20 Maggio, 2109 – di Jaq Evans

Come protocollo di accesso e gestione delle identità, il traffico LDAP può includere un discreto numero di dati sensibili: nomi utente di Active Directory, tentativi di accesso, notifiche di accesso non riuscito e altro. Se gli aggressori vengono a conoscenza di tali dati, potrebbero essere in grado di compromettere le credenziali AD legittime e utilizzarle per sondare la rete alla ricerca di risorse preziose.

La crittografia del traffico LDAP attraverso la rete può aiutare a prevenire il furto di credenziali e altre attività dannose, ma non è un fail-safe e, se il traffico è crittografato, si potrebbero smarrire gli indizi di un tentativo di attacco in corso.

Ad esempio, se un utente malintenzionato utilizza la forza bruta per tentare di accedere a un database limitato o un’area di archiviazione, tale attacco lascerà le risorse di rete come i messaggi di “accesso non riuscito” che vengono anche trasmessi attraverso la rete utilizzando il protocollo LDAP. Se hai crittografato il traffico LDAP come misura protettiva, non sarai in grado di rilevare i messaggi di accesso non riusciti associati alle risorse sensibili.

La crittografia avanzata è la chiave per una buona sicurezza informatica, ma lo sono anche le implementazioni intelligenti e la possibilità di decodificare il traffico senza compromettere gli altri controlli di sicurezza. Scorri verso il basso per ulteriori risposte alle tue domande LDAP o scopri come implementare in sicurezza TLS 1.3 con decifratura passiva qui .

Domande frequenti su LDAP

LDAP è crittografato?

Risposta breve: no. Risposta più lunga: il traffico LDAP standard non è crittografato, ma esiste una versione non standard di LDAP chiamata Secure LDAP, noto anche come “LDAPS” o “LDAP su SSL” (SSL o Secure Socket Layer, che è l’antenato del trasporto ormai obsoleto Sicurezza dei livelli).

LDAPS utilizza la propria porta di rete distinta per connettere client e server. La porta predefinita per LDAP è la porta 389, ma LDAPS utilizza la porta 636 e stabilisce TLS / SSL al momento della connessione con un client.

L’autenticazione LDAP è sicura?

L’autenticazione LDAP non è sicura da sola. Un intercettatore passivo potrebbe apprendere la password LDAP ascoltando il traffico in volo, quindi è altamente raccomandato l’utilizzo della crittografia SSL / TLS.

La porta LDAP 389 è protetta?

Non esattamente. La stessa porta non è più sicura del traffico LDAP non criptato, ma hai alcune alternative a LDAPS per aumentare la tua sicurezza: potresti usare l’estensione TLS LDAPv3 per proteggere la tua connessione, oppure potresti configurare un meccanismo di autenticazione per stabilire la firma e la crittografia .

Qual è la differenza tra LDAP e Active Directory?

Sia LDAP che Active Directory sono servizi di directory, ma sebbene il protocollo di Active Directory sia basato sul protocollo LDAP, AD è proprietario di Microsoft e richiede il funzionamento di un controller di dominio Microsoft.