Microsoft stellt um auf LDAPS – nur wann, weiß noch niemand
Schon im August 2019 hatte Microsoft in seinem Leitfaden für Sicherheitsupdates (ADV190023) angekündigt, dass es im Q2/2020 einen Patchday zum Thema LDAP geben wird. Ab diesem Zeitpunkt sollen unverschlüsselte bzw. unsignierte LDAP-Abfragen gegen Windows-Domänencontroller geblockt werden.
Was ist LDAP?
Das Lightweight Directory Access Protocol, ist ein Netzwerkprotokoll zur Abfrage und Änderung von Informationen. Entwickelt wurde es an der Universität von Michigan und stellt eine vereinfachte Alternative zum Directory Access Protocol (DAP) dar. Es basiert auf dem Client-Server-Modell und kommt bei Verzeichnisdiensten zum Einsatz. Dabei beschreibt es die Kommunikation zwischen dem LDAP-Client und dem Verzeichnis-Server. Aus einem solchen Verzeichnis können objektbezogene Daten auf Basis von Abfragen ausgelesen werden. Spricht man von einem LDAP-Server, meint man damit meistens einen Directory-Server, dessen Datenstruktur der LDAP-Spezifikation entspricht und der über das LDAPv3-Protokoll Daten austauschen kann.
LDAP kommt heutzutage in vielen Bereichen zum Einsatz, beispielsweise:
- Adressbücher in IBM Lotus Notes, Microsoft Outlook, Mozilla Thunderbird etc.
- Benutzerverwaltungen, z.B. NetIQ eDirectory, Apple Open Directory oder Microsoft Active Directory Service
- Authentifizierung wie zum Beispiel PAM (Pluggable Authentication Modules)
- Verwaltung von Benutzerdaten für SMTP-, POP- und IMAP-Server, sowie in folgenden Mailservern: qmail, exim, Lotus Domino, sendmail, u.v.m.
Ebenso arbeiten Dokumentenmanagementsysteme, Multifunktionsdrucker (Scan2Mail), IP-Telefonie (VoIP), Zugangskontrollsysteme, Kantinen-Bezahlsysteme, AntiSpam-Lösungen, WebProxy mit PreAuth, NetScaler PreAuth, etc. mit dem Protokoll. Diese Systeme greifen in der Regel auf das Active Directory zu, um beispielsweise ein Telefonbuch zu generieren oder um die anfragende Person zu legitimieren.
Vorteile des vereinfachten Protokolls
Das LDAP-Protokoll und der LDAP-Server sind auf Authentifizierung, Autorisierung und Adressbuch-Suchen optimiert. Für eine schnelle Verarbeitung sorgt der rasche Verbindungsauf- und -abbau, das einfach strukturierte Protokoll und die knappe Abfragesprache. Dank der nicht normalisierten Datenspeicherung kann auf alle Daten eines LDAP-Datensatzes sehr schnell zugegriffen werden (alle Daten können sofort mit einem einzigen Lesezugriff ausgelesen werden).
LDAP bietet verteilte Datenhaltung, lose gekoppelte Replikation zum Datenabgleich zwischen den Standorten und eine hohe Verfügbarkeit – gänzlich ohne komplexe Konfiguration oder hohe Kosten. Zusätzlich ist das Netzwerkprotokoll der Industriestandard für Authentifizierung, Autorisierung sowie Benutzer- und Adressverzeichnisse. Die meisten Softwareprodukte unterstützen LDAP.
Mit LDAPS folgt nun das sichere(re) Protokoll
Mit dem sicheren LDAP (LDAPS) können Sie das Secure Lightweight Directory Access Protocol für die mit Active Directory verwalteten Domänen aktivieren und die Kommunikation über SSL/TLS (Secure Sockets Layer/Transport Layer Security) ermöglichen. Microsoft möchte zukünftig Anfragen ausschließlich über diesen sicheren Weg zulassen. Sobald Microsoft die LDAP-Abfragen nur noch verschlüsselt oder signiert erlaubt, können die o. g. Systeme in der Funktion teilweise oder gänzlich gestört werden.
Wenn Sie sich fragen, was passieren könnte, wenn Sie weiterhin unverschlüsselten bzw. unsignierten LDAP Anfragen zulassen: Die Verwendung der Standardkonfigurationen könnte es einem „Man-in-the-Middle-Angreifer“ ermöglichen, die Antwort auf eine Authentifizierungsanforderung weiterzuleiten um somit die Erhöhung der eigenen Berechtigung zu erwirken. Auch unter DSGVO-Aspekten ist die Umstellung wichtig, damit keine unverschlüsselten Benutzerdaten über das Netzwerk ausgetauscht werden können – besonders in Homeoffice-Zeiten.
Seien Sie vorbereitet
Die Abschaltung der unverschlüsselten bzw. unsignierten LDAP Anfragen ist gewiss, nur mit einem Stichtag hält sich Microsoft bedeckt. Die Reaktionen auf die angekündigte Änderung waren sehr stark, wodurch Microsoft von einer schnellen Einführung der neuen Sicherheitsrichtlinie vorerst abgesehen hatte. Aber aufgeschoben ist nicht aufgehoben.