Bundesamt für Sicherheit in der Informationstechnik

G 3.89 Fehlerhafte Konfiguration des LDAP-Zugriffs auf Verzeichnisdienste

LDAP eignet sich vor allem dann als Protokoll für Zugriffe auf Verzeichnisdienste, wenn die Zugriffe durch weitere Applikationen, wie z. B. Internet- oder Intranet-Anwendungen, erfolgen. Ist der LDAP-Zugriff falsch konfiguriert, kann es jedoch zu folgenden Problemen kommen:

  • Falsche Vergabe von Zugriffsrechten und unautorisierte Zugriffsmöglichkeiten auf den Verzeichnisdienst
    Wenn Verzeichnisdienste von unterschiedlichen Herstellern eingesetzt werden, kann es bei LDAP-Einstellungen zu Problemen kommen, die auf Erweiterungen eines bestimmten Verzeichnisdienstes, beispielsweise Active Directory oder Novell eDirectory, basieren. Darüber hinaus kann es passieren, dass Benutzern aufgrund der eventuell inkompatiblen LDAP-Syntax falsche Rechte zugewiesen werden. Hierdurch kann es unter anderem dazu kommen, dass Benutzer ungewollt auf Bereiche zugreifen dürfen, für die sie eigentlich keine Rechte haben sollten.
  • Übermittlung von Benutzerpasswörtern im Klartext und Ausspähen von unverschlüsselten Informationen
    Da LDAP ein rein textbasiertes Protokoll ist, werden alle Informationen, auch Benutzerpasswörter, im Klartext übertragen und könnten dabei ausgespäht werden. Deswegen sollte LDAP zusätzlich abgesichert werden, zum Beispiel durch eine SSL-Verschlüsselung. Jedoch ergeben sich bei der SSL-Konfiguration ebenfalls Fehlermöglichkeiten, die zu einer Herabsetzung des Sicherheitsniveaus führen können.
  • Fehler beim LDAP-Zugriff, insbesondere für netzbasierte Anwendungen
    Hierbei können Anmeldeversuche sporadisch fehlschlagen, obwohl die richtigen Authentisierungsinformationen verwendet werden. Dies kann beispielsweise durch unterschiedliche LDAP-Konfigurationen auf den einzelnen Verzeichnisdienstkomponenten entstehen.
  • Beeinträchtigung der Verfügbarkeit des Verzeichnisdienstes durch die Verschlüsselungseinstellungen von LDAP
    Durch Fehlkonfiguration, falsches Vorgehen und falsche Aktivierungsreihenfolge beim Vornehmen der Signierungs- und Verschlüsselungseinstellungen von LDAP kann die Verfügbarkeit für weite Teile des Verzeichnisdienstes stark beeinträchtigt werden. Bei größeren Umgebungen kann das Zurückversetzen des Verzeichnisdienstes in einen funktionstüchtigen Zustand sehr hohen Aufwand verursachen, da in einer solchen Situation viele netzbasierte Verwaltungs- und Steuerungsfunktionen gestört sind. Die Auswirkungen dieser inkonsistenten Einstellungen machen sich unter Umständen erst nach einer gewissen Zeit bemerkbar.
  • Unzureichende Produktivität des Gesamtsystems durch unterschiedliche LDAP-Versionen
    Wenn die Clients unterschiedliche LDAP-Versionen unterstützen, bestehen unter Umständen abweichende Konfigurationsmöglichkeiten. Verwenden beispielsweise Clients eine ältere LDAP-Version, kann es sein, dass neue Befehlssätze nicht unterstützt werden oder noch Schwachstellen in den Funktionen vorhanden sind usw. Auch die Unterstützung der verschiedenen LDAP-Versionen durch die Clients und die damit zusammenhängenden Konfigurationsmöglichkeiten können zu Fehlern führen, die die Sicherheit des Betriebes beeinträchtigen.
  • Nicht oder unzureichend eingeschränkte Suchfilter
    Wird ein Verzeichnisdienst via LDAP als öffentlicher Adress- oder Zertifikatsserver eingesetzt, so werden über das Internet gestellte Suchanfragen vom Verzeichnisdienst beantwortet. So wird nach Eingabe einer E-Mail-Adresse das zugehörige Zertifikat für eine mögliche Verschlüsselung übermittelt. Werden die Such- und Rückgabekriterien dabei nicht eingeschränkt, können über diese Anfragen interne Informationen nach außen gelangen. Lässt ein Unternehmen zum Beispiel bei einer Suche Platzhalter (so genannte Wildcards) zu und schränkt auch die Ausgabe für die Antwort nicht ein, kann mit einer Abfrage das komplette Verzeichnis ausgelesen werden. Eine Suche nach dem Zertifikat zur Adresse *@* würde dann als Ausgabe eine vollständige Liste aller E-Mail-Adressen von Mitarbeitern der Institution liefern. Diese Liste kann für den Spam-Versand oder zur Vorbereitung von gezielten Angriffen (siehe G 5.42 Social Engineering ) genutzt werden.

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK