Liebe Kunden und Partner!

 

Lightweight Directory Access Protocol (LDAP) ist ein Netzwerkprotokoll zur Durchführung von Abfragen und Änderungen in einem verteilten Verzeichnisdienst. Die bekannteste und am meisten verbreitete LDAP Implementierung stellt das Microsoft Active Directory dar.

Um eine fehlerlose Funktion des LDAP Protokolls zu ermöglichen, ist es erforderlich, dass alle beteiligten Systeme Daten mittels Port 389 bzw. bei LDAPS (LDAP over TLS) mittels Port 636 austauschen können!

Microsoft bereitet aktuell für das zweite Halbjahr 2020 ein Sicherheitsupdate auf Ihren Domaincontrollern vor, welches den Active Directory Dienst von LDAP auf LDAPS umstellen wird und somit das Ende der unverschlüsselten LDAP-Verbindungen bedeutet. Ziel ist es hierbei Schwachstellen in der Implementierung des Active Directoy Dienstes zu bekämpfen, um z.B. gegen sogenannte „Man-in-the-Middle“ Attacken geschützt zu sein, bei welchem sich Angreifer potentiell Zugriff auf Ihre Systeme verschaffen könnten!

Ganz im Sinne von „Relax, We Care“ würden wir Sie deshalb gerne jetzt schon proaktiv über diese geplante Änderung informieren, Ihnen bei der Überprüfung und Umstellung Ihrer Systeme zur Seite stehen und so einen uneingeschränkten Betrieb gewährleisten.

 

Anbei Beispiele von betroffenen Systemen und Services aus dem NTS Portfolio:

  • Unified Communications Services und Produkte wie z.B. Cisco Jabber, Cisco Expressway, Cisco Meeting Server, Cisco Unified Communications Manager, Cisco Callmanager, NTW Server, Fax Server, Unity Server
  • Security Services und Produkte mit Anbindung in die Active Directory mittels LDAP wie z.B. Cisco Identity Service Engine (ISE), Cisco Email und Web Security Appliance (ESA, WSA)
  • Firewalls und Services mit direkter Anbindung an die Active Directory zur User Abfrage wie z.B Cisco Apdative Security Appliance (ASA), Cisco Firepower, Cisco Anyconnect
  • VMWare VCenter mit Verbindung in die Active Directory
  • Splunk

 

Wichtig zu erwähnen wäre hierbei, dass alle Anwendungen und Systeme, die zum Zeitpunkt des Patches noch nicht auf LDAPS umgestellt wurden, keine Verbindung mehr in die Active Directory mittels LDAP aufbauen können. Somit kann es zu einer Einschränkung in der Verfügbarkeit Ihrer Anwendungen kommen, die von der Verbindung in die Active Directory abhängig sind.

Deshalb wären die von NTS empfohlenen Maßnahmen, dass vor der Veröffentlichung des Patches in der zweiten Jahreshälfte 2020 alle betroffenen Anwendungen und Systeme ermittelt werden und von LDAP auf LDAPS umgestellt werden.

Zusätzlich zu obigen Sicherheitsupdate wurde ein neues Update im März seitens Microsoft released, welches zusätzliche Audit Events und Gruppenrichtlinien implementiert, um hier (einerseits) für eine optimale Vorbereitung Sorgen zu können und alternativ die Möglichkeit implementiert per Registry Eintrag bzw. per Gruppenrichtlinie die Änderung des Patches zu überschreiben, falls eine Umstellung auf LDAPS nicht möglich ist.

 

Zusammengefasst empfiehlt NTS folgende Maßnahmen um Sicherzustellen, dass alle Anwendungen auch nach dem Patch mit dem Active Directory kommunizieren zu können:

  1. Aktivierung und Aufzeichnung der Audit Events aus dem März 2020 Update auf den Domain Controllern, um unverschlüsselte Verbindungen zu erkennen sowie die beteiligten Systeme identifizieren zu können.
  2. In Abstimmung mit NTS unter Berücksichtigung der Anpassungen auf den von NTS betreuten Systemen, Aktivierung von „LDAP channel binding„, sowie „LDAP signing“ auf Geräten, welche ein Windows OS verwenden.
  3. Monitoring und Hypercare Phase

 

Sollten Sie Fragen haben oder Hilfe benötigen, so stehen wir Ihnen wie gewohnt 24/7/365 unter support@nts.eu bzw. +43 316 405455-20 gerne zur Verfügung.

 

Ihre NTS
Relax, We Care