Как убедиться, что служба LDAP на Windows Server не может быть использована для атак?

При использовании Windows Server 2008, 2012 или 2016, служба каталога протокола LDAP будет активна по умолчанию. LDAP — протокол прикладного уровня, использующий TCP/IP и позволяющий производить операции аутентификации (bind), поиска (search) и сравнения (compare), а также операции добавления, изменения или удаления записей.

Проблема состоит в том, что для сторонних ресурсов существует возможность воспользоваться чужой службой LDAP для DDoS атак, так называемых "Reflection attacks". Процесс осуществляется через UDP-соединение с 389 портом. Для того, чтобы предотвратить такого рода исходящие атаки вы можете заблокировать UDP-соединение для порта 389 через брандмауэр. Блокировка такого типа соединений не должна повлиять на использование "Active Directory", так как в данном случае используется TCP-соединение.

Как мне отключить внешний доступ?

  • Откройте Брандмауэр Windows (Windows Firewall).
  • В левом боковом меню выберите Правила для входящих подключений (Inbound Rules).
  • Нажмите Создать правило (New Rule...) в верхнем правом углу.
  • Откроется мастер создания правил, в котором вам необходимо выбрать тип правила Для порта (Port) и нажать Далее > (Next). Windows Server Rules
  • На следующей странице выберите Протокол UDP (UDP) и в графе Определенные локальные порты (Specific local ports) впишите значение 389 и нажмите Далее > (Next).
  • На открывшейся странице необходимо выбрать Блокировать подключение (Block the connection) и снова нажать Далее > (Next).
  • На странице Профиль (Profile) убедитесь, что выбраны все профили, затем нажмите Далее > (Next).
  • На последнем шаге необходимо задать имя для созданного правила, например, UDP LDAP block. После того, как поле Имя будет заполнено, вам необходимо подтвердить настройки, нажав кнопку Готово (Finish).

Служба LDAP более не будет доступна для описанных выше DDoS-атак.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Для реализации основных услуг и функций нашего сайта, а также для сбора данных о том, как посетители взаимодействуют с нашими сайтом, продуктами и услугами, мы применяем различные инструменты, включая файлы cookie. Нажимая «Принять», вы соглашаетесь с текущими правилами и условиями использования сайта и даете разрешение на использование этих данных. В противном случае, пожалуйста, покиньте сайт.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: