image

Aanvallers versterken ddos-aanvallen via LDAP-servers

donderdag 27 oktober 2016, 16:44 door Redactie, 4 reacties

Aanvallers gebruiken een nieuwe manier om hun ddos-aanvallen te versterken waardoor het verstuurde verkeer naar een aangevallen website of internetdienst met wel een factor 55 kan toenemen. Daarvoor waarschuwt het Amerikaanse beveiligingsbedrijf Corero.

De aanvallers maken hierbij gebruik van het Lightweight Directory Access Protocol (LDAP): één van de meestgebruikte protocollen voor het benaderen van gebruikersnamen en wachtwoordgegevens in databases zoals Active Directory. In dit geval sturen de aanvallers een eenvoudig verzoek naar servers met een Connectionless LDAP-service (CLDAP). Het adres waarvan het verzoek afkomstig is, is gespooft. De aanvallers geven in dit geval het adres van de aan te vallen website of internetdienst op. De CLDAP-service reageert op het verzoek en stuurt ongewenst netwerkverkeer naar het gespoofte adres terug.

Het gebruik van amplificatietechnieken vindt al geruime tijd plaats. Via LDAP kan het ddos-aanvalsverkeer met een factor 46 tot een factor 55 worden versterkt. "Nieuwe amplificatietechnieken zoals deze kunnen plaatsvinden omdat er zoveel open diensten op het internet zijn die op gespoofte verzoeken reageren. Veel van deze aanvallen kunnen echter worden verzacht door goede hygiëne van de serviceprovider, door correct gespoofte ip-adressen te identificeren voordat ze op het netwerk worden toegelaten", zegt Dave Larson van Corero. Hij stelt dat het vooral belangrijk is om de netwerkstandaard BCP 38 toe te passen, die spoofing van ip-adressen moet voorkomen.

Reacties (4)
28-10-2016, 11:54 door Anoniem
Kan iemand mij uitleggen waarom niemand zegt dat je een LDAP service niet bereikbaar voor iedereen aan het internet moet knopen? Dat is in meerdere opzichten een beveiligingsprobleem.
28-10-2016, 18:31 door Anoniem
Er worden pogingen ondernomen om via een keten van sandboxes en volledige encryptie de DNS infrastructuur veiliger te
laten zijn. Zie met autoclave: https://autoclave.run of met ironFrame chrome of met Win10 edge.
Leuk dat noVNC QEMU virtueel browsen.
30-10-2016, 07:44 door karma4
Door Anoniem: Kan iemand mij uitleggen waarom niemand zegt dat je een LDAP service niet bereikbaar voor iedereen aan het internet moet knopen? Dat is in meerdere opzichten een beveiligingsprobleem.
Je zegt het en je hebt gelijk.
LDAP services hebben de verschillende servers met het OS als een cliënt. Die denkwijze vereist even omdenken in de relatie met de logische functies. Velen reageren op woorden niet op de context en betekenis.
Wat nog zou kunnen is dat op een gehackte server vanuit een userproces LDAP calls gedaan worden dan wel dat een apparaat met userproces een DHCP-server op een bepaalde manier bespeelt.

Ook hier een user-proces hoort niet dat soort calls af te vuren. Met security ehanced settings moet je een verschil tussen de processen op een machine maken. De doos zel is een te hoog niveau omdat het OS wel die calls moet kunnen doen.
Heb je weer las van reageren op woorden en niet de op de context betekenis. Het woord server wordt foutief geassocieerd met een doos niet met een logisch verwerkingsproces.
30-10-2016, 22:14 door Anoniem
Door karma4:
Door Anoniem: Kan iemand mij uitleggen waarom niemand zegt dat je een LDAP service niet bereikbaar voor iedereen aan het internet moet knopen? Dat is in meerdere opzichten een beveiligingsprobleem.
Je zegt het en je hebt gelijk.
LDAP services hebben de verschillende servers met het OS als een cliënt. Die denkwijze vereist even omdenken in de relatie met de logische functies. Velen reageren op woorden niet op de context en betekenis.
Wat nog zou kunnen is dat op een gehackte server vanuit een userproces LDAP calls gedaan worden dan wel dat een apparaat met userproces een DHCP-server op een bepaalde manier bespeelt.

Ook hier een user-proces hoort niet dat soort calls af te vuren. Met security ehanced settings moet je een verschil tussen de processen op een machine maken. De doos zel is een te hoog niveau omdat het OS wel die calls moet kunnen doen.
Heb je weer las van reageren op woorden en niet de op de context betekenis. Het woord server wordt foutief geassocieerd met een doos niet met een logisch verwerkingsproces.

Het gaat over techniek, er is een posting van karma4, en er klopt weer geen hout van.

Het heeft hier niks te maken met lokale processen die een lokale LDAP service misbruiken, en dus ook niks met user processen en hun priveleges .
Het redactie artikel is toch heel duidelijk wat het probleem is (voor derden) van een internet bereikbare UDP-gebaseerde LDAP poort , daar hoef je niet over te speculeren .

Speculeren over nut/noodzaak van wereldwijd bereikbare LDAP services is een ander ding, maar het moge duidelijk zijn dat er met deze schade voor derden geen excuus is om (UDP) ldap wereldwijd bereikbaar te hebben staan.
(evenmin als udp chargen etc etc). Ik denk overigens dat er echt geen use case voor is, maar gewoon een default die de 'admins' van al die servers niet dicht gezet hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.