LDAP unsecure Connections
LDAP steht für Lightweight Directory Access Protocol, ein allgemein offenes und akzeptiertes Client- Server Protokoll für den Zugriff auf Verzeichnisdienste.
In unserem Fall das Active Directrory.
Viele Anwendungen besitzen eine integrierte LDAP Schnittstelle für die Authentifizierung von Benutzern und auch Login-Prozesse können über LDAP abgewickelt werden.
Der Vorteil darin liegt in der Einfachheit für den Benutzer, er muss sich nur noch ein Passwort merken. Aber umso zentraler LDAP fürs Unternehmen wird, umso wichtiger ist es, auf den Schutz des Protokolls einzugehen.
Klassische IT-Infrastrukturen stellen Benutzern Ressourcen (z.B. Rechner, Drucker etc.) und Dienste (z.B. Informationsdienste IIS) über das Netzwerk zur Verfügung.
Um zu steuern, wer auf welche Ressourcen und Dienste zugreifen darf, werden Authentifizierungs- und Autorisierungsprozesse implementiert, wobei die Authentifizierung den Beweis einer Identität darstellt und die Autorisierung die Zugriffsrechte. Die Zugriffsrechte werden häufig in sogenannten ACL (Access Control Lists) spezifiziert, zugewiesen und durchgesetzt.
Das war eine kurze Zusammenfassung, um einen ersten Einblick zu bekommen.
Kommen wir nun zum technischen Teil:
LDAP ist ein softwarebasiertes Netzwerkprotokoll (Kerberos) mit einem Authentifizierungsprozess namens bind –Operation. Mit dieser Operation meldet sich ein LDAP-Client beim LDAP-Server an. Dieser Vorgang teilt sich in ein bind-request und einem bind-response auf. Der bind-request übermittelt zum einen die Protokollversion und den DN (Distinguished Name), welcher die zu beweisende Identität kennzeichnet sowie die Authentifizierungsmethode…
Und jetzt kommen wir zum Kern meines Anliegens.
…Simple-Bind, hierbei wird zusätzlich zum DN das Kennwort mitgeschickt. Dieses wird vom Server mit dem im durch den DN bezeichneten Eintrag gespeichertem Passwort verglichen. Da das Passwort ungeschützt über das Netz geschickt wird, also jederzeit abgehört werden kann, sollte versucht werden Simple-Bind mit Verschlüsselung einzusetzen. Auch diese Verschlüsselung ist mit SSL/TLS möglich. Hier würde es ausreichen, wenn der Port 636/3269 anstatt 389/3268 eingesetzt werden würde.
- Port 389 (DC/StartTLS)
- Port 636 (DC/LDAPS)
- Port 3268 (GC/StartTLS
- Port 3269 (GC/LDAPS)
https://www.der-windows-papst.de/2017/11/02/ps-ad-check-ldaps-port-636/