Bundesamt für Sicherheit in der Informationstechnik

G 3.52 Fehlerhafte Konfiguration des Intranet-Clientzugriffs auf Novell eDirectory

Beim Einsatz des eDirectory-Verzeichnisdienstes im Intranet einer Organisation werden für den verteilten Benutzerzugriff auf das System entsprechende Clients benötigt. Dabei gibt es für die unterschiedlichen Betriebssysteme jeweils eigene Client-Software:

  • den Novell Client für Windows-Betriebssysteme,
  • eine Client-Library für Linux,
  • eine Client-Library für Sun Solaris.

Der Clientzugriff auf den eDirectory-Verzeichnisdienst erfolgt über das proprietäre NDAP -Protokoll (Novell Directory Access Protocol). Dieses setzt seinerseits auf dem Novell NCP-Protokoll auf, welches über IP oder IPX betrieben werden kann.

Bei einem Zugriff mit Hilfe des Novell Clients für Windows auf den eDirectory-Baum (oder ein eDirectory-Objekt) muss der Benutzername und das Passwort dem Client übermittelt werden. Der Client sucht dann beim eDirectory nach dem entsprechenden Objekt und übermittelt dessen privaten Schlüssel, welcher mit dem Benutzerpasswort verschlüsselt ist. Auf Clientseite wird mittels des Benutzerpasswortes der private Schlüssel entschlüsselt und daraus ein so genanntes Credential und eine Signatur berechnet. Der private Schlüssel wird anschließend aus dem Speicher des Clients gelöscht und nur das Credential und die Signatur behalten. Diese können in der Folge für weitere "Hintergrundauthentisierungen" zu anderen Objekten oder Diensten verwendet werden. Der Benutzer muss dafür nicht mehr in Interaktion treten und nutzt somit einen Single-Sign-On.

Aus dem Credential und der Signatur wird mittels eines so genannten Zero-Knowledge-Verfahrens ein Beweis (proof) generiert, welcher dem Zielsystem übermittelt wird. Das Zielsystem kann mit dessen Hilfe die Identität des Clients verifizieren. Der Vorteil dieser Methode ist, dass die Signatur nicht explizit über das Netz übertragen wird und somit weniger Angriffsmöglichkeiten bestehen.

Trotzdem sind gewisse Angriffsszenarien, so genannte Man-in-the-middle-Attacks, bekannt geworden, welche jedoch eher theoretischer Natur sind, da zu deren Ausnutzung erheblicher technischer Aufwand betrieben werden muss.

Dessen ungeachtet kann es zu ernsthaften Sicherheitsproblemen kommen, wenn

  • die Authentisierungsmechanismen für den Clientzugriff mangelhaft sind,
  • ein unautorisierter Zugriff auf das eDirectory-Verzeichnis und dessen Objekte möglich ist oder
  • Administratorrechte für den Verzeichnisdienst missbraucht oder unberechtigt erlangt werden können.

Stand: Stand 2006

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK