Das Lightweight Directory Access Protocol (LDAP) ist ein Netzwerkprotokoll zur Abfrage und Verwaltung von Informationen verteilter Verzeichnisdienste.

Problem

Offen aus dem Internet erreichbare LDAP-Server können für DDoS-Reflection-Angriffe gegen IT-Systeme Dritter missbraucht werden. Darüber hinaus können Angreifer die Schwachstelle potenziell nutzen, um Informationen über das System bzw. Netzwerk zur Vorbereitung weiterer Angriffe auszuspähen.

Prüfung

Dieser Abschnitt beschreibt, wie Sie Ihr System auf einen offenen Dienst prüfen können. Es existieren üblicherweise mehrere Wege, dies zu testen. Das hier beschriebene Verfahren ist eines davon. Für alle hier beschriebenen Testverfahren werden Programme verwendet, die in gängigen Linux/Unix-Distributionen enthalten sind. Um zu überprüfen, ob ein Dienst offen aus dem Internet erreichbar ist, sollte die Prüfung nicht auf dem System selbst oder im lokalen Netzwerk erfolgen, sondern von einem anderen System im Internet, zum Beispiel an einem Kabel/DSL-Internetzugang. In allen Beispielen muss 192.168.45.67 durch die IP-Adresse des Systems ersetzt werden, welches geprüft werden soll.

Um zu überprüfen, ob sich unter einer IP-Adresse ein offen aus dem Internet erreichbarer LDAP-Server befindet, kann das Programm 'ldapsearch' wie folgt verwendet werden:

$ ldapsearch -x -h 192.168.45.67 -s base

Ein offen erreichbarer LDAP-Server liefert Systeminformationen wie zum Beispiel die folgenden zurück:

dn:

currentTime: 20161227101121.0Z

subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=MYDOMAIN,DC=DE

dsServiceName: CN=NTDS Settings,CN=SRV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=MYDOMAIN,DC=DE

namingContexts: DC=MYDOMAIN,DC=de

namingContexts: CN=Configuration,DC=MYDOMAIN,DC=de

namingContexts: CN=Schema,CN=Configuration,DC=MYDOMAIN,DC=de

defaultNamingContext: DC=MYDOMAIN,DC=de

schemaNamingContext: CN=Schema,CN=Configuration,DC=MYDOMAIN,DC=de

configurationNamingContext: CN=Configuration,DC=MYDOMAIN,DC=de

rootDomainNamingContext: DC=MYDOMAIN,DC=de

Ist unter der IP-Adresse kein offener LDAP-Server erreichbar, läuft die Anfrage in einen Timeout.

Lösung

• Beschränken Sie den Zugriff auf den LDAP-Server auf vertrauenswürdige Clients, zum Beispiel durch die Blockierung eingehender Verbindungen auf Port 389/tcp und 389/udp auf der Firewall.
• Verwenden Sie LDAP mit StartTLS bzw. LDAPS (LDAP über TLS/SSL) für eine sichere, verschlüsselte Verbindung zwischen Clients und LDAP-Server.

Weitere Informationen

• Wikipedia: Lightweight Directory Access Protocol
• f5: Old Protocols, New Exploits: LDAP Unwittingly Serves DDoS Amplification Attacks
• Corero: Corero Warns of Powerful New DDoS Attack Vector with Potential for Terabit-Scale DDoS Events
• 360.com: CLDAP is Now the No.3 Reflection Amplified DDoS Attack Vector, Surpassing SSDP and CharGen