Zmírnění zneužití protokolu LDAP v amplifikačních DDoS útocích

Tato příručka podrobně popisuje hrozbu útoků typu LDAP (Lightweight Directory Access Protocol) reflection/amplification a poskytuje podrobné pokyny k zabezpečení vašeho Windows Serveru proti zneužití v takovýchto DDoS kampaních. Implementace těchto opatření chrání jak vaši infrastrukturu, tak širší ekosystém internetu.

1. Pochopení hrozby: LDAP reflexe/amplifikace

Kybernetičtí útočníci často zneužívají veřejně přístupné LDAP servery k zahájení distribuovaných útoků typu odepření služby (DDoS). Tento vektor útoku funguje následovně:

1. Falšovaný požadavek: Útočník pošle malý, speciálně upravený LDAP požadavek na zranitelný server se zfalšovanou zdrojovou IP adresou, takže se zdá, že požadavek pochází ze serveru zamýšlené oběti.
2. Zesílená odpověď: LDAP server tento požadavek zpracuje a pošle nepoměrně velkou odpověď na zfalšovanou IP adresu.
3. DDoS efekt: Násobením této techniky na tisících zneužitelných LDAP serverů může útočník nasměrovat obrovský, ochromující objem provozu na cílovou IP adresu, čímž přetíží její zdroje.

Jádrem zranitelnosti, která tento exploit umožňuje, je bezestavová povaha protokolu UDP (port 389), který neověřuje zdroj požadavku. Naproti tomu protokol TCP vyžaduje formální handshake, který inherentně ověřuje zdroj a cíl, čímž tomuto typu spoofingu zabraňuje.

2. Doporučená strategie zmírnění rizik

Nejúčinnějším a nejpřímějším opatřením je blokovat příchozí LDAP UDP provoz na hostitelském firewallu na všech serverech, kde není explicitně vyžadován. Pro drtivou většinu nasazení, zejména prostředí Microsoft Active Directory, je LDAP přes TCP dostačující a je doporučovaným standardem.

Poznámka k LDAPS: Secure LDAP (LDAPS), který funguje přes TCP port 636, není náchylný k UDP amplifikačním útokům a tyto změny jej neovlivní.

---

3. Konfigurace krok za krokem: Windows Server

Následující pokyny platí pro Windows Servery s nainstalovanými službami Active Directory Domain Services.

3.1. Zakázání příchozího LDAP přes UDP

Tato akce zabrání externím subjektům ve zneužití vaší LDAP služby.

1. Otevřete konzoli Windows Defender Firewall s pokročilým zabezpečením (wf.msc).
2. V levém podokně přejděte na Příchozí pravidla.
3. Najděte pravidlo s názvem Řadič domény služby Active Directory – LDAP (příchozí UDP) (Active Directory Domain Controller - LDAP (UDP-In)).
4. Klepněte na pravidlo pravým tlačítkem myši a vyberte Zakázat pravidlo.

3.2. (Volitelné) Omezení přístupu LDAP na důvěryhodné zdroje

Pokud některé aplikace nebo servery ve vaší infrastruktuře legitimně vyžadují LDAP přes UDP, nahraďte plošné zakázání restriktivním pravidlem povolení.

1. Klepněte pravým tlačítkem myši na pravidlo Řadič domény služby Active Directory – LDAP (příchozí UDP) a vyberte Vlastnosti.
2. Přejděte na kartu Rozsah.
3. V části Vzdálená IP adresa vyberte Tyto IP adresy:.
4. Klikněte na Přidat... a specifikujte přesné IP adresy nebo podsítě důvěryhodných serverů, které vyžadují přístup.
5. Klepněte na OK pro aplikování změn.

3.3. Zabezpečení služeb LDAL založených na TCP

Pro zvýšenou bezpečnost zvažte aplikaci stejných principů omezení IP i na vaše pravidla LDAL založená na TCP:

• Řadič domény služby Active Directory – LDAP (příchozí TCP) (Active Directory Domain Controller - LDAP (TCP-In))
• Řadič domény služby Active Directory – Zabezpečený LDAP (příchozí TCP) (Active Directory Domain Controller - Secure LDAP (TCP-In))

Postupujte podle postupu popsaného v části 3.2 a omezte přístup k těmto službám pouze na autorizované rozsahy IP.

---

4. Pokyny pro servery LDAP založené na Linuxu

Základní princip zmírnění rizik zůstává stejný: blokovat nebo omezit UDP port 389.

• Konfigurace firewallu: Použijte firewall vašeho systému (např. iptables, nftables, firewalld) k zamítnutí příchozích UDP spojení na portu 389.
• Konfigurace služby: Konzultujte dokumentaci vašeho LDAP serveru (např. OpenLDAP), jak kompletně vypnout naslouchání přes UDP nebo nakonfigurovat přístupové kontrolní seznamy (ACL), které omezí dotazy na autorizované sítě.

---

5. Profesionální služby a podpora

Konfigurace pokročilých bezpečnostních politik sítě může být komplexní. Náš tým expertů je připraven vám asistovat.

• Spravované zabezpečení: Pokud jste klientem spravovaných služeb, můžete si o této konfiguraci požádat přímo prostřednictvím svého account manažera.
• Odborné poradenství: Pro vlastní konfigurace, pokročilé zabezpečení LDAP serveru nebo implementaci na míru šitých seznamů povolených/zakázaných IP adres, prosím, otevřete ticket v našem support systému.
• Kontaktujte náš bezpečnostní tým: Máte-li jakékoli dotazy týkající se tohoto průvodce nebo jiných strategií zmírnění DDoS útoků, kontaktujte naše 24/7 Support centrum na support@host-telecom.com.