Вопрос или проблема
Хотел начать с того, что я не очень знаком с LDAP. Я просто хочу убедиться, что подпись LDAP принудительно включена. Я принудительно включил ее через групповую политику, в частности, через “требование подписания сервера LDAP на контроллере домена” и “требование подписания клиента LDAP в сетевой безопасности”, установив значение “Требовать подпись”. Это было доказано с помощью отчета инструмента “Результирующий набор политик”, но некоторые тестировщики проникновения сообщают, что LDAP не принуждает к подписи. Также, чтобы протестировать это с моей стороны, я использовал стандартное приложение LDP в Windows 11, подключаясь к серверу контроллера домена, чтобы проверить, запрашивает ли оно пароль или токен.
Мой первый вопрос: является ли это правильным способом проверить, включена ли подпись LDAP, или являются ли те группы политик, которые я упомянул, теми, которые мне нужны. Я также поиграл с параметром “требования токена канала сервера LDAP” и установил его на “Всегда”, но приложение LDP показывает тот же результат.
Буду признателен за любую помощь.
Ответ или решение
Проверка и настройка LDAP Signing
Учитывая, что вы реализовали политику подписания LDAP на своем доменном контроллере через групповые политики (GPO), важно удостовериться, что настройки действительно применяются и функционируют должным образом. Давайте рассмотрим основные аспекты вашей ситуации.
1. Настройка GPO для LDAP Signing
Вы правильно указали параметры, которые необходимо настроить для обеспечения подписания LDAP. Применение следующих настроек в GPO критически важно:
- Требование подписи LDAP сервером (
Domain controller: LDAP server signing requirement
) должно быть установлено на "Требовать подпись" (Require Signing). - Требование подписи клиента LDAP (
Network security: LDAP client signing requirements
) также должно быть установлено на "Требовать подпись" (Require Signing).
Эти настройки гарантируют, что при всех взаимодействиях через LDAP будет выполняться проверка подписей.
2. Проверка успешности применения GPO
Вы уже использовали инструменты, такие как Resultant Set of Policy (RSoP), для подтверждения, что политики были применены. Это правильный шаг, поскольку он позволяет визуализировать, какие настройки действительно действуют на сервере. Однако, стоит дополнительно проверить возможность тестирования через следующие методы:
- Пройтись по журналам безопасности на контроллере домена, чтобы увидеть, были ли зафиксированы попытки подключения к LDAP без подписки.
- Использовать инструменты, которые могут проверять возможность подключения к LDAP через обычный клиент, например
ldapsearch
на Linux.
3. Тестирование с помощью LDP
Вы упомянули использование приложения LDP для проверки подписки. Однако, стоит отметить, что LDP может не всегда правильно отображать статус подписки, так как оно может не информировать о том, если подписка не была установлена, а просто продолжает подключение как обычно. В этом случае:
- Попробуйте использовать более продвинутые инструменты, такие как Wireshark, для перехвата и анализа трафика LDAP. Это поможет вам увидеть, используется ли шифрование и подписка при передаче данных.
- Оцените возможность использования других LDAP-клиентов, которые предлагают больше настроек и информацию о подключении.
4. Проблемы с тестированием и эксплуатацией
Если пен-тестеры сообщают о том, что атаки все еще возможны, это может указывать на несколько проблем:
- Не все клиенты настроены на обязательное следование политикам GPO. Возможно, некоторые клиенты не поддерживают требования подписки. Убедитесь, что все клиенты и системы, которые взаимодействуют с вашим LDAP-сервером, соответствуют настройкам.
- Ошибки в конфигурации. Проверьте, нет ли конфликтов в групповых политиках или других настроек безопасности, которые могут отменить действие вашей политики.
- Атаки на уровне пакетов. Если у вас есть старые клиенты или системы, работающие на устаревших протоколах, они могут не соблюдать moderne стандарты безопасности.
5. Рекомендации по улучшению конфигурации
- Рассмотрите возможность внедрения дополнительного уровня аутентификации, такого как Kerberos или SAML, для усиления защиты LDAP-запросов.
- Все устройства, имеющие доступ к LDAP, должны быть обновлены, чтобы минимизировать уязвимости.
- Регулярно осуществляйте аудиты и оценку безопасности для выявления возможных путей атаки.
Заключение
Гарантируя, что настройки GPO правильно применены и поддерживаются на всех уровнях вашей инфраструктуры, вы сможете минимизировать риски, связанные с неподписанными LDAP-запросами. Не забывайте, что тестирование безопасности — это периодический процесс, который требует постоянного внимания.