Was ist LDAP. Aufbau einer LDAP-Injection. Sicherheitsmaßnahmen. Agenda. LDAP-Injection. ITSB2006 WS 09/10 Netzwerkkonfiguration und Security

Transkript

1 Agenda Was ist LDAP Aufbau einer Sicherheitsmaßnahmen

2 Was ist LDAP Abstract RFC4510 The Lightweight Directory Access Protocol (LDAP) is an Internetprotocol for accessing distributed directory services that act in accordance with X.500 data and service models. LDAP ist eine vereinfachte Alternative zum Directory Access Protocol (DAP), das als Teil des X.500 Standards spezifiziert ist. Aktuell LDAP v.3 Wichtig ist die Unterscheidung zwischen LDAP Verzeichnis und LDAP Protokoll

3 Was ist LDAP LDAP Verzeichnisdienst In einem Verzeichnisdienst werden Informationen in einer hierachischen Struktur abgelegt. OU=Gruppen cn=users OU=Mertl OU=Benutzer uid=thomas Das Datenmodell von LDAP besteht aus Objekten. Jedes Objekt hat Attribute. Objekte und Attribute werden im LDAP Schema organisiert Es gelten annähernd die gleichen Regeln wie bei OOP und es gelten Mechanismen wie Klassen, Vererbung und Polymorphie.

4 Was ist LDAP LDAP Verzeichnisdienst Distinguished Name (DN) Relative Distinguished Name (RDN) OU=Mertl RDN=Mertl cn=,ou=benutzer,ou=mertl OU=Gruppen OU=Benutzer RDN=Benutzer cn=users uid=thomas RDN=CN=+UID=111

5 Was ist LDAP LDAP Protokoll Das LDAP Protokoll ist ein Protokoll der Anwendungsschicht. Das LDAP-Protokoll definiert keinen Directory-Inhalt und auch nicht, wie der Directory Service erbracht werden soll. Bei der Kommunikation wird der LDAP-Client über TCP/IP mit dem LDAP-Server verbunden.

6 LDAP Implementationen MS ADAM (Active Directory Application Mode) Novell E-Directory RedHat Directory

7 LDAP Umgebung LDAP basierende Verzeichnisse zentralisieren Unternehmensinformation und ermöglichen SSO-Umgebungen LDAP basierende Applikationen nutzen diese Verzeichnisse für folgende 3 Hauptzwecke. Zugangskontrolle Rechtemanagement Ressourcenmanagement

8 Aufbau einer Normale Operation Normale Query Client LDAP Server Normales Ergennis Operation mit Code Injection Client Normale Query + Code Injection LDAP Server Normales Ergebnis und /oder zusätzliche Informationen

9 Aufbau einer Filteraufbau ( (attribute=value)(zweiter_filter)) (&(attribute=value)(zweiter_filter)) Injection: value)(injected_filter) (&(attribute=value )(injected_filter))(zweiter_filter)) LDAP ignoriert den 2. Filter

10 Aufbau einer Filteraufbau / DEMO DEMO

11 AND (&(USER=Benutzername)(PASSWORD=Kennwort) (&(USER=mertl)(&))(PASSWORD=password) (&(directory=documents)(security_level=low) documents)(security_level=*))(&(directory=documents (&(directory=documents)(security_level=*)) (&(directory=documents)(security_level=low)

12 Blind Werden verwendet um Informationen aus dem Verzeichnis zu gewinnen. (&(objectclass=printer)(type=epson*)) *)(objectclass=*))(&(objectclass=void (&(objectclass=*)(objectclass=*))(&(objectclass=void)(type=epson*)) (&(objectclass=*)(objectclass=*))(&(objectclass=void)(type=epson*))

13 Zuordnung Gefährdungskategorie/ Attackenarten Gefährdungskategorie: Attackenart: Datendiebstahl Exposure Interception Inference Intrusion LDAP Injection ist in der Regel eine direkte Outside-Attacke, die jedoch aktiv, passiv oder auch offline sein kann.

14 Sicherheitsmaßnahmen LDAP Attacken passieren im Application Layer defensive Programmierung Eingabevalidierung!!!

15 Quellen Parada/Whitepaper/bh-eu-08-alonso-parada-WP.pdf Injection =bto&cp= %5e14344_4000_100