Hulpartikel overzicht

Hulpartikel

De LDAP-service op je Windows Server beveiligen

Wanneer je gebruikt maakt van Windows Server 2008, 2012 of 2016, dan zal hier standaard een LDAP-service op actief zijn. LDAP is een protocol dat wordt gebruikt voor het verkrijgen van toegang tot een directory / service, al is dit wel een erg beknopte beschrijving van alle mogelijke toepassingen van LDAP.

Het is echter mogelijk voor kwaadwillenden om via een UDP-aanval op poort 389 een zogenoemde 'reflection attack' op te zetten. Je VPS kan hierdoor deelnemen aan een uitgaande (D)DoS-aanval. Om dit te voorkomen schakel je in de firewall van jouw VPS UDP toegang op poort 389 uit, of gebruik je de firewall in je controlepaneel.

Het blokkeren van UDP poort 389 zou voor bijvoorbeeld het gebruik van een Active Directory server geen negatieve invloed moeten hebben, omdat hiervoor via TCP wordt verbonden.


Windows Server Firewall 2008, 2012, 2016 & 2019

 

Stap 1

Klik op de startknop en gebruik de zoekterm 'Firewall'. Je kunt als alternatief ook in de Server Manager onder 'Tools' de firewall terugvinden.

Klik in de zoekresultaten op 'Windows Firewall with Advanced Security'.

windows search firewall


 

Stap 2

Klik met je rechtermuisknop op 'Inbound rules' en klik op 'New Rule'.

windows firewall inbound new rule


 

Stap 3

Kies als rule type 'Port' en klik op 'Next'.

windows firewall rule type


 

Stap 4

Selecteer 'UDP' en voer bij de Specific local ports '389' in. Klik daarna op 'Next'.

windows firewall new rule protocol and port


 

Stap 5

Selecteer 'Block the connection' en klik op 'Next'. Bij de volgende pagina klik je weer op 'Next'.

windows firewall new rule action block

Let op! De opties 'Domain' & 'Private' zijn bijvoorbeeld handig wanneer je van een Domain Controller gebruik maakt via een private network, maar wanneer je dit nu uitvinkt zal dit er alsnog voor zorgen dat de LDAP-poort extern bereikbaar en te misbruiken is. Mocht je er voor willen zorgen dat dit verkeer alsnog mogelijk is via het private network, dan zul je na het toevoegen van de regel via de 'Properties' onder 'interface types' moeten instellen dat deze alleen voor je publieke netwerk geld en niet voor je private LAN.


 

Stap 6

Geef je nieuwe rule daarna een naam en optioneel ook een description.

windows firewall new rule name

Mocht je de service nog wel lokaal bereikbaar willen maken, dan kun je bij de eigenschappen van deze regel ook specifieke IP-adressen in de whitelist instellen.


 

De betreffende service is nu niet langer van buitenaf te bereiken! Deze kan dus ook niet langer misbruikt worden voor amplification attacks. Met een commando zoals 'sudo nmap -p 389 -sU --script ldap-rootdse [IPADRES]' kun je eventueel vanaf een extern Linux-systeem controleren of de poort dan wel service daadwerkelijk onbereikbaar is. Wanneer je hier een '|_ldap-rootdse: ERROR: Script execution failed (use -d to debug)' of een 'timeout'-melding op terug krijgt, ben je niet langer kwetsbaar.


De VPS-Firewall in je controlepaneel

In plaats van de Windows-firewall kun je ook de VPS-Firewall gebruiken in het controlepaneel gebruiken. Door de VPS-Firewall in het controlepaneel te gebruiken zet je alle poorten automatisch dicht en bepaal je vervolgens zelf welke poorten er wel open worden gezet.

 

Stap 1

Log in op je controlepaneel en navigeer naar de betreffende VPS.


 

Stap 2

Klik op het tandwiel achter 'Netwerk' (direct onder de console) en klik op 'VPS-Firewall'

cp vps netwerk firewall


 

Stap 3

Schakel de firewall in door de schakelaar achter 'VPS-Firewall inschakelen voor deze VPS' op 'Aan' te zetten.

vps firewall ingeschakeld

Je VPS is nu veilig! Meer informatie over het openen van poorten met de VPS-firewall in het controlepaneel vind je in ons artikel over de VPS-Firewall.


 

Mocht je aan de hand van dit artikel nog vragen hebben, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' onderaan deze pagina.

Wil je dit artikel met andere gebruikers bespreken, laat dan vooral een bericht achter onder 'Reacties'.

Heb je ook een goed idee?

Stuur jouw idee in! Met genoeg stemmen komt jouw idee op onze wishlist!

Heeft dit artikel je geholpen?

Maak een account aan of log in om een beoordeling achter te laten.

Reacties

Maak een account aan of log in om een reactie te plaatsen.

Kom je er niet uit?

Ontvang persoonlijke hulp van onze supporters

Neem contact op