05 Апр, 2023

Облегченный протокол доступа к каталогам (LDAP)

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

LDAP (облегченный протокол доступа к каталогам) это протокол клиент-сервер, который использует иерархическую структуру каталогов для хранения и организации информации. Он используется для доступа к справочным информационным службам и их обслуживания, таким как информация о пользователях и группах, адреса электронной почты и сетевые ресурсы.

Общие порты LDAP

Порт TCP 389: Это порт по умолчанию, используемый LDAP для незащищенной связи. LDAP использует TCP в качестве базового транспортного протокола, а порт 389 является стандартным TCP-портом, используемым LDAP для незашифрованной связи. Этот порт используется клиентами для подключения к серверу LDAP и выполнения запросов LDAP и других операций.

Порт TCP 636: Это порт, используемый LDAP через SSL / TLS (LDAPS) для безопасной связи. LDAPS - это защищенная версия LDAP, которая использует шифрование SSL / TLS для защиты связи между клиентом LDAP и сервером. Порт 636 - это стандартный TCP-порт, используемый LDAP через SSL / TLS, и он обеспечивает безопасный канал для связи LDAP.

Порт TCP 3268: Это порт, используемый LDAP для поиска по глобальному каталогу. В Active Directory (AD) глобальный каталог представляет собой распределенное хранилище данных, содержащее частичную копию всех объектов в лесу. Глобальный каталог позволяет выполнять поиск по всему лесу, а не только по одному домену. Порт 3268 используется клиентами LDAP для запроса глобального каталога.

Порт TCP 3269: Это порт, используемый LDAP через SSL / TLS для поиска по глобальному каталогу. Этот порт используется для обмена LDAP-файлами с глобальным каталогом, обеспечивая безопасный канал для запросов глобального каталога.

Стандартные команды от неавторизованных пользователей

Неавторизованные пользователи могут попытаться отправить стандартные команды LDAP, чтобы попытаться получить доступ к информации каталога или изменить ее без надлежащей аутентификации. Некоторые примеры стандартных команд LDAP , которые может использовать неавторизованный пользователь, включают:

BIND: Эта команда используется для аутентификации и установления сеанса с сервером LDAP. Неавторизованный пользователь может попытаться отправить запросы привязки с неверными или пустыми учетными данными, чтобы попытаться установить сеанс без надлежащей аутентификации.

SEARCH: Эта команда используется для поиска в каталоге определенных записей, соответствующих заданному набору критериев. Неавторизованный пользователь может попытаться отправить поисковые запросы для сбора информации о записях каталога и их атрибутах.

ADD: Эта команда используется для добавления новых записей в каталог. Неавторизованный пользователь может попытаться отправить запросы на ДОБАВЛЕНИЕ новых записей в каталог без надлежащей авторизации.

MODIFY: Эта команда используется для изменения существующих записей в каталоге. Неавторизованный пользователь может попытаться отправить запросы на ИЗМЕНЕНИЕ для изменения существующих записей каталога без надлежащей авторизации.

DELETE: Эта команда используется для удаления существующих записей из каталога. Неавторизованный пользователь может попытаться отправить запросы на удаление для удаления записей каталога без надлежащей авторизации.

Инструменты для использования протокола LDAP

Ручные Инструменты:

  • ldapsearch: Этот инструмент командной строки является частью пакета OpenLDAP и используется для поиска и извлечения информации из каталогов LDAP. Его можно использовать для запроса серверов LDAP и получения информации о записях, такой как атрибуты, значения и классы объектов.

  • ldapmodify: Также являющийся частью пакета OpenLDAP, этот инструмент командной строки используется для изменения записей в каталогах LDAP. Его можно использовать для добавления, удаления или изменения атрибутов и значений существующих записей.

  • Apache Directory Studio: Это мощный и удобный графический инструмент для просмотра каталогов LDAP и управления ими. Он включает в себя такие функции, как браузер схем, редактор LDIF и поисковую систему, и предназначен для работы с различными серверами LDAP, включая OpenLDAP, Microsoft Active Directory и Novell eDirectory.

  • JXplorer: Это графический инструмент на основе Java для просмотра каталогов LDAP и управления ими. Он включает в себя такие функции, как древовидная навигация, импорт / экспорт LDIF и поддержка SSL / TLS, и разработан таким образом, чтобы быть легким и удобными в использовании.

  • Администратор LDAP: Это веб-инструмент для управления каталогами LDAP. Он включает в себя такие функции, как аутентификация и авторизация пользователей, управление вводом и управление схемой, и может использоваться для управления различными серверами LDAP, включая OpenLDAP, Microsoft Active Directory и Novell eDirectory.

  • Браузер Softterra LDAP: Это мощный и многофункциональный графический инструмент для просмотра каталогов LDAP и управления ими. Он включает в себя такие функции, как древовидная навигация, импорт / экспорт LDIF и поддержка SSL / TLS, и предназначен для работы с различными серверами LDAP, включая OpenLDAP, Microsoft Active Directory и Novell eDirectory.

  • PHPLDAPadmin: Это популярный веб-инструмент для управления каталогами LDAP. Он включает в себя такие функции, как аутентификация и авторизация пользователей, управление вводом и управление схемой, и может использоваться для управления различными серверами LDAP, включая OpenLDAP, Microsoft Active Directory и Novell eDirectory.

  • OpenLDAP: Это реализация протокола LDAP с открытым исходным кодом и включает в себя инструмент командной строки для управления каталогами LDAP. Его можно использовать для настройки серверов LDAP и управления ими, а также для выполнения различных административных задач, таких как добавление и удаление записей.

  • Пользователи и компьютеры Microsoft Active Directory: Это графический инструмент для управления Active Directory, который использует протокол LDAP. Он включает в себя такие функции, как управление пользователями и группами, управление разрешениями и управление политиками, и разработан таким образом, чтобы быть удобным и простым в использовании.

  • Novell iManager: Это веб-инструмент для управления Novell eDirectory, который использует протокол LDAP. Он включает в себя такие функции, как управление пользователями и группами, управление разрешениями и управление схемами, и разработан таким образом, чтобы быть мощным и гибким.

Автоматизированные инструменты:

  • Nmap: Это популярный инструмент для исследования сети и аудита безопасности, который можно использовать для сканирования открытых портов LDAP и идентификации серверов LDAP. Он включает в себя такие функции, как обнаружение операционной системы, сканирование портов и определение версии, и разработан таким образом, чтобы быть быстрым и эффективным.

  • Metasploit: Это платформа для разработки и выполнения эксплойтов против уязвимостей программного обеспечения, включая уязвимости, связанные с LDAP. Он включает в себя такие функции, как модули эксплойтов, полезные нагрузки и вспомогательные модули, и разработан таким образом, чтобы быть расширяемым и настраиваемым.

  • OWASP ZAP: Это сканер безопасности веб-приложений с открытым исходным кодом, который можно использовать для проверки подлинности LDAP и механизмов авторизации. Он включает в себя такие функции, как активное сканирование, пассивное сканирование и отчеты об уязвимостях, и разработан таким образом, чтобы быть простым в использовании и гибким.

  • Burp Suite: Это мощный инструмент тестирования безопасности веб-приложений, который включает в себя такие функции, как перехват, сканирование и инструменты тестирования как для ручного, так и для автоматического тестирования механизмов аутентификации и авторизации LDAP. Он поддерживает несколько протоколов аутентификации, включая LDAP, и обладает широкими возможностями настройки для точной настройки проверок и тестов.

  • Aircrack-ng: Этот инструмент в основном используется для тестирования безопасности беспроводных сетей, но он включает в себя модуль для тестирования аутентификации LDAP по беспроводным сетям. Он может выполнять различные типы атак, такие как атаки по словарю и атаки методом перебора, чтобы проверить надежность паролей LDAP.

  • Responder: Этот инструмент используется для тестирования безопасности сетей Windows и включает в себя модуль для тестирования аутентификации LDAP. Он может выполнять различные типы атак, такие как кража хэша NTLM и атаки с передачей хэша, для проверки безопасности аутентификации LDAP в средах Windows.

  • Nikto: Это сканер веб-сервера, который можно использовать для проверки уязвимостей, связанных с LDAP, таких как обход каталогов и раскрытие информации. Его также можно использовать для идентификации серверов LDAP и проверки учетных данных по умолчанию или слабых паролей.

  • Wfuzz: Это инструмент тестирования безопасности веб-приложений, который включает в себя модуль для тестирования аутентификации LDAP. Он может выполнять нечеткое тестирование различных параметров и заголовков и может использоваться для проверки уязвимостей при внедрении LDAP.

Последние пять известных CVE для LDAP

• CVE-2023-28853 – Mastodon - это бесплатный сервер социальной сети с открытым исходным кодом, основанный на ActivityPub Mastodon позволяет настраивать LDAP для аутентификации. Начиная с версии 2.5.0 и до версий 3.5.8, 4.0.4 и 4.1.2, запрос LDAP, выполняемый при входе в систему, небезопасен, и злоумышленник может выполнить атаку с использованием LDAP-инъекции для утечки произвольных атрибутов из базы данных LDAP. Эта проблема исправлена в версиях 3.5.8, 4.0.4 и 4.1.2.

• CVE-2023-25613 – Уязвимость для внедрения LDAP существует в LdapIdentityBackend Apache Kerby до версии 2.0.3.

• CVE-2023-23951 – Возможность перечислять атрибуты Oracle LDAP для текущего пользователя путем изменения запроса, используемого приложением

• CVE-2023-23749 – Расширение "Интеграция LDAP с Active Directory и OpenLDAP – NTLM и Kerberos Login" уязвимо для внедрения LDAP, поскольку неправильно очищает параметр POST ‘username’. Злоумышленник может манипулировать этим параметром для сброса произвольного содержимого из базы данных LDAP.

• CVE-2023-22964 – Zoho ManageEngine ServiceDesk Plus MSP до 10611 и 13x до 13004 уязвим для обхода аутентификации, когда включена аутентификация LDAP.

Полезная информация

LDAP - это легкий, открытый и независимый от поставщика протокол, который обеспечивает основанный на стандартах способ доступа к службам каталогов и управления ими.

– Обычно используется для управления идентификацией пользователей и систем и аутентификационной информацией в корпоративных средах.

– Основан на модели клиент-сервер и использует иерархическую структуру данных, называемую информационным деревом каталога (DIT), для хранения и организации данных каталога.

– Богатый набор операций, которые можно использовать для поиска, изменения данных каталога и управления ими, включая операции аутентификации, авторизации и контроля доступа.

– Широкий спектр механизмов аутентификации, включая простую аутентификацию по паролю, безопасную аутентификацию по паролю и аутентификацию Kerberos.

– Использует модель данных и схему X.500 для представления и определения данных каталога, что обеспечивает расширяемость и гибкость типов данных, которые могут храниться в каталоге.

– Поддерживает ряд транспортных протоколов, включая TCP и UDP, и может использоваться в различных сетевых топологиях и инфраструктурах.

– Обычно используется в сочетании с другими технологиями, связанными с каталогами, такими как облегченный протокол доступа к каталогам по протоколу SSL (LDAPS), который обеспечивает безопасную связь между клиентами LDAP и серверами.

– Используется в корпоративных средах и является ключевым компонентом многих решений для управления идентификацией и доступом.

Известные баннеры

LDAP расшифровывается как “Облегченный протокол доступа к каталогам” и представляет собой протокол, используемый для доступа к распределенным информационным службам каталогов и их обслуживания по сети Internet Protocol (IP). Вот некоторые известные баннеры, связанные с LDAP:

OpenLDAP: Реализация протокола облегченного доступа к каталогам (LDAP) с открытым исходным кодом, обеспечивающая масштабируемую и высокопроизводительную службу каталогов.

Майкрософт Службы Active Directory: Собственная служба каталогов от Microsoft, которая широко используется в корпоративных средах. Службы Active Directory предоставляют централизованное хранилище для хранения информации о пользователях, компьютерах и других сетевых ресурсах и управления ею.

Novell eDirectory: Служба каталогов от Novell, которая предоставляет единую точку управления информацией о пользователях и ресурсах в сетевой среде.

Единый каталог Oracle: Служба каталогов от Oracle, предоставляющая высокодоступный и масштабируемый каталог LDAP, который может использоваться для хранения идентификационных данных пользователей и систем и аутентификации и управления ими.

Сервер каталогов IBM Tivoli: Сервер каталогов от IBM, предоставляющий высокозащищенный и масштабируемый каталог LDAP, который может использоваться для хранения идентификационных данных пользователей и систем и аутентификации и управления ими.

Сервер каталогов Red Hat: Сервер каталогов от Red Hat, предоставляющий масштабируемый и безопасный каталог LDAP, который может использоваться для хранения идентификационных данных пользователей и систем и аутентификации и управления ими.

Сервер каталогов Apache: Реализация службы каталогов LDAP с открытым исходным кодом, предоставляющая настраиваемую и расширяемую службу каталогов.

Сервер системного каталога Sun Java: Сервер каталогов Sun Microsystems (ныне Oracle), предоставляющий масштабируемый и безопасный каталог LDAP, который может использоваться для хранения идентификационных данных пользователей и систем и аутентификации и управления ими.

Электронный каталог NetIQ: Служба каталогов от NetIQ, предоставляющая масштабируемый и безопасный каталог LDAP, который может использоваться для хранения идентификационных данных пользователей и систем и аутентификации и управления ими.

Бесплатная служба каталогов IPA: Служба каталогов с открытым исходным кодом от Red Hat, предоставляющая масштабируемый и безопасный каталог LDAP, который может использоваться для хранения идентификационных данных пользователей и систем и аутентификации и управления ими, а также для предоставления других служб идентификации и управления доступом.

Книги для учебы LDAP

Администрирование системы LDAP Джеральд Картер, Майкл А. Доннелли и Тимоти А. Хоус: Эта книга представляет собой всеобъемлющее руководство по системному администрированию LDAP, охватывающее все, от базовых концепций до расширенных методов настройки и управления. Это отличный ресурс для всех, кто хочет развернуть службы каталогов на основе LDAP и управлять ими.

Понимание и развертывание служб каталогов LDAP Тимоти А. Хоуз, Марк С. Смит и Гордон С. Гуд: Эта книга представляет собой отличное введение в службы каталогов LDAP, охватывающее все - от базовых концепций до сценариев развертывания в реальном мире. Это доступный и легкий для чтения ресурс для всех, кто хочет узнать о LDAP.

Программирование LDAP с помощью Java Роб Уэлтман и Тони Дабура: Эта книга представляет собой практическое руководство по программированию LDAP на Java, охватывающее все, от базовых операций LDAP до продвинутых тем, таких как безопасность и настройка производительности. Это важный ресурс для разработчиков Java, работающих с LDAP.

OpenLDAP: Создание и интеграция виртуальных частных сетей Майкл Х. О'Рейли: Эта книга представляет собой практическое руководство по созданию и интеграции виртуальных частных сетей (VPN) с OpenLDAP, популярным LDAP-сервером с открытым исходным кодом. Он охватывает все - от базовой конфигурации до расширенных тем, таких как репликация и балансировка нагрузки.

Объясненные каталоги LDAP: Введение и анализ Брайан Аркиллс и Джо Ричардс: Эта книга представляет собой всеобъемлющее введение в службы каталогов LDAP, охватывающее все, от базовых концепций до продвинутых тем, таких как репликация, безопасность и интеграция с другими системами. Это отличный ресурс для всех, кто хочет подробно изучить LDAP.

Освоение OpenLDAP: Настройка, защита и интеграция служб каталогов Мэтт Батчер: Эта книга представляет собой всеобъемлющее руководство по настройке, защите и интеграции служб каталогов OpenLDAP. Он охватывает все - от базовых концепций до продвинутых тем, таких как репликация, балансировка нагрузки и интеграция с другими системами.

Список полезной нагрузки для облегченного протокола доступа к каталогу

  • Полезная нагрузка поискового запроса: Используется для поиска записей каталога, соответствующих указанному фильтру. Полезная нагрузка включает базу поиска, область поиска, фильтр поиска и список атрибутов.

  • Добавить полезную нагрузку запроса: Используется для добавления новой записи каталога в каталог. Полезная нагрузка включает в себя различимое имя (DN) записи и ее атрибуты.

  • Изменить полезную нагрузку запроса: Используется для изменения существующей записи каталога в каталоге. Полезная нагрузка включает в себя DN записи и изменения, которые необходимо внести в ее атрибуты.

  • Удалить полезную нагрузку запроса: Используется для удаления существующей записи каталога из каталога. Полезная нагрузка включает в себя DN записи, подлежащей удалению.

  • Полезная нагрузка запроса привязки: Используется для аутентификации клиента на сервере LDAP. Полезная нагрузка включает в себя имя пользователя и пароль.

  • Сравнить полезную нагрузку запроса: Используется для сравнения значения атрибута в записи каталога с указанным значением. Полезная нагрузка включает в себя DN записи, атрибут для сравнения и значение для сравнения.

  • Расширенная Полезная нагрузка запроса: Используется для выполнения расширенных операций, которые не являются частью стандартного протокола LDAP. Полезная нагрузка включает в себя OID расширенной операции и любые данные, связанные с этой операцией.

  • Отказаться от полезной нагрузки запроса: Используется для отказа от выполняемого запроса к серверу LDAP.

  • Изменить полезную нагрузку запроса DN: Используется для изменения DN существующей записи каталога.

  • Кто я Такой, Запрашиваю Полезную нагрузку: Используется для получения DN текущего аутентифицированного пользователя.

Смягчение последствий

  1. Постоянно обновляйте серверы LDAP: обновляйте свои серверы LDAP последними исправлениями и обновлениями для устранения известных уязвимостей.

  2. Используйте надежные механизмы аутентификации: Используйте надежные механизмы аутентификации, такие как двухфакторная аутентификация или аутентификация на основе сертификатов, для предотвращения несанкционированного доступа к серверам LDAP.

  3. Внедрить средства контроля доступа: внедрить средства контроля доступа, которые ограничивают доступ к серверам LDAP и ограничивают операции, которые могут выполняться с данными каталога.

  4. Используйте безопасные соединения: Используйте защищенные соединения, такие как LDAP по протоколу SSL (LDAPS), для шифрования трафика LDAP и защиты от подслушивания и несанкционированного доступа.

  5. Повышение надежности серверов LDAP: повысьте надежность своих серверов LDAP, отключив ненужные службы, ограничив количество открытых портов и настроив брандмауэры для блокирования нежелательного трафика.

  6. Мониторинг трафика LDAP: мониторинг трафика LDAP на предмет подозрительной активности и аномалий, таких как чрезмерные запросы или необычные шаблоны входа в систему.

  7. Внедрить системы обнаружения и предотвращения вторжений: Внедрить системы обнаружения и предотвращения вторжений, которые могут обнаруживать и предотвращать атаки на серверы LDAP.

  8. Выполняйте регулярные резервные копии: Выполняйте регулярные резервные копии данных LDAP, чтобы минимизировать последствия потери или повреждения данных в случае атаки или системного сбоя.

  9. Аудит активности LDAP: аудит активности LDAP для отслеживания изменений в данных каталога и обнаружения несанкционированных изменений или удалений.

Заключение

Облегченный протокол доступа к каталогам (LDAP) это легкий, открытый и независимый от поставщика протокол, который обеспечивает основанный на стандартах способ доступа к службам каталогов и управления ими. LDAP обычно используется для управления идентификационными данными пользователей и систем и информацией об аутентификации в корпоративных средах. Хотя LDAP предоставляет множество преимуществ, он также уязвим для различных атак, таких как отказ в обслуживании, внедрение и подборку пароля. Чтобы уменьшить эти уязвимости, организации могут предпринять такие шаги, как постоянное обновление серверов LDAP, внедрение средств контроля доступа и безопасных подключений, повышение надежности серверов LDAP, мониторинг трафика LDAP и аудит активности LDAP. Предпринимая эти шаги, организации могут снизить риск инцидентов безопасности, связанных с LDAP, и лучше защитить свои службы каталогов и данные каталогов.

Другие Услуги

Готовы к безопасности?

Связаться с нами