Mehr Sicherheit in Domain-Netzwerken durch SSL-Verschlüsselung So nutzen Sie LDAP over SSL in Active Directory
Von Thomas Joos
Anbieter zum Thema
Neben der Möglichkeit mit Signaturen für den Zugriff in Active Directory zu arbeiten, um ein höheres Sicherheitsniveau zu erreichen, kann der Datenverkehr im Netzwerk zusätzlich auch über SSL abgesichert werden. Dadurch wird verhindert, dass Angreifer Berechtigungen von Administratoren in Active Directory erhalten können.
Um den Datenverkehr in Active Directory abzusichern, stehen verschiedene Wege zur Verfügung. Standardmäßig wird der Netzwerkverkehr zwischen Clients und Domänencontrollern per LDAP kaum geschützt und auch nicht verschlüsselt. Denn herkömmliche LDAP-Verbindungen zum Port 389 werden nicht verschlüsselt. Das kann darin resultieren, dass Angreifer mit Man-in-the-Middle-Attacken den Datenverkehr abhören können und dadurch Berechtigungen in Active Directory kapern.
Durch Aktivierung von LDAP-Signatur und LDAP Channel Binding kann das zwar zunächst verhindert werden. Wer zuverlässig für noch mehr Sicherheit sorgen will, aktiviert dazu aber noch LDAP over SSL (LDAPS) für Domänencontroller, um den Datenverkehr zwischen Clients und Domänencontrollern zu verschlüsseln. Dadurch wird der Datenverkehr in Active Directory ähnlich abgesichert, wie bei HTTPS auf Webseiten. Standardmäßig nutzt LDAP den Port 389 für die Kommunikation. Nach der Umstellung auf den Datenverkehr über SSL wird mit dem Port 636 gearbeitet.
Bildergalerie
Bildergalerie mit 8 BildernLDAPS-Verbindungen testen
Vor der Installation und Einrichtung von LDAPS kann mit dem Tool „ldp.exe“ auf Domänencontrollern überprüft werden, welche Art von LDAP-Verbindungen aktiviert sind. Bei „Verbindung\Verbinden“ wird zunächst der Name des Domänencontrollers eingegeben, der Port 389 ausgewählt, und dann auf Verbindung geklickt. Dadurch wird erkennbar, ob der Domänencontroller auch ungesicherte Verbindungen akzeptiert.
Um SSL-Verbindungen zu testen, wird der Port 636 verwendet, und die Option „SSL“ aktiviert. Hier ist zu sehen, ob auch SSL-Verbindungen erlaubt sind. Diese sollten in Zukunft für die Verbindung aktiv verwendet werden. Bei der Aktivierung von LDAPS, also LDAP über SSL, wird auch der Port für den globalen Katalog in Active Directory auf 3269 freigeschaltet. Ohne SSL wird der Port 3268 verwendet.
Zertifikate in Active Directory nutzen
Um Active Directory mit LDAPS abzusichern, werden zunächst Zertifikate für die Domänencontroller und Computer im Netzwerk benötigt. Die Zugriffe auf Active Directory werden anschließend über Zertifikate per SSL abgesichert. Die Konfiguration von SSL für LDAP findet in der Befehlszeile und der PowerShell statt. Es steht keine grafische Oberfläche dazu zur Verfügung.
Die Zertifikate können von einer Zertifizierungsstelle stammen, die in Active Directory installiert wird, oder es wird ein Zertifikat von außerhalb verwendet. Selbstsignierte Zertifikate, ohne eine Zertifizierungsstelle, sollten in produktiven Netzwerken nicht genutzt werden, da hier der Datenverkehr nicht immer stabil funktioniert, weil die Authentifizierung der Zertifikate Probleme machen kann. Am besten geeignet sind sicherlich die Active-Directory-Zertifikatsdienste, die aber möglichst nicht direkt auf einem Domänencontroller installiert werden sollten, sondern auf einem Mitgliedsserver.
Durch die Installation der Active-Directory-Zertifikatsdienste, erhalten alle Computer im Active Directory per Gruppenrichtlinie automatisch ein Zertifikat ausgestellt. Das kann einige Minuten dauern. Mit dem Befehl „gpupdate /force“ auf dem Domänencontroller oder einem Neustart kann der Vorgang beschleunigt werden. Ob der Server ein Zertifikat erhalten hat, kann in der Verwaltung der Zertifikate überprüft werden. Das lässt sich am Schnellsten mit dem Tool „certlm.msc“ realisieren. Bei „Eigene Zertifikate\Zertifikate“ sind die ausgestellten Zertifikate zu sehen.
Sobald der Domänencontroller sein Zertifikat erhalten hat, sollte auch bereits der Zugriff per SSL wie oben beschrieben funktionieren. Funktioniert die Verbindung noch nicht, muss der Server neu gestartet werden. Danach sollte die Verbindung mit SSL aber auf jeden Fall funktionieren. Jeder Domänencontroller benötigt für eine solche Verbindung sein eigenes Zertifikat, das er beim Einsatz der Active-Directory-Zertifikatsdienste automatisch erhält. Wird ein anderer Zertifikateanbieter genutzt, muss das Zertifikat LDAPS-geeignet sein.
LDAPS zusammen mit LDAP-Signatur und LDAP Channel Binding einsetzen
Idealerweise sollte LDAPS zusammen mit der LDAP-Signatur und dem LDAP Channel Binding eingesetzt werden. Wir beschreiben diese Konfiguration in jeweils eigenen Beiträgen (siehe Links am Ende dieses Beitrags). Durch die Aktivierung der LDAP-Signatur können Anfragen an die Domänencontroller nicht mehr gefälscht werden. Dadurch werden Man-in-the-Middle-Angriffe verhindert. Wird parallel für den Zugriff noch auf SSL gesetzt, können die Daten auch nicht mehr von unberechtigten Personen ausgelesen werden.
Sind Verbindungen durchgängig signiert und parallel dazu auch noch verschlüsselt, erreichen Sie die maximale Sicherheit. Die Aktivierung der Signatur stellt eine wichtige Grundlage dar, mit der Man-in-the-Middle-Angriffe verhindert werden. Geräte, die eine LDAP-Verbindung zu Domänencontrollern aufbauen, sollten mindestens diese Funktion nutzen, besser ist der parallele Einsatz von LDAPS.
LDAPS mit Windows und Linux
Nutzen Geräte LDAP, sollten auf diesen die Verbindung mit LDAPS aktiviert werden. Die meisten Linux-Distributionen, die sich mit LDAP zu einem Domänencontroller verbinden, unterstützen auch LDAPS. In diesem Fall muss die Zertifizierungsstelle in Linux als vertrauenswürdig konfiguriert werden. Auf Windows-Computern, die Mitglied in der gleichen Active-Directory-Gesamstruktur sind, wird das Zertifikat der Zertifizierungsstelle aus den Active-Directory-Zertifikatsdiensten automatisch mit Gruppenrichtlinien integriert.
Active Directory im Fokus
(ID:46595089)