Windows servery (včetně verzí 2008, 2012 a 2016) se službou Active Directory Domain Services mají ve výchozím nastavení aktivní službu Lightweight Directory Access Protocol (LDAP). Ačkoli je tato služba klíčová pro operace v adresáři, chybně nakonfigurovaná služba LDAP může být zneužita jako reflektor v distribuovaných útocích typu odepření služby (DDoS). Tato příručka popisuje proaktivní konfiguraci firewallu pro blokování tohoto vektoru útoku bez dopadu na normální funkci služby Active Directory.

1. Služba LDAP a riziko DDoS reflexe

Protokol LDAP je protokol aplikační vrstvy, který funguje nad TCP/IP. Je základním kamenem služby Active Directory a umožňuje operace jako ověřování (bind), vyhledávání a úpravy dat.

Bezpečnostní problém vyplývá ze schopnosti služby LDAP pracovat přes bezestavový protokol UDP na portu 389. Na rozdíl od TCP protokol UDP postrádá mechanismus handshake pro ověření zdroje požadavku. Tato zranitelnost umožňuje útočníkům provádět Reflexní útoky LDAP:

• Útočník pošle malý, falšovaný UDP paket na port 389 vašeho serveru a padělá zdrojovou IP adresu na adresu zamýšlené oběti.
• Váš LDAP server na tento požadavek odpoví a pošle výrazně větší odpověď na IP adresu oběti.
• Při násobení tohoto útoku na mnoha zneužitelných serverech může tato technika zaplavit cíl obrovským objemem provozu.

Klíčové je, že základní operace služby Active Directory primárně používají LDAP přes TCP, který není na tento typ spoofingu náchylný. Blokování příchozího UDP provozu na portu 389 je tedy vysoce účinné bezpečnostní opatření, které obvykle nemá žádný dopad na činnost domény.

2. Proaktivní zmírnění rizik: Blokování LDAP přes UDP

Nejpřímějším způsobem, jak zabránit zneužití vašeho serveru k těmto útokům, je vytvořit pravidlo firewallu, které explicitně blokuje příchozí UDP provoz na portu 389.

3. Konfigurace krok za krokem: Vytvoření blokovacího pravidla

Podle těchto kroků vytvořte nové pravidlo ve Windows Firewallu:

1. Otevřete Windows Defender Firewall s pokročilým zabezpečením.
2. V levém podokně vyberte Příchozí pravidla.
3. V pravém podokně Akce klikněte na Nové pravidlo....
4. Otevře se Průvodce novým příchozím pravidlem. Vyberte typ pravidla Port a klikněte na Další.
5. Vyberte UDP a zaškrtněte Konkrétní místní porty. Do pole zadejte 389. Klikněte na Další.
6. Zvolte akci Blokovat připojení a klikněte na Další.
7. Na obrazovce Profil zaškrtněte všechny tři profily (Doména, Soukromá, Veřejná), aby se pravidlo aplikovalo ve všech síťových prostředích. Klikněte na Další.
8. Na poslední obrazovce zadejte popisný název (např. Blokovat příchozí LDAP UDP) a volitelný popis. Klikněte na Dokončit pro vytvoření a aktivaci pravidla.

Výsledek: Služba LDAP na vašem serveru již nebude přijímat UDP požadavky na portu 389, čímž se efektivně odstraní jako potenciální amplifikátor pro reflexní DDoS útoky. Interní doménové služby používající LDAP přes TCP budou i nadále normálně fungovat.

4. Profesionální služby a podpora

Udržování zabezpečené konfigurace serveru je klíčové. Pokud potřebujete pomoc nad rámec těchto kroků, je náš bezpečnostní tým vám k dispozici.

• Spravovaná konfigurace firewallu: Zákazníci se spravovanými službami si mohou o této konfiguraci požádat přímo prostřednictvím ticketu v support systému.
• Odborná podpora 24/7: V případě jakýchkoli dotazů týkajících se tohoto postupu nebo jiných bezpečnostních obav kontaktujte náš tým podpory na support@host-telecom.com.