Previniendo ataques de amplificación LDAP

Los ataques de amplificación que aprovechan el protocolo LDAP sobre UDP (CLDAP) son ataques que consultan a los servidores por medio de LDAP para obtener grandes resultados utilizando una dirección de origen falsa. Esta solicitud hace que la respuesta regrese a la dirección falsificada, lo que resulta en una gran cantidad de datos que se envían a una computadora que no la solicitó. Cuando se usa esto en miles de servidores con LDAP, se dirige una gran cantidad de tráfico a una IP única para formar un ataque distribuido eficiente.

Los servidores y clientes con LDAP que utilizan el protocolo UDP, no verifican que exista una conexión entre la fuente y el destino, por lo cual, se puede convencer al servidor para que envíe tráfico a un destino que no esté verificado.

La forma más fácil de resolver este problema es habilitar un firewall en su servidor que bloquee el acceso al puerto LDAP 389 a través de UDP. LDAP se usa comúnmente en servidores Windows que ejecutan servicios de Directorio Activo. Si tiene un programa que usa LDAP a través de UDP de otro servidor, debe agregar una excepción de firewall para permitir que la aplicación continúe funcionando, o cambiar esa aplicación para usar LDAP sobre TCP. LDAP también se puede ejecutar con cifrado (LDAPS) en el puerto 636, pero este protocolo solo es compatible con TCP.

Para deshabilitar el acceso LDAP por UDP, si no tiene servidores que accedan a él, siga estos pasos:

Haga clic derecho en Inicio, luego clic en Ejecutar y escriba " wf.msc " haga clic en "Aceptar"
Haga clic en la opción "Reglas de entrada" en el lado izquierdo de la ventana.
Localice la regla llamada "Controlador de dominio de Active Directory - LDAP (UDP-In)"
Haga clic derecho en la regla y seleccione "Deshabilitar regla"

Si necesita permitir el acceso LDAP desde otros servidores, siga estos pasos:
Haga clic derecho en Inicio, luego clic en Ejecutar y escriba " wf.msc " haga clic en "Aceptar".
Haga clic en la opción "Reglas de entrada" en el lado izquierdo de la ventana.
Ubique la regla llamada "Controlador de dominio de Active Directory - LDAP (UDP-In)".
Clic derecho en la regla y seleccione "Propiedades".
Clic en la pestaña "Alcance"
En la sección "Dirección IP remota", seleccione la opción "Estas direcciones IP:"
Para cada dirección IP o rango que deba tener acceso, haga clic en "Agregar ..." e ingrese los rangos correctos.
Una vez que haya ingresado todos los rangos que deberían tener acceso, haga clic en "Aceptar" para guardar la regla.
Si desea restringir LDAP a través de TCP o el servicio LDAP seguro por razones de seguridad, también debe modificar las siguientes reglas usando los pasos anteriores:

Controlador de dominio de Active Directory - LDAP (TCP-In)
Controlador de dominio de Active Directory - LDAP seguro (TCP-In)

Si está ejecutando un servidor Linux con LDAP, debe modificar la configuración LDAP de su servidor de acuerdo con su documentación para deshabilitar o restringir LDAP sobre UDP, o configurar el firewall de su sistema como corresponda.

¿Encontró su respuesta?