zur Übersicht

Microsoft stellt um auf LDAPS – nur wann, weiß noch niemand

Schon im August 2019 hatte Microsoft in seinem Leitfaden für Sicherheitsupdates (ADV190023) angekündigt, dass es im Q2/2020 einen Patchday zum Thema LDAP geben wird. Ab diesem Zeitpunkt sollen unverschlüsselte bzw. unsignierte LDAP-Abfragen gegen Windows-Domänencontroller geblockt werden.

Was ist LDAP?

Das Lightweight Directory Access Protocol, ist ein Netzwerkprotokoll zur Abfrage und Änderung von Informationen. Entwickelt wurde es an der Universität von Michigan und stellt eine vereinfachte Alternative zum Directory Access Protocol (DAP) dar. Es basiert auf dem Client-Server-Modell und kommt bei Verzeichnisdiensten zum Einsatz. Dabei beschreibt es die Kommunikation zwischen dem LDAP-Client und dem Verzeichnis-Server. Aus einem solchen Verzeichnis können objektbezogene Daten auf Basis von Abfragen ausgelesen werden. Spricht man von einem LDAP-Server, meint man damit meistens einen Directory-Server, dessen Datenstruktur der LDAP-Spezifikation entspricht und der über das LDAPv3-Protokoll Daten austauschen kann.ldap_grafik

LDAP kommt heutzutage in vielen Bereichen zum Einsatz, beispielsweise:

- Adressbücher in IBM Lotus Notes, Microsoft Outlook, Mozilla Thunderbird etc.
- Benutzerverwaltungen, z.B. NetIQ eDirectory, Apple Open Directory oder Microsoft Active Directory Service
- Authentifizierung wie zum Beispiel PAM (Pluggable Authentication Modules)
- Verwaltung von Benutzerdaten für SMTP-, POP- und IMAP-Server, sowie in folgenden Mailservern: qmail, exim, Lotus Domino, sendmail, u.v.m.

Ebenso arbeiten Dokumentenmanagementsysteme, Multifunktionsdrucker (Scan2Mail), IP-Telefonie (VoIP), Zugangskontrollsysteme, Kantinen-Bezahlsysteme, AntiSpam-Lösungen, WebProxy mit PreAuth, NetScaler PreAuth, etc. mit dem Protokoll. Diese Systeme greifen in der Regel auf das Active Directory zu, um beispielsweise ein Telefonbuch zu generieren oder um die anfragende Person zu legitimieren.

Vorteile des vereinfachten Protokolls

Das LDAP-Protokoll und der LDAP-Server sind auf Authentifizierung, Autorisierung und Adressbuch-Suchen optimiert. Für eine schnelle Verarbeitung sorgt der rasche Verbindungsauf- und -abbau, das einfach strukturierte Protokoll und die knappe Abfragesprache. Dank der nicht normalisierten Datenspeicherung kann auf alle Daten eines LDAP-Datensatzes sehr schnell zugegriffen werden (alle Daten können sofort mit einem einzigen Lesezugriff ausgelesen werden).

LDAP bietet verteilte Datenhaltung, lose gekoppelte Replikation zum Datenabgleich zwischen den Standorten und eine hohe Verfügbarkeit - gänzlich ohne komplexe Konfiguration oder hohe Kosten. Zusätzlich ist das Netzwerkprotokoll der Industriestandard für Authentifizierung, Autorisierung sowie Benutzer- und Adressverzeichnisse. Die meisten Softwareprodukte unterstützen LDAP.

Mit LDAPS folgt nun das sichere(re) Protokoll

Mit dem sicheren LDAP (LDAPS) können Sie das Secure Lightweight Directory Access Protocol für die mit Active Directory verwalteten Domänen aktivieren und die Kommunikation über SSL/TLS (Secure Sockets Layer/Transport Layer Security) ermöglichen. Microsoft möchte zukünftig Anfragen ausschließlich über diesen sicheren Weg zulassen. Sobald Microsoft die LDAP-Abfragen nur noch verschlüsselt oder signiert erlaubt, können die o. g. Systeme in der Funktion teilweise oder gänzlich gestört werden.

Wenn Sie sich fragen, was passieren könnte, wenn Sie weiterhin unverschlüsselten bzw. unsignierten LDAP Anfragen zulassen: Die Verwendung der Standardkonfigurationen könnte es einem „Man-in-the-Middle-Angreifer“ ermöglichen, die Antwort auf eine Authentifizierungsanforderung weiterzuleiten um somit die Erhöhung der eigenen Berechtigung zu erwirken. Auch unter DSGVO-Aspekten ist die Umstellung wichtig, damit keine unverschlüsselten Benutzerdaten über das Netzwerk ausgetauscht werden können - besonders in Homeoffice-Zeiten.

Seien Sie vorbereitet

Die Abschaltung der unverschlüsselten bzw. unsignierten LDAP Anfragen ist gewiss, nur mit einem Stichtag hält sich Microsoft bedeckt. Die Reaktionen auf die angekündigte Änderung waren sehr stark, wodurch Microsoft von einer schnellen Einführung der neuen Sicherheitsrichtlinie vorerst abgesehen hatte. Aber aufgeschoben ist nicht aufgehoben.

Eine Umstellung auf LDAPS ist natürlich auch schon vor dem Patchday möglich und ratsam. Wir unterstützen/entlasten Sie gerne bei der Realisierung, nehmen Sie einfach Kontakt zu uns auf!

Vereinbaren Sie einen Beratungstermin mit uns!

Designed by Freepik

zur Übersicht

Robert F. Krick

Sie haben Fragen?

Gerne beantworten wir Ihre Fragen und informieren Sie über unsere Referenzprojekte!

Nehmen Sie Kontakt auf

Das könnte Sie auch interessieren

Der neue Workspace oder: wie fühlt sich New Normal an?

Im heutigen Blog-Beitrag begrüßen wir unseren ersten Gast-Autor, Marco Rosin (Senior Partner Account Manager @ Citrix Systems GmbH). Er berichtet in den nächsten Wochen aus seiner Perspektive, wie sich Homeoffice anfühlen kann und sollte, warum ein betriebliches Kontinuitätsmanagement so wichtig ist und wie Sie die Lösungen von Citrix dabei unterstützen, den Fortbestand Ihres Unternehmens zu sichern.

19.02.21 11:17

30 Jahre KRICK - The story behind…

In diesem Jahr feiern wir unser 30-jähriges Firmenjubiläum und wollen Sie mitnehmen auf eine kurze Reise durch die Zeit. Wir möchten uns ansehen, wie alles begann aber auch einen Moment im Hier und Jetzt verweilen. Und wir würden Ihnen gerne einen Blick hinter die Kulissen des Rebrandings geben. Also: lassen wir Robert Krick selbst erzählen…

12.02.21 11:26

Say my name – DNS zum Schutz der eigenen IT verwenden

Bedrohungsszenarien in der IT-Welt sind vielfältig und genauso vielfältig sind die Mechanismen, mit denen sie bekämpft werden können. Dabei gibt es unterschiedliche Ansätze, je nachdem, in welcher Angriffs-Phase sie zum Einsatz kommen. In allen Fällen gilt aber: je früher eine Attacke abgewehrt wird, desto besser.

15.01.21 12:15

Robert F. Krick

Geschäftsführer

Starten Sie jetzt
eine Anfrage

In unseren Stellenausschreibungen nicht den passenden Job gefunden? Macht nichts. Unser Team wächst stetig, deshalb sind wir immer auf der Suche nach Teamplayern und freuen uns über Deine Initiativbewerbung. Sende uns diese an: bewerbung@krick.net