LDAP (輕量型目錄存取協定) 是企業環境中集中管理帳號與身分驗證的核心。預設的明文傳輸容易遭受中間人攻擊 (MitM)與憑證竊聽。為確保目錄服務安全,落實 LDAPS、簽章機制 (LDAP Signing) 與最小權限是防護關鍵
LDAP 的重點功能之一是提供認證。LDAPv2 提供兩種認證形式,即簡單認證和安全層 (SASL)。
簡單認證可啟用三種認證機制。匿名認證為客戶端提供 LDAP 上的匿名狀態。未通過認證的認證僅用於記錄目的,不應用來授予客戶端存取權限。名稱和密碼認證可使用提供的憑證存取伺服器。
1. 核心安全性風險
- 明文傳輸憑證: 未加密的 LDAP (預設使用埠號 TCP 389) 會以純文字傳送帳號與密碼,在網路封包中極易被攔截竊聽。
- LDAP 隱碼攻擊 (LDAP Injection): 應用程式在查詢 LDAP 目錄時,若未對輸入的參數進行過濾,攻擊者可藉此繞過驗證機制,甚至修改目錄樹結構。
- 弱式匿名繫結 (Anonymous Bind): 允許未經身分驗證的使用者隨意讀取目錄結構,導致組織架構與人員清單等敏感資訊外洩。
2. 安全強化實務建議
- 全面啟用 LDAPS (LDAP over SSL/TLS):
- 應強制透過 TCP 636 (或全域類別目錄 TCP 3269) 建立加密連線,保障資料在傳輸過程中的隱私與完整性。
- 確保 LDAP 伺服器安裝了有效且受信任的 SSL/TLS 憑證。
- 強制要求 LDAP 簽章與封裝 (LDAP Signing & LDAP Channel Binding):
- 為防止中間人竄改連線要求,建議在 AD 環境中設定
LDAPServerIntegrity = 2(強制要求),並啟用 LDAP 通道繫結 (Channel Binding),避免降級攻擊。
- 為防止中間人竄改連線要求,建議在 AD 環境中設定
如果需要自行上傳憑證可以選擇後,輸入相關憑證資料即可
SASL 認證的運作方式是將 LDAP 伺服器繫結至獨立認證程序,例如 Kerberos。LDAP 伺服器接著會使用 LDAP 通訊協定向 Kerberos 認證程序傳送訊息。這將啟動一系列回應訊息,傳遞認證成功或認證失敗結果。這些訊息預設皆以純文字傳送,這代表著任何監控人士都能閱讀這些訊息。因此,請務必在身份認證程序中增加安全措施,例如加密,以確保使用者詳細資料和共用的資訊被妥善保護。
