05 Кві, 2023

Полегшений протокол доступу до каталогів (LDAP)

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

LDAP (полегшений протокол доступу до каталогів) це протокол клієнт-сервер, який використовує ієрархічну структуру каталогів для зберігання і організації інформації. Він використовується для доступу до довідкових інформаційних служб та їх обслуговування, таким як інформація про користувачів і групи, адреси електронної пошти та мережеві ресурси.

Загальні порти LDAP

Порт TCP 389: Це порт, що використовується LDAP для незахищеної зв'язку. LDAP використовує TCP в якості базового транспортного протоколу, а порт 389 є стандартним TCP-портом, який використовується LDAP для незашифроване зв'язку. Цей порт використовується клієнтами для підключення до сервера LDAP і виконання запитів LDAP та інших операцій.

Порт TCP 636: Це порт, використовуваний LDAP через SSL / TLS (LDAPS) для безпечного зв'язку. LDAPS - це захищена LDAP версія, яка використовує шифрування SSL / TLS для захисту зв'язку між клієнтом LDAP сервером. Порт 636 - це стандартний TCP-порт, який використовується для LDAP, SSL / TLS, і він забезпечує безпечний канал для зв'язку LDAP.

Порт TCP 3268: Це порт, використовуваний LDAP для пошуку глобального каталогу. У Active Directory (AD) глобальний каталог являє собою розподілене сховище даних, що містить часткову копію всіх об'єктів в лісі. Глобальний каталог дозволяє виконувати пошук по всьому лісі, а не тільки по одному домену. Порт 3268 використовується клієнтами LDAP для запиту глобального каталогу.

Порт TCP 3269: Це порт, який використовується для LDAP, SSL / TLS для пошуку глобального каталогу. Цей порт використовується для обміну LDAP-файлами з глобальним каталогом, забезпечуючи безпечний канал для запитів глобального каталогу.

Стандартні команди від неавторизованих користувачів

Неавторизовані користувачі можуть спробувати відправити стандартні команди LDAP, щоб спробувати отримати доступ до інформації каталогу або змінити її без належної аутентифікації. Деякі приклади стандартних команд LDAP , які може використовувати неавторизований користувач, включають:

BIND: Ця команда використовується для аутентифікації і встановлення сеансу з сервером LDAP. Неавторизований користувач може спробувати надіслати запити прив'язки з невірними або порожніми обліковими даними, щоб спробувати встановити сеанс без належної аутентифікації.

SEARCH: Ця команда використовується для пошуку в каталозі певних записів, які відповідають заданому набору критеріїв. Неавторизований користувач може спробувати відправити пошукові запити для збору інформації про записи каталогу і їх атрибути.

ADD: Ця команда використовується для додавання нових записів в каталог. Неавторизований користувач може спробувати надіслати запити на ДОДАВАННЯ нових записів в каталог без належної авторизації.

MODIFY: Ця команда використовується для зміни існуючих записів в каталозі. Неавторизований користувач може спробувати надіслати запити на ЗМІНУ для зміни існуючих записів каталогу без належної авторизації.

DELETE: Ця команда використовується для видалення існуючих записів з каталогу. Неавторизований користувач може спробувати надіслати запити на видалення для видалення записів каталогу без належної авторизації.

Інструменти для використання протоколу LDAP

Ручні Інструменти:

  • ldapsearch: Цей інструмент командного рядка є частиною пакету OpenLDAP і використовується для пошуку і вилучення інформації з каталогів LDAP. Його можна використовувати для запиту серверів LDAP і отримання інформації про записи, такий як атрибути, значення і класи об'єктів.

  • ldapmodify: Також є частиною пакету OpenLDAP, цей інструмент командного рядка використовується для зміни записів в каталогах LDAP. Його можна використовувати для додавання, видалення або зміни атрибутів і значень існуючих записів.

  • Apache Directory Studio: Це потужний і зручний графічний інструмент для перегляду каталогів LDAP і управління ними. Він включає в себе такі функції, як браузер схем, редактор LDIF і пошукову систему, і призначений для роботи з різними серверами LDAP, включаючи OpenLDAP, Microsoft Active Directory і Novell eDirectory.

  • JXplorer: Це графічний інструмент на основі Java для перегляду каталогів LDAP і управління ними. Він включає в себе такі функції, як деревоподібна навігація, імпорт / експорт LDIF і підтримка SSL / TLS, і розроблений таким чином, щоб бути легким і зручними у використанні.

  • Адміністратор LDAP: Цей веб-інструмент для управління каталогами LDAP. Він включає в себе такі функції, як аутентифікація і авторизація користувачів, керування вводом та управління схемою, і може використовуватися для управління різними серверами LDAP, включаючи OpenLDAP, Microsoft Active Directory і Novell eDirectory.

  • Браузер Softterra LDAP: Це потужний і багатофункціональний графічний інструмент для перегляду каталогів LDAP і управління ними. Він включає в себе такі функції, як деревоподібна навігація, імпорт / експорт LDIF і підтримка SSL / TLS, і призначений для роботи з різними серверами LDAP, включаючи OpenLDAP, Microsoft Active Directory і Novell eDirectory.

  • PHPLDAPadmin: Це популярний веб-інструмент для управління каталогами LDAP. Він включає в себе такі функції, як аутентифікація і авторизація користувачів, керування вводом та управління схемою, і може використовуватися для управління різними серверами LDAP, включаючи OpenLDAP, Microsoft Active Directory і Novell eDirectory.

  • Відкритий доступ: Це реалізація протоколу LDAP з відкритим вихідним кодом і включає в себе інструмент командного рядка для управління каталогами LDAP. Його можна використовувати для налаштування серверів LDAP і управління ними, а також для виконання різних адміністративних завдань, таких, як додавання і видалення записів.

  • Користувачі і комп'ютери Microsoft Active Directory: Це графічний інструмент для управління Active Directory, який використовує протокол LDAP. Він включає в себе такі функції, як управління користувачами і групами, керування дозволами та управління політиками, і розроблений таким чином, щоб бути зручним і простим у використанні.

  • Novell iManager: Цей веб-інструмент для управління Novell eDirectory, який використовує протокол LDAP. Він включає в себе такі функції, як управління користувачами і групами, керування дозволами та управління схемами, і розроблений таким чином, щоб бути потужним і гнучким.

Автоматизовані інструменти:

  • Nmap: Це популярний інструмент для дослідження мережі та аудиту безпеки, який можна використовувати для сканування відкритих портів LDAP та ідентифікації серверів LDAP. Він включає в себе такі функції, як виявлення операційної системи, сканування портів і визначення версії, і розроблений таким чином, щоб бути швидким і ефективним.

  • Metasploit: Це платформа для розробки і виконання експлойтів проти вразливостей програмного забезпечення, включаючи уразливості, пов'язані з LDAP. Він включає в себе такі функції, як модулі експлойтів, корисні навантаження і допоміжні модулі, і розроблений таким чином, щоб бути розширюваним і настроюється.

  • OWASP ZAP: Це сканер безпеки веб-додатків з відкритим вихідним кодом, який можна використовувати для автентифікації LDAP і механізмів авторизації. Він включає в себе такі функції, як активне сканування, пасивне сканування і звіти про уразливості, і розроблений таким чином, щоб бути простим у використанні і гнучкий.

  • Burp Suite: Це потужний інструмент тестування безпеки веб-додатків, який включає в себе такі функції, як перехоплення, сканування та інструменти тестування як для ручного, так і для автоматичного тестування механізмів аутентифікації і авторизації LDAP. Він підтримує декілька протоколів аутентифікації, включаючи LDAP, і володіє широкими можливостями налаштування для точної настройки перевірок і тестів.

  • Aircrack-ng: Цей інструмент використовується в основному для тестування безпеки бездротових мереж, але він включає в себе модуль для тестування аутентифікації LDAP по бездротових мереж. Він може виконувати різні типи атак, такі як атаки по словнику і атаки методом перебору, щоб перевірити надійність паролів LDAP.

  • Responder: Цей інструмент використовується для тестування безпеки мереж Windows і включає в себе модуль для тестування аутентифікації LDAP. Він може виконувати різні типи атак, такі як крадіжка хеша NTLM і атаки з передачею хеша, для перевірки безпеки аутентифікації LDAP в середовищах Windows.

  • Nikto: Це сканер веб-сервера, який можна використовувати для перевірки вразливостей, пов'язаних з LDAP, таких як обхід каталогів і розкриття інформації. Його також можна використовувати для ідентифікації серверів LDAP та перевірки облікових даних за промовчанням або слабких паролів.

  • Wfuzz: Це інструмент тестування безпеки веб-додатків, який включає в себе модуль для тестування аутентифікації LDAP. Він може виконувати нечітке тестування різних параметрів і заголовків і може використовуватися для перевірки вразливостей при впровадженні LDAP.

Останні п'ять відомих CVE для LDAP

• CVE-2023-28853 – Mastodon - це безкоштовний сервер соціальної мережі з відкритим вихідним кодом, заснований на ActivityPub Mastodon дозволяє налаштовувати LDAP для аутентифікації. Починаючи з версії 2.5.0 і до версій 3.5.8, 4.0.4 та 4.1.2, запит LDAP, виконуваний при вході в систему, небезпечний, і зловмисник може виконати атаку з використанням LDAP-ін'єкції для витоку довільних атрибутів з бази даних LDAP. Ця проблема виправлена у версії 3.5.8, 4.0.4 і 4.1.2.

• CVE-2023-25613 – Уразливість для впровадження LDAP існує в LdapIdentityBackend Apache Kerby до версії 2.0.3.

• CVE-2023-23951 – Можливість перераховувати атрибути Oracle LDAP для поточного користувача шляхом зміни запиту, що використовується додатком

• CVE-2023-23749 – Розширення "LDAP Інтеграція з Active Directory і OpenLDAP – NTLM і Kerberos Login" вразливе для впровадження LDAP, оскільки неправильно очищає параметр POST 'username'. Зловмисник може маніпулювати цим параметром для скидання довільного вмісту бази даних LDAP.

• CVE-2023-22964 – Zoho ManageEngine ServiceDesk Plus MSP до 10611 і 13x до 13004 вразливий для обходу аутентифікації, коли включена аутентифікація LDAP.

Корисна інформація

LDAP - це легкий, відкритий і незалежний від постачальника протокол, який забезпечує заснований на стандартах спосіб доступу до служб каталогів і управління ними.

– Зазвичай використовується для управління ідентифікацією користувачів і систем і аутентификационной інформацією в корпоративних середовищах.

– Заснований на моделі клієнт-сервер і використовує ієрархічну структуру даних, звану інформаційним деревом каталогу (DIT), для зберігання і організації даних каталогу.

– Багатий набір операцій, які можна використовувати для пошуку, зміни даних каталогу і управління ними, включаючи операції аутентифікації, авторизації і контролю доступу.

– Широкий спектр механізмів автентифікації, включаючи просту аутентифікацію по паролю, безпечну аутентифікацію за паролем та аутентифікації Kerberos.

– Використовує модель даних і схему X. 500 для представлення та визначення даних каталогу, що забезпечує розширюваність і гнучкість типів даних, які можуть зберігатися в каталозі.

– Підтримує кілька транспортних протоколів, включаючи TCP і UDP, і може використовуватися в різних мережевих топологіях і інфраструктурах.

– Зазвичай використовується у поєднанні з іншими технологіями, пов'язаними з каталогами, такими як полегшений протокол доступу до каталогів по протоколу SSL (LDAPS), який забезпечує безпечний зв'язок між клієнтами LDAP і серверами.

– Використовується в корпоративних середовищах і є ключовим компонентом багатьох рішень для управління ідентифікацією та доступом.

Відомі банери

LDAP розшифровується як "Полегшений протокол доступу до каталогів" і являє собою протокол, який використовується для доступу до розподілених інформаційних служб каталогів та їх обслуговування у мережі Internet Protocol (IP). Ось деякі відомі банери, пов'язані з LDAP:

Відкритий доступ: Реалізація протоколу полегшеного доступу до каталогів (LDAP) з відкритим вихідним кодом, що забезпечує масштабовану і високопродуктивну службу каталогів.

Microsoft Служби Active Directory: Власна служба каталогів від Microsoft, яка широко використовується в корпоративних середовищах. Служби Active Directory надають централізоване сховище для зберігання інформації про користувачів, комп'ютерів і інших мережевих ресурсах та управління нею.

Довідник Новела: Служба каталогів від Novell, яка надає єдину точку управління інформацією про користувачів і ресурси в мережевому середовищі.

Єдиний каталог Oracle: Служба каталогів від Oracle, надає высокодоступный і масштабований каталог LDAP, який може використовуватися для зберігання ідентифікаційних даних користувачів і систем і аутентифікації і управління ними.

Сервер каталогів IBM Tivoli: Сервер каталогів від IBM, надає высокозащищенный і масштабований каталог LDAP, який може використовуватися для зберігання ідентифікаційних даних користувачів і систем і аутентифікації і управління ними.

Сервер каталогів Red Hat: Сервер каталогів від Red Hat, що надає масштабований і безпечний каталог LDAP, який може використовуватися для зберігання ідентифікаційних даних користувачів і систем і аутентифікації і управління ними.

Сервер каталогів Apache: Реалізація служби каталогів LDAP з відкритим вихідним кодом, що надає настроювану і розширювану службу каталогів.

Сервер системного каталогу Sun Java: Сервер каталогів Sun Microsystems (нині Oracle), що надає масштабований і безпечний каталог LDAP, який може використовуватися для зберігання ідентифікаційних даних користувачів і систем і аутентифікації і управління ними.

Електронний каталог на netiq: Служба каталогів від на netiq, надає масштабований і безпечний каталог LDAP, який може використовуватися для зберігання ідентифікаційних даних користувачів і систем і аутентифікації і управління ними.

Безкоштовна служба каталогів IPA: Служба каталогів з відкритим вихідним кодом від Red Hat, що надає масштабований і безпечний каталог LDAP, який може використовуватися для зберігання ідентифікаційних даних користувачів і систем і аутентифікації і управління ними, а також надання інших служб ідентифікації і управління доступом.

Книги для навчання LDAP

Адміністрування системи LDAP Джеральд Картер, Майкл А. Доннеллі і Тімоті А. Хоус: Ця книга являє собою всеосяжне керівництво по системного адміністрування LDAP, охоплює все, від базових концепцій до додаткових методів налаштування і управління. Це відмінний ресурс для всіх, хто хоче розгорнути служби каталогів на основі LDAP і керувати ними.

Розуміння та розгортання служб каталогів LDAP Тімоті А. Хоуз, Марк С. Сміт і Гордон С. Гуд: Ця книга являє собою відмінне введення в служби каталогів LDAP, що охоплює все - від базових концепцій до сценаріїв розгортання в реальному світі. Це доступний і легкий для читання ресурс для всіх, хто хоче дізнатися про LDAP.

Програмування LDAP за допомогою Java Роб Уэлтман і Тоні Дабура: Ця книга являє собою практичне керівництво по програмуванню LDAP на Java, що охоплює все, від базових операцій LDAP до просунутих тим, таких як безпека та налаштування продуктивності. Це важливий ресурс для розробників Java, які працюють з LDAP.

OpenLDAP: Створення та інтеграція віртуальних приватних мереж Майкл Х. о'рейлі: Ця книга являє собою практичний посібник зі створення та інтеграції віртуальних приватних мереж (VPN) з OpenLDAP, популярним LDAP-сервер з відкритим вихідним кодом. Він охоплює все - від базової конфігурації до розширених тим, таких як реплікація і балансування навантаження.

Пояснені каталогів LDAP: Введення і аналіз Брайан Аркиллс і Джо Річардс: Ця книга являє собою всеосяжне вступ до служби каталогів LDAP, охоплює все, від базових концепцій до просунутих тим, таких як реплікація, безпека та інтеграція з іншими системами. Це відмінний ресурс для всіх, хто хоче детально вивчити LDAP.

Освоєння OpenLDAP: Налаштування, захист та інтеграція служб каталогів Метт Батчер: Ця книга являє собою всеосяжне керівництво по налаштуванню, захисту та інтеграції служб каталогів OpenLDAP. Він охоплює все - від базових концепцій до просунутих тим, таких як реплікація, балансування навантаження і інтеграція з іншими системами.

Список корисного навантаження для полегшеного протоколу доступу до каталогу

  • Корисне навантаження пошукового запиту: Використовується для пошуку записів каталогу, відповідних вказаному фільтру. Корисне навантаження включає базу пошуку, область пошуку, фільтр пошуку і список атрибутів.

  • Додати корисну навантаження запиту: Використовується для додавання нової записи каталогу в каталог. Корисне навантаження включає в себе помітне ім'я (DN) запису та її атрибути.

  • Змінити корисну навантаження запиту: Використовується для зміни існуючої запису каталогу в каталозі. Корисне навантаження включає в себе DN записи та зміни, які необхідно внести в її атрибути.

  • Видалити корисну навантаження запиту: Використовується для видалення існуючого запису каталогу з каталогу. Корисне навантаження включає в себе DN запису, що підлягає видаленню.

  • Корисне навантаження запиту прив'язки: Використовується для аутентифікації клієнта на сервері LDAP. Корисне навантаження включає в себе ім'я користувача і пароль.

  • Порівняти корисну навантаження запиту: Використовується для порівняння значення атрибута в запису каталогу з вказаним значенням. Корисне навантаження включає в себе DN запису, атрибут для порівняння і значення для порівняння.

  • Розширена Корисне навантаження запиту: Використовується для виконання додаткових операцій, які не є частиною стандартного протоколу LDAP. Корисне навантаження включає в себе OID розширеної операції і будь-які дані, пов'язані з цією операцією.

  • Відмовитися від корисного навантаження запиту: Використовується для відмови від виконуваного запиту до сервера LDAP.

  • Змінити корисну навантаження запиту DN: Використовується для зміни DN існуючої запису каталогу.

  • Хто я Такий, Звертаюсь Корисну навантаження: Використовується для отримання DN поточного аутентифицированного користувача.

Пом'якшення наслідків

  1. Постійно оновлюйте сервери LDAP: оновлюйте свої сервери LDAP останніми виправленнями і оновленнями для усунення відомих вразливостей.

  2. Використовуйте надійні механізми аутентифікації: Використовуйте надійні механізми аутентификації, такі як двофакторна аутентифікація або аутентифікація на основі сертифікатів, для запобігання несанкціонованого доступу до серверів LDAP.

  3. Впровадити засоби контролю доступу: впровадити засоби контролю доступу, які обмежують доступ до серверів LDAP і обмежують операції, які можуть виконуватися з даними каталогу.

  4. Використовуйте безпечні з'єднання: Використовуйте захищені з'єднання, такі як LDAP по протоколу SSL (LDAPS), для шифрування трафіку LDAP і захисту від підслуховування і несанкціонованого доступу.

  5. Підвищення надійності серверів LDAP: підвищіть надійність своїх серверів LDAP, відключивши непотрібні служби, обмеживши кількість відкритих портів і налаштувавши брандмауери для блокування небажаного трафіку.

  6. Моніторинг трафіку LDAP: моніторинг трафіку LDAP на предмет підозрілої активності та аномалій, таких як надмірні запити або незвичайні шаблони входу в систему.

  7. Впровадити системи виявлення та запобігання вторгнень: Впровадити системи виявлення та запобігання вторгнень, які можуть виявляти і запобігати атаки на сервери LDAP.

  8. Виконуйте регулярні резервні копії: Виконуйте регулярні резервні копії даних LDAP, щоб мінімізувати наслідки втрати або пошкодження даних у разі атаки або системного збою.

  9. Аудит активності LDAP: аудит активності LDAP для відстеження змін у даних каталогу і виявлення несанкціонованих змін або вилучень.

Висновок

Полегшений протокол доступу до каталогів (LDAP) це легкий, відкритий і незалежний від постачальника протокол, який забезпечує заснований на стандартах спосіб доступу до служб каталогів і управління ними. LDAP зазвичай використовується для управління ідентифікаційними даними користувачів і систем та інформацією про аутентифікації в корпоративних середовищах. Хоча LDAP надає безліч переваг, він також уразливий для різних атак, таких як відмова в обслуговуванні, впровадження та добірку пароля. Щоб зменшити ці уразливості, організації можуть зробити такі кроки, як постійне оновлення серверів LDAP, впровадження засобів контролю доступу і безпечних підключень, підвищення надійності серверів LDAP, моніторинг трафіку LDAP і аудит активності LDAP. Роблячи ці кроки, організації можуть знизити ризик інцидентів безпеки, пов'язаних з LDAP, і краще захистити свої служби каталогів і дані каталогів.

Інші Послуги

Готові до безпеки?

зв'язатися з нами