP-Server mit aktiver 'monlist'-Funktion
  • Offene DNS-Resolver
  • Offene Elasticsearch-Server
  • Offene mDNS-Dienste
  • Offene Memcached-Server
  • Offene MongoDB-Server
  • Offene MSSQL-Browserdienste
  • Offene NetBIOS-Namensdienste
  • Offene Portmapper-Dienste
  • Offene Redis-Server
  • Offene SNMP-Server
  • Offene SSDP-Server
 

 

Letzte Änderung am Dienstag, 16 Januar 2018 09:12
iotex

THE DIGITAL TECHNOLOGY EXPERTS

iotex.co

Ähnliche Artikel

Made with ♥ in Freiburg im Breisgau

Copyright © 2017 by iotex freiburg - Alle Rechte vorbehalten!
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok Ablehnen