Wat is LDAP?
Het Lightweight Directory Access Protocol (LDAP) is een protocol dat wordt gebruikt om applicaties de mogelijkheid te bieden om snelle en schaalbare wijze informatie over gebruikers en andere objecten zoals computers op te vragen. Deze informatie staat opgeslagen in zogenoemde Directory Services zoals bijvoorbeeld Microsoft Active Directory die in veel bedrijfsnetwerken gebruikt wordt.
Veel applicaties hebben ondersteuning voor het LDAP-protocol en dit kan bijvoorbeeld gebruikt worden om centrale authenticatie mogelijk te maken. Dan hoeft een gebruiker niet bij elke applicatie een gebruikersaccount en wachtwoord te hebben maar kan deze informatie worden opgevraagd bij een LDAP-server.
Welke risico's kleven aan LDAP?
Omdat via LDAP toegang te verkrijgen is tot vaak gevoelige informatie, kan het een doelwit zijn voor cybercriminelen. Het gaat hierbij om persoonsgegevens maar ook informatie die gebruikt kan worden om zwakke plekken in het netwerk te ontdekken.
Naast het uitlezen van informatie is het ook mogelijk om het LDAP-protocol te gebruiken om informatie aan te passen. Op deze manier kunnen gebruikersaccounts worden overgenomen en verhoogde rechten worden verkregen.
Daarnaast laat LDAP communicatie toe op zowel het TCP- als het UDP-protocol. Met name het UDP-protocol is vatbaar voor (D)DoS-aanvallen wat er voor kan zorgen dat je systemen overbelast worden of gebruikt worden om systemen van anderen te overbelasten.
Veilig gebruik van LDAP
Het veilig gebruiken van het LDAP-protocol hangt sterk af van hoe het is ingericht. Standaard ontbreken een aantal veiligheidsfuncties zoals bijvoorbeeld versleuteling van communicatie, maar ook onjuiste configuratie kan een LDAP-server kwetsbaar maken voor aanvallen.
Maak je binnen je organisatie gebruik van LDAP, sta dan stil bij een veilige inrichting en bespreek dit met een eventuele softwareontwikkelaar en/of IT-dienstverlener. Denk hierbij aan de volgende veiligheidsmaatregelen:
- Normaal gesproken staat een LDAP-server nooit publiek toegankelijk op het internet. Scherm de LDAP-server af met een firewall en controleer of dit het geval is.
- Isoleer toegang tot een LDAP-server zoveel mogelijk. Maak hier bijvoorbeeld gebruik van IP-whitelisting en segmentatie van het bedrijfsnetwerk.
- Is het noodzakelijk dat LDAP-verkeer buiten je eigen netwerk plaatsvindt? Zorg dan dat dit verkeer versleuteld is. Beperk ook zoveel mogelijk de toegang door bij voorkeur dit verkeer alleen over een VPN-verbinding te laten plaatsvinden
- Maakt jouw applicatie op de achtergrond gebruik van LDAP? Voorkom dan dat bijvoorbeeld invoervelden in jouw applicatie misbruikt kunnen worden om ongewenste LDAP-berichten te versturen.
Heeft u een DTC-notificatie ontvangen?
Dan is dat hoogstwaarschijnlijk omdat beveiligingsorganisatie Shadowserver geconstateerd heeft dat uw LDAP benaderbaar is via het internet. Omdat dit indringers aantrekt, neemt het Digital Trust Center de moeite om u via een notificatie te waarschuwen. Roept dit vragen op? Laat het ons weten via het feedbackformulier.
Veilig digitaal ondernemen
Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid.