Anonymous LDAP konfigurasyonu ile ilgili onemli noktalar ve oneriler
Merhaba,
Bugunku yazimda anonymous LDAP konfigurasyonu soz konusu oldugunda ne tur guvenlik problemleri yasanabilecegine dair biraz fikir vermeye calisacagim. Gunumuzde bir cok 3rd party software, LDAP protokolunu kullanarak Active Directory ile entegre calismaktadir. Bu urunlerden bazilarinin Active Directory'e LDAP erisiminin anonymous olmasi gerekiyor (3rd party urunden kaynaklanan bir konfigurasyon zorunlulugu). Yakin zamanda bir musterimiz icin bu konuda bir calisma yaptim ve konuya iliskin olarak asagidaki bilgileri derledim. Burada verilen bilgiler bizim genel olarak anonymous LDAP konfigurasyonuna bakisimiza da yansitmaktadir:
1) Anonymous LDAP baglantilar Windows 2003 ve sonrasi OS'ler ile calisan DC'lerde default olarak kapalidir. Hic bir OS component'i ya da Microsoft software'i (ornegin OCS, Exchange, SCCM vs) de anonymous LDAP connection'larin enable edilmesini gerektirmemektedir. Bahsi gecen software ya da component'ler LDAP request'leri authenticated connection'lar uzerinden gondermektedir.
2) Microsoft'un 3rd party uygulama gelistiriciler icin zaten uzun zamandir kullanilabilir durumda olan ve authentication'i da destekleyen zengin bir LDAP kutuphanesi bulunmaktadir (LDAP APIs). Dolayisiyla bizim tercihimiz her zaman LDAP sorgularin authenticated connection'lar uzerinden gonderilmesidir.
LDAP API'lari ile ilgili daha genis bilgi asagidaki link'ten edinilebilir:
https://msdn.microsoft.com/en-us/library/aa367008(VS.85).aspx Lightweight Directory Access Protocol
3) Ayrica anonymous LDAP baglantilarin neden olabilecegi bazi muhtemel guvenlik problemleri de bulunmaktadir:
a) Her seyden once, anonymous LDAP connection'larin aktif hale getirilmesi LDAP servisinin atak yuzeyini genisletecektir (Ornegin MS09-018 Vulnerabilities in Active Directory Could Allow REmote Code Execution). Her ne kadar MS09-018 de bahsedilen LDAP attack'lari authenticated connection'lar uzerinden de baslatilabilse de, ayni durumda anonymous LDAP connection'larin enable edildigi bir DC'nin bu attack'dan dolayi alabilecegi hasar daha buyuk olabilecekti. Default olarak anonymous LDAP connection'larin disable edilmis olmasi bir olcude attak yuzeyini sinirlamaktadir.
b) Anonymous LDAP connection'larin enable edildigi bir DC'ye herhangi bir kullanici, authenticate olmaksizin LDAP sorgulari gonderebilir. Burada kotu niyetli bir kullanici ozellikle complex bir filter kullanarak DC'ye kurallara uygun LDAP sorgular gondererek DC'yi overload edip, DC'nin cok yavas calismaya baslamasina ya da servis veremez duruma gecmesine neden olabilir (DoS - Denial of service attack). Bu saldiri, LDAP protocol portlarinin firewall ya da router'larda kapatildigi varsayimiyla daha ziyade internal networkten gelebilecektir.
4) Sonuc olarak bazi 3rd party software vendor'lari hala anonymous LDAP connection'larin enable edilmesini gerektirebilir ama bizim onerimiz mumkun olan her yerde LDAP erisimin authenticated connection'lar uzerinden yapilmasi yonundedir. Eger network'unuze kurmaniz gereken bir 3rd party software bu tur bir LDAP konfigurasyonu gerektiriyorsa, mutlaka software vendor ile temasa gecerek buna bir alternatif yol bulunup bulunmadigini ogrenmenizi tavsiye ederiz.
Tesekkurler,
Murat