Attualmente sto usando una configurazione LDAP. Mi chiedo se sia sicuro dagli attacchi Man-in-the-middle o da altre vulnerabilità?
LDAP, di per sé, è non sicuro contro attaccanti attivi o passivi:
Nel migliore dei casi, l'LDAP di base può basarsi su un meccanismo di autenticazione (tramite SASL ) che non è banale interrotto da un utente malintenzionato: se l'autenticazione è del tipo "mostra la password", un utente malintenzionato passivo può apprendere la password e quindi connettersi al server con la propria identità; un po 'più di protocolli avanzati, come CRAM-MD5 , evita questo problema specifico, ma non farai mai nulla contro gli hacker che dirottano il tuo connessioni o spiare le tue richieste e risposte effettive.
Quindi, davvero, se apprezzi la tua sicurezza, quindi usa SSL (ad esempio "LDAPS"). Per molti aspetti, questo è proprio come HTTP vs HTTPS.
Come nota a margine, il protocollo Active Directory di Microsoft, che si basa su LDAP, offre opzionalmente una funzionalità "firma e crittografia", che sembra essere una sorta di protocollo crittografico incorporato in LDAP (cioè come LDAPS, ma in ordine inverso), che potrebbe garantire una sicurezza sufficiente. Non ho visto alcuna specifica decentemente dettagliata per quel protocollo, però, quindi consiglio comunque LDAPS in quel caso.
Il protocollo LDAP non è sicuro per impostazione predefinita, ma il protocollo definisce un'operazione per stabilire una sessione TLS su una LDAP esistente (l'operazione estesa StartTLS). In alternativa, alcuni meccanismi di autenticazione (tramite SASL) consentono di stabilire la firma e la crittografia. La maggior parte dei recenti server di directory basati su LDAP supportano queste modalità e spesso dispongono di parametri di configurazione per impedire comunicazioni non sicure.
LDAPS d'altra parte è sicuro per impostazione predefinita a patto che vengano trattate le cifre corrette.
Crea un certificato e accedi al tuo LDAP con il tuo certificato utente che installi nella voce di amministrazione.
Ovviamente la sessione TLS solleva la barra dallo sniffing dei pacchetti, non dalla qualità dell'autenticazione, a meno che l'autenticazione del certificato client non avvenga in TLS.
La password di testo normale sarebbe l'opzione peggiore, da lì in poi ... SASL, ecc.
Se si è interessati a qualcuno che accede al server LDAP da Internet e si desidera comunque consentire l'accesso a "alcuni" attributi, ma non ad altri, è possibile impostare un proxy su 389 per filtrare le richieste che vanno al server. Se si utilizzano le porte predefinite note per LDAP o LDAPS, è più semplice per gli utenti trovare i propri servizi.
Inoltre, considera la possibilità di inserire una voce del record di risorse SRV nel DNS per il tuo server LDAP connesso a Internet, così le persone avranno l'indirizzo e la porta corretti per colpire il tuo server proxy.
Leggi altre domande sui tag ldap tls man-in-the-middle injection