Come annunciato da Microsoft in un recente Security Guidance advice (ADV190023), verranno rilasciati due aggiornamenti di sicurezza che abiliteranno il channel binding LDAP (lightweight directory access protocol) e le modifiche all'hardening della firma LDAP. La prima patch (marzo 2020) aggiunge nuovi eventi di audit e GPV remap che abilitano questo hardening.
Più importante, tuttavia, è la seconda patch (H2 2020): quando questo aggiornamento viene applicato, Microsoft Active Directory rifiuterà i binding semplici LDAP, impedendovi di accedere a qualsiasi servizio che utilizzi il traffico LDAP non crittografato. Se non avete abilitato LDAP su SSL in Awingu, potreste avere questo problema.
Sebbene la patch sia ancora lontana qualche mese, è già una buona idea abilitare LDAP su SSL oggi per numerose ragioni, come spiegato in questo post del blog; ecco come fare o come risolvere eventuali problemi con questa patch in pochi clic.
LDAP vs. LDAPS
Che cos'è LDAP?
LDAP (Lightweight Directory Access Protocol) è un protocollo attraverso il quale i servizi di directory comunicano tra loro per inviare, tra le altre cose, nomi utente e password, indirizzi e-mail, tentativi di accesso, ecc. Ciò significa che LDAP memorizza nomi utente e password e in questo modo le applicazioni e i servizi possono convalidare gli utenti con questi dati per consentire loro l'accesso.
LDAP e Active Directory: Qual è la differenza?
Non va confuso con Active Directory, che è un servizio di directory disponibile sui server Windows che supportano il protocollo LDAP. Per funzionare richiede un controller di dominio Microsoft ed è incluso in diversi sistemi Windows Operating.
Sebbene Microsoft Active Directory sia il servizio di directory standard del settore, è possibile che si senta dire di "usare LDAP" al suo posto: in realtà si sta dicendo che si usa una directory diversa che utilizza il protocollo LDAP.
Traffico LDAP non sicuro
LDAP di per sé invia i suoi dati al servizio di directory "in chiaro". Quindi, si può dire che il ragionamento di Microsoft dietro l'introduzione di questi cambiamenti è solido: il traffico LDAP non sicuro contiene dati altamente sensibili che non sono criptati, e quindi un bersaglio facile per gli attaccanti e gli hacker. O, come dice Extrahop, "l'autenticazione LDAP non è sicura da sola. Un intercettatore passivo potrebbe imparare la tua password LDAP ascoltando il traffico in volo".
Che cos'è LDAP?
Esiste una versione del Lightweight directory access protocol chiamata Secure LDAP, che cripta il trasferimento dei dati. È più spesso noto come 'LDAPS' o 'LDAP over SSL', proprio come HTTP over SSL è chiamato anche HTTPS. "LDAPS utilizza una propria porta di rete distinta per connettere client e server", spiega ExtraHop, "la porta predefinita per LDAP è la 389, ma LDAPS utilizza la porta 636 e stabilisce TLS/SSL al momento della connessione con un client". In questo modo la connessione è più sicura e protetta dal furto di dati.
Guida e modifiche Microsoft
In ADV190023, "Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing", Microsoft ha recentemente annunciato che le modifiche saranno eseguite in due fasi:
Gli aggiornamenti di Windows di marzo 2020 aggiungono nuovi eventi di controllo, un logging aggiuntivo e una rimappatura dei valori dei Criteri di gruppo che consentiranno l'hardening di LDAP Channel Binding e LDAP Signing. Gli aggiornamenti di marzo 2020 non apportano modifiche alla firma LDAP o alle politiche di channel binding o al loro equivalente di registro sui controller di dominio nuovi o esistenti.
Un ulteriore aggiornamento mensile futuro, previsto per il rilascio nella seconda metà dell'anno solare 2020, abiliterà la firma LDAP e il binding del canale sui controller di dominio configurati con valori predefiniti per queste impostazioni.
Microsoft sta spostando le sue scadenze. Ciononostante, vale la pena intraprendere questa azione il più presto possibile.
Qual è l'impatto della modifica di LDAP su Awingu?
Cos'è Awingu?
Awingu è uno spazio di lavoro unificato che fornisce agli utenti un accesso altamente sicuro, controllato e verificato a tutti i file aziendali e alle applicazioni legacy, web e SaaS in uno spazio di lavoro basato su browser, accessibile da qualsiasi dispositivo. Gli amministratori di sistema non devono installare nulla sul dispositivo dell'utente finale, poiché Awingu viene eseguito completamente nel browser.
Architettura di Awingu
Awingu sfrutta l'architettura attuale dell'azienda e viene distribuito come dispositivo virtuale sulla maggior parte degli hypervisor. Questo può essere un cloud privato o pubblico. Da qui, Awingu si collegherà a un ambiente back-end classico. Si collegherà con un servizio di directory (Active Directory), LDAP o un IdP esterno per la gestione degli utenti.
Si connette a server applicativi che eseguono Microsoft RDP per applicazioni o desktop legacy. Le applicazioni Web (ad es. Intranet) possono essere collegate tramite "Awingu Reverse Proxy". Infine, si connette ai file system classici tramite WebDAV e CIFS e agli ambienti di archiviazione cloud come l'OneDrive di Microsoft.
Funzionalità integrate di Awingu
Awingu è dotato di interessanti funzionalità (di sicurezza) integrate. Diamo un'occhiata ad alcune di esse
MFA incluso: Consente l'autenticazione semplice e la sicurezza quando gli utenti desiderano accedere.
Controllo granulare dell'utilizzo: Un ulteriore livello di sicurezza: gli amministratori di sistema possono controllare i diritti degli utenti o dei gruppi di utenti in modo molto granulare.
Consapevolezza del contesto: Definire posizioni geografiche e/o indirizzi IP come zone sicure per account utente o gruppo di utenti. All'interno di queste zone di sicurezza, gli utenti possono accedere a tutte le applicazioni e alle condivisioni di file.
Sfruttare i provider di identità (esterni) (IdP): Utilizzate già un Identity Provider esterno (ad esempio Azure AD, Okta, Google Identity)? È possibile impostare una connessione SAML o OpenID Connect a questo servizio (sono supportati sia i modelli SSO completi che quelli di pre-autenticazione) per sfruttare tutti i servizi di sicurezza offerti dal servizio esterno.
Awingu e LDAP
Se il vostro dominio Awingu è configurato per passare attraverso LDAP, i vostri utenti non saranno più in grado di accedere direttamente ad Awingu dopo la patch di marzo 2020. Quando gli utenti cercheranno di accedere al loro spazio di lavoro, verrà visualizzato il seguente errore:
Si raccomanda vivamente di preparare la vostra Active Directory per consentire la connessione LDAPS da Awingu, non solo per garantire la possibilità di accesso ai vostri utenti, ma anche per aggiungere un livello di sicurezza (a basso costo e altamente remunerativo) al vostro ambiente. Fortunatamente, per risolvere questo problema nella vostra Active Directory bastano pochi clic:
Assicurati che la porta 636 sia aperta tra Awingu e Active Directory.
Installare il seguente ruolo su Active Directory: Server Manager -> Gestisci -> Aggiungi ruoli e funzionalità -> installazione basata sui ruoli o sulle funzionalità -> Active Directory Certificate Services. Solo l'Autorità di certificazione deve essere installata (non è richiesto alcun riavvio).
Dopo l'installazione, riceverete un popup per configurare i servizi di certificazione:
- Seleziona il ruolo Autorità di certificazione:
Seleziona Enterprise CA
Selezionare Root CA
Selezionate "Create new private key" e lasciate tutto di default
Infine, cliccate su "configura"
Riavviare il server Active Directory
Dopo aver riavviato il vostro server Active Directory, sarete felici di scoprire che l'abilitazione di LDAP su SSL è un'opzione predefinita in Awingu che ha un semplice "interruttore on/off":
Abilitare SSL su HTTP in Awingu
Il metodo di cui sopra è usato per abilitare LDAP su SSL con Awingu. Tuttavia, il nostro Unified Workspace fornisce anche la possibilità di abilitare HTTP over SSL, per criptare tutti i trasferimenti di dati dal dispositivo all'appliance Awingu e ai server di app/file. E' meglio illustrato con il diagramma qui sotto:
Per assicurarsi che il traffico tra l'utente e Awingu sia criptato, è possibile attivare l'HTTPS seguendo i seguenti passaggi, come illustrato dal nostro COO Steven Dewinter nel video qui sotto:
- https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023
English 
Italian 
German 
Spanish 
French