Masalah Keamanan LDAP

RFC 2829 – Metode Otentikasi untuk LDAP mendefinisikan ancaman dasar untuk layanan direktori LDAP:

  1. Akses tidak sah ke data melalui operasi pengambilan data,
  2. Akses tidak sah ke informasi otentikasi klien yang dapat digunakan kembali dengan memantau akses orang lain,
  3. Akses tidak sah ke data dengan memantau akses orang lain,
  4. Modifikasi data yang tidak sah,
  5. Modifikasi konfigurasi yang tidak sah,
  6. Penggunaan sumber daya yang tidak sah atau berlebihan (penolakan layanan), dan
  7. Spoofing direktori: Menipu klien agar percaya bahwa informasi berasal dari direktori padahal sebenarnya tidak, baik dengan memodifikasi data dalam perjalanan atau salah mengarahkan koneksi klien.

Ancaman (1), (4), (5) dan (6) disebabkan oleh klien yang bermusuhan. Ancaman (2), (3) dan (7) disebabkan oleh agen musuh di jalur antara klien dan server, atau menyamar sebagai server.

Melindungi Keamanan LDAP

RFC 2829 – Metode Otentikasi untuk LDAP juga mendefinisikan mekanisme di mana rangkaian protokol LDAP dapat dilindungi:

  1. Otentikasi klien melalui set mekanisme SASL, mungkin didukung oleh mekanisme pertukaran kredensial TLS ,
  2. Otorisasi klien melalui kontrol akses berdasarkan identitas terotentikasi pemohon,
  3. Perlindungan integritas data melalui protokol TLS atau mekanisme SASL integritas data,
  4. Perlindungan terhadap pengintaian melalui protokol TLS atau mekanisme SASL enkripsi data,
  5. Pembatasan sumber daya melalui batasan administratif pada kontrol layanan, dan
  6. Otentikasi server melalui protokol TLS atau mekanisme SASL.

Jenis Otentikasi LDAP

LDAP v3 menetapkan tiga jenis autentikasi:

  • Tidak Ada Otentikasi
  • Otentikasi Dasar
  • Lapisan Otentikasi dan Keamanan Sederhana (SASL)

Penggunaan “Tanpa Otentikasi” dapat diterima saat berbagi data publik.

Otentikasi Dasar mirip dengan Otentikasi Dasar di bawah HTTP. Otentikasi dilakukan melalui penggunaan DN (Distinguished Name) dan kata sandi. Data ini dikirim baik dalam plaintext atau dikodekan menggunakan pengkodean Base64.

Baca Juga  Konverter Media Serat Ethernet

SASL (Simple Authentication and Security Layer) adalah kerangka kerja untuk memasukkan mekanisme keamanan alternatif. Mekanisme keamanan ini meliputi:

  • Kerberos Versi 4
  • S/Kunci
  • GSSAPI
  • CRAM-MD5
  • TLS
  • ANONIM