Il rilascio di manutenzione di Awingu 5.2.4 è ora disponibile!

L'aggiornamento di sicurezza di Microsoft disabilita i login LDP non sicuri: come risolvere e perché

Come annunciato da Microsoft in un recente consiglio della Security Guidance (ADV190023), saranno rilasciati due aggiornamenti di sicurezza che abiliteranno il binding del canale LDAP e le modifiche all'hardening della firma LDAP. La prima patch (marzo 2020) aggiunge nuovi eventi di audit e remap GPV che permettono questo hardening. Più importante, tuttavia, è la seconda patch (H2 2020): quando quell'aggiornamento viene applicato, Microsoft AD rifiuterà i semplici binding LDAP - il che vi impedirà di accedere a qualsiasi servizio che utilizza il traffico LDAP non criptato. Se non avete abilitato LDAP su SSL in Awingu, potreste anche affrontare questo problema. Anche se la patch è ancora lontana qualche mese, è già una buona idea abilitare LDAP su SSL oggi per numerose ragioni, come spiegato in questo post del blog - ecco come puoi farlo, o come puoi risolvere qualsiasi problema che potresti avere con questa patch in pochi click.

LDAP contro LDAPS

LDAP (Lightweight Directory Access Protocol) è un protocollo attraverso il quale i servizi di directory comunicano tra loro per inviare, tra le altre cose, nomi utente, password, tentativi di login, ecc. Non va confuso con Active Directory, che è quel server di directory che fa uso del protocollo LDAP. Anche se Microsoft Active Directory è il servizio di directory standard del settore, si può sentire la gente dire che 'usa LDAP' al suo posto - ciò che in realtà sta dicendo è che usa una directory diversa che utilizza anche il protocollo LDAP.

LDAP di per sé invia i suoi dati al servizio di directory "in chiaro". Quindi, si può dire che il ragionamento di Microsoft dietro l'introduzione di questi cambiamenti è solido: il traffico LDAP non sicuro contiene dati altamente sensibili che non sono criptati, e quindi un bersaglio facile per gli attaccanti e gli hacker. O, come dice Extrahop, "l'autenticazione LDAP non è sicura da sola. Un intercettatore passivo potrebbe imparare la tua password LDAP ascoltando il traffico in volo".

Esiste una versione di LDAP chiamata Secure LDAP, che cripta il trasferimento dei dati. È più spesso conosciuto come 'LDAPS' o 'LDAP over SSL', proprio come HTTP over SSL è anche chiamato HTTPS. "LDAPS utilizza la propria porta di rete distinta per connettere client e server", dice ExtraHop, e "la porta predefinita per LDAP è la porta 389, ma LDAPS utilizza la porta 636 e stabilisce TLS/SSL al momento della connessione con un client".

Guida e modifiche di Microsoft

In ADV190023"Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing", Microsoft ha recentemente annunciato che i cambiamenti avverranno in 2 fasi:

      1. Gli aggiornamenti di Windows di marzo 2020 aggiungono nuovi eventi di controllo, un logging aggiuntivo e una rimappatura dei valori dei Criteri di gruppo che consentiranno l'hardening di LDAP Channel Binding e LDAP Signing. Gli aggiornamenti di marzo 2020 non apportano modifiche alla firma LDAP o alle politiche di channel binding o al loro equivalente di registro sui controller di dominio nuovi o esistenti.
      2. Un ulteriore aggiornamento mensile futuro, previsto per il rilascio nella seconda metà dell'anno solare 2020, abiliterà la firma LDAP e il binding del canale sui controller di dominio configurati con valori predefiniti per queste impostazioni.

Microsoft sta spostando le sue scadenze. Ciononostante, vale la pena intraprendere questa azione il più presto possibile.

Impatto su Awingu

Se il tuo dominio Awingu è configurato per andare su LDAP, i tuoi utenti non saranno più in grado di accedere direttamente dopo la patch di marzo 2020. Il seguente errore verrà mostrato quando gli utenti cercheranno di accedere al loro spazio di lavoro:

È altamente raccomandato che prepariate la vostra Active Directory per permettere la connessione LDAPS da Awingu, non solo per assicurare la possibilità di login per i vostri utenti ma anche per aggiungere uno strato di sicurezza (a basso sforzo, altamente remunerativo) sopra il vostro ambiente. Fortunatamente, sistemare questo nella tua AD richiede solo pochi click:

      • Assicurati che la porta 636 sia aperta tra Awingu e Active Directory.
      • Installare il seguente ruolo su Active Directory: Server Manager -> Gestisci -> Aggiungi ruoli e funzionalità -> installazione basata sui ruoli o sulle funzionalità -> Active Directory Certificate Services. Solo l'Autorità di certificazione deve essere installata (non è richiesto alcun riavvio).
      • Dopo l'installazione, riceverete un popup per configurare i servizi di certificazione:
      • Seleziona il ruolo Autorità di certificazione:
      • Seleziona Enterprise CA
      • Selezionare Root CA
      • Selezionate "Create new private key" e lasciate tutto di default
      • Infine, cliccate su "configura"
      • Riavviare il server Active Directory

Dopo aver riavviato il vostro server Active Directory, sarete felici di scoprire che l'abilitazione di LDAP su SSL è un'opzione predefinita in Awingu che ha un semplice "interruttore on/off":

Abilitare SSL su HTTP in Awingu

Il metodo di cui sopra è usato per abilitare LDAP su SSL con Awingu. Tuttavia, il nostro Unified Workspace fornisce anche la possibilità di abilitare HTTP over SSL, per criptare tutti i trasferimenti di dati dal dispositivo all'appliance Awingu e ai server di app/file. E' meglio illustrato con il diagramma qui sotto:

Per assicurarti che il traffico tra l'utente e Awingu sia criptato, puoi abilitare HTTPS seguendo questi passi, come indicato dal nostro COO Steven Dewinter:

L'autore
karel
Karel Van Ooteghem
Responsabile marketing
Tabella dei contenuti
Vuoi saperne di più su Awingu?
Questo sito web utilizza i cookie. Leggi la nostra trasparenza politica dei cookie!