LDAP-Benutzerzugänge mit Æ-DIR absichern
Gut verteilt
Delegierte Verantwortung ist nicht erst seit dem Siegeszug von DevOps in größeren Umgebungen ein probates Mittel, die zentrale IT-Abteilung zu entlasten. Mit den richtigen Tools und einer ausgefeilten Konfiguration bleibt auch die Sicherheit dabei nicht auf der Strecke.
In den letzten Jahren hat sich das plattformübergreifende und zentrale Verwalten von Benutzerkonten und -gruppen für Windows und unixoide Systeme glücklicherweise zu einer Selbstverständlichkeit entwickelt. Zumeist erfolgt das Speichern der Daten dabei in einem zentralen und via LDAP zugänglichen Verzeichnisdienst, auf den alle Systeme zugreifen können. Üblicherweise kommen hierfür die LDAP-Schnittstelle von Active Directory oder LDAP-Verzeichnisdienste wie OpenLDAP, OpenDJ oder ähnliche zum Einsatz. Hat man die verschiedenen, im iX-Tutorial zu OpenLDAP [1–3] beschriebenen Installations- und Integrationshürden überwunden und lässt bei der Datenpflege hinreichende Sorgfalt walten, bieten solche Plattformen eine gute Grundlage für das kontrollierte Verwalten von Zugängen.
Mit den unbestreitbaren Vorteilen eines solchen Ansatzes hinsichtlich der vereinfachten Datenpflegeprozesse erkauft man sich aber auch einen gravierenden Nachteil: Das sogenannte „Need-to-know“-Prinzip, das heißt Kenntnis nur bei Bedarf, lässt sich damit nicht so einfach umsetzen. Die Folge ist, dass alle Benutzer und Systeme letztlich fast alle Einträge im zentralen Verzeichnisdienst einsehen können. Übernimmt ein Angreifer eines der mit dem Verzeichnisdienst integrierten Systeme, so stehen diesem mit einem Schlag sämtliche Informationen zur gesamten Infrastruktur mit einer simplen LDAP-Suche zur Verfügung. Seien es die Telefonnummern aller Administratoren für die nächsten Schritte beim Social Engineering oder die E-Mail-Adressen der Geschäftsleitung – am besten gleich mit der Vertretungsregelung fürs Postfach. Letzteres ist besonders „nützlich“ für gezielte Phishing-Angriffe auf das Sekretariat. Auch erfahren Angreifer alle Benutzerkennungen und können die im Falle einer „sicheren“ Anmelderichtlinie mit aktivierter automatischer Sperrung für einen Denial-of-Service-Angriff nutzen.