Admins in der Pflicht: LDAP-Umstellung für mehr Sicherheit

Alle Unternehmen, die für die Netzwerkkommunikation zwischen Clients und Domain Controllern noch unsignierte LDAP-Verbindungen nutzen, sollten dies jetzt dringend ändern. Microsoft empfiehlt in allen aktuellen Windows-Versionen zumindest die Aktivierung der LDAP-Signierung. Nur so kann verhindert werden, dass Angreifer die ungeschützten LDAP-Verbindungen nutzen, um sich Rechte (Authentifizierung Informationen) in der Active Directory zu stehlen.

Seit Monaten bereits kündigt Microsoft an, die entsprechenden Einstellungen durch ein Update automatisch zu aktivieren. Zum wiederholten Mal wurde das Update nun jedoch bis auf unbestimmte Zeit verschoben. Somit bleiben alle Admins in der Pflicht, selbst entsprechende Einstellungen vorzunehmen.

Alle Admins, die sich bislang noch nicht um das Thema kümmern konnten, haben damit wertvolle Zeit gewonnen, Einstellungen und Logs zu prüfen, um IT-Ausfälle in Folge der automatischen Umstellung zu vermeiden. Diese Zeit sollten Sie jetzt nutzen! Zu Ihrer Sicherheit.

Sprechen Sie uns an, wir unterstützen Sie gerne!

 

Zum Hintergrund

Was ist an unsignierten LDAP-Verbindungen so gefährlich?

Unsignierte LDAP-Verbindungen sind nicht validiert und damit nicht abgesichert. Anmeldedaten werden in der Folge im Klartext über das Netzwerk zum Active Directory Domaincontroller versendet. Dabei kann jeder die Daten im Netzwerk abfangen und mitlesen. Das geschieht in vielen Fällen durch einen Man-in-the-Middle-Angriff. Wer mindestens die Signierung von LDAP aktiviert, kann das verhindern.

Was ist der Unterschied zwischen LDAP und LDAPS?

Bei LDAPS werden LDAP-Verbindungen nicht nur signiert, sie werden verschlüsselt. Dazu werden Zertifikate verwendet, und die Daten etwa mit TLS verschlüsselt. Die LDAP-Signierung arbeitet mit LDAP Channel Binding zusammen – beide Verfahren sollten daher auch gemeinsam konfiguriert werden.

Zwar kann die LDAP-Signierung den Man-in-the-Middle-Angriff verhindern, doch deutlich zuverlässiger und sicherer ist die Verschlüsselung von LDAP mit SSL (LDAPS).

 

Unsere Empfehlung an Sie

Vor dem Hintergrund des Sicherheitsrisikos und der geplanten Umstellung durch Microsoft müssen bis zum angekündigten Update die sogenannte LDAP Channelbindung und LDAP Signaturen auf Active Directory Domaincontrollern konfiguriert und abgesichert werden, idealerweise durch LDAPS.

Dem vorausgehen muss eine Analyse der gesamten Infrastruktur, welche Systeme und Applikationen nicht kompatibel sind und welche Systeme unsigniert/unverschlüsselt kommunizieren.

 

Dies können folgende Systeme sein:

  1. Firewall (VPN)
  2. ERP Applikation
  3. DMS Applikation
  4. CTI Software
  5. VMware vCenter
  6. Citrix Umgebungen
  7. OWA / Active Sync (Exchange)
  8. Storage Systeme
  9. NAC Systeme
  10. Log-Management Systeme
  11. Multifunktionssysteme (Scan-to-Mail, Authentifizierung)
  12. Operation Technology (Industrie Anlagen / Roboter)
  13. Facility Appliance (Videokameras, Rauch -und Bewegungsmelder, Zutrittskontrollen, Zeiterfassungsterminals)
  14. und viele weitere Applikationen und Devices

Wir raten Ihnen daher dringend dazu, alle Systeme und Applikationen in und an Ihrem Netzwerk ausfindig zu machen und zu prüfen, ob diese kompatibel mit den Einstellungen sind, welche durch das Sicherheitsupdate „ADV190023“ in Kraft treten.

Hinzu kommt: Damit Ihre Active Directory Domaincontroller verschlüsselt kommunizieren können, wird jeweils ein Computer-Zertifikat benötigt. Dieses Zertifikat bekommen Sie zum Beispiel aus einer internen Zertifikatstelle.

 

Bitte zögern Sie bei Fragen rund um das Thema nicht und kontaktieren Sie uns. Wir unterstützen Sie gerne.

 

Ihr Ansprechpartner

Sven Pithan

pithan@connect-systemhaus.ag
0271 – 488 73 – 49

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.