Hulpartikel overzicht

Hulpartikel

Ik wil misbruik van de LDAP-service op Windows Server voorkomen

Wanneer je gebruikt maakt van Windows Server 2008, 2012 of 2016, dan zal hier standaard een LDAP-service op actief zijn. LDAP is een protocol dat wordt gebruikt voor het verkrijgen van toegang tot een directory / service, al is dit wel een erg beknopte beschrijving van alle mogelijke toepassingen van LDAP.

Het is echter mogelijk voor kwaadwillenden om via een UDP aanval op poort 389 een zogenoemde 'reflection attack' op te zetten. Zodoende kan jouw VPS participeren aan een uitgaande (D)DoS-aanval. Om dit te voorkomen schakel je in de firewall van jouw VPS UDP toegang op poort 389 uit. Het blokkeren hiervan zou voor bijvoorbeeld het gebruik van een Active Directory server geen negatieve invloed moeten hebben (omdat dit via TCP verbindt).

Hoe schakel ik externe toegang uit?
Nieuwe firewallregel in Windows Server
  • Ga hiervoor in de 'Server Manager' naar 'Tools' en selecteer 'Windows Firewall with Advanced Security' uit het dropdownmenu.
  • Selecteer vervolgens aan de linkerkant de 'Inbound Rules'.
  • Klik aan de rechterkant op 'New Rule...'.
  • Selecteer 'Port' en klik op Next >.
  • Selecteer 'UDP' en voer bij 'Specific local ports' 389 in.
  • Kies nu voor 'Block the connection' en klik weer op Next >.
  • In het volgende 'Profile' scherm is het van belang dat je alles aangevinkt laat. Selecteer vervolgens Next > om de wijzigingen op te slaan.
    Let op! De opties 'Domain' & 'Private' zijn bijvoorbeeld handig wanneer je van een Domain Controller gebruik maakt via een "private network", maar wanneer je dit nu uitvinkt zal dit er alsnog voor zorgen dat de LDAP-poort extern bereikbaar en te misbruiken is. Mocht je er voor willen zorgen dat dit verkeer alsnog mogelijk is via het private network, dan zul je na het toevoegen van de regel via de 'Properties' onder 'interface types' moeten instellen dat deze alleen voor de Local Area Network-interface geldt van jouw WAN IP-adres.
  • Voer een naam in zoals bijvoorbeeld "UDP LDAP Block" en klik op Finish.

De betreffende service is nu niet langer van buitenaf te bereiken! Deze kan dus ook niet langer misbruikt worden voor amplification attacks. Met een commando zoals 'sudo nmap -p 389 -sU --script ldap-rootdse [IPADRES]' kun je eventueel vanaf een extern systeem controleren of de poort dan wel service daadwerkelijk onbereikbaar is. Wanneer je hier een '|_ldap-rootdse: ERROR: Script execution failed (use -d to debug)' of een 'timeout'-melding op terug krijgt, ben je niet langer kwetsbaar.

Heb je ook een goed idee?

Stuur jouw idee in! Met genoeg stemmen komt jouw idee op onze wishlist!

Heeft dit artikel je geholpen?

Maak een account aan of log in om een beoordeling achter te laten.

Reacties

Maak een account aan of log in om een reactie te plaatsen.

Kom je er niet uit?

Ontvang persoonlijke hulp van onze supporters

Neem contact op