Offene LDAP-Server in AS

Hallo,


warum ist die vCenter Appliance öffentlich erreichbar?!? Das ist fahrlässig hoch 10!!

Lösung: Firewall konfigurieren und der VCSA eine private IP aus dem lokalen Netz geben. Die öffentliche IP könnt ihr euch dann sparen.
Und falls Fernzugriff auf das vCenter notwendig sein sollte: VPN einrichten!

P.S. In der E-Mail vom BSI stehen immer alle notwendigen Infos + Anleitung zur Behebung drin. Sollte ein Administrator eigentlich wissen...

Viele Grüße,
Exception

Scheint nicht eure erste Lücke zu sein.
https://www.malwareurl.com/ns_listing.php?as=ASxxxxx
Tu deinen Chef einen Gefallen und entferne das AS aus dem Betreff, muss ja nicht jeder wissen

Die Lösung ohne Firewall??

Alles vom Netz nehmen!!

Moment! Ihr habt keine Firewall? Und betreibt dafür eine VMware Infrastruktur mit mehreren VM's? Und alle sind öffentlich am Netz?!
Eure Daten scheinen wohl keinen Wert zu haben? Hoffentlich ist kein Server darunter (DB, CRM o.ä) wo Kundendaten gespeichert sind....

Wie bereits @Spirit-of-Eli geschrieben hat: Alles sofort vom Netz nehmen bis dieser Mangel behoben wurde.
Alles andere ist ein fahrlässiges Sicherheitsrisiko.

Oder alternativ mindestens das vCenter hinter NAT verstecken.

Wurde bereits mehrmals geschrieben.


Das LDAP ist dein kleinstes Problem, wenn die Appliance und ander Server wirklich 100% im Netz steht.

Jein.
Stell dir einen Geldautomten vor.
Er ist für jeden zugänglich, an die Verwaltung kommen normale Kunden nicht (VMware Appliance), da dieser Teil mit einem Schloss gesichert ist. Die Kunden kommen nur mit Karte an ihren Teil (Konto).
Bei dir ist momentan das Schloss weg, d.h. Du weißt nicht, wer Bauteile ausgetauscht hat und zum skimmen dient und was Original ist. Ich hoffe das hilft dem Verständnis etwas

Wie oft willst du die Antwort noch hören?! Das wurde tausend mal hier geschrieben.


Du kannst nur externe LDAP Provider z.B. Active Directory abschalten - nicht das interne, da ansonsten keinerlei Anmeldung beim vCenter mehr möglich ist. Bin jetzt kein vSphere Experte aber soweit ich weiß, wird die interne vsphere Domäne außerdem für die Kopplung der ESXi verwendet.

Es gibt allerdings fürs vCenter/ESXi eine Firewall. Diese könntest du Konfigurieren.


Sorry aber deine Antwort zeigt, dass du überhaupt keine Fachkompetenz besitzt.
Ich empfehle dir: gehe zu einem Dienstleister, der euch unterstützt und das ganze sicher umsetzt.

Warum gehört ein Datenbankserver mit Geschäftsgeheimnissen und/oder Kundendaten abgeschottet in einem sicheren Netz? Ist doch auch nur ein Server? Fazit: Blödsinnige Aussage!

Und Server bedeutet einfach nur "Dienst". Das heißt aber nicht, dass dieser Dienst von jedermann erreichbar sein muss/soll. Siehe auch:
https://de.wikipedia.org/wiki/Server

Das weiß aber auch ein Azubi im ersten Lehrjahr!

Edit: Und noch eine kleine Randnotiz: beachte, dass ihr als Betreiber die volle Verantwortung für die Server habt. Falls einer eurer Server aufgrund mangelndes Sicherheitskonzepts gehackt wird und die Angreifer eure Server für weitere Angriffe auf anderen Systemen missbrauchen, dann kann das im schlimmsten Fall für euch auch ein juristisches Nachspiel haben. So ein Serverbetrieb ist nun mal kein Spielzeug....

Hört ja auch schon bei der Groß- Kleinschreibung auf !

Insbesondere LDAP über UDP ist sehr beliebt für DDoS-Attacken mittels UDP-Amplification. Eine Anfrage mit < 100 Bytes Größe reicht nämlich um locker 6000-7000 Bytes Antwort oder mehr zu erzeugen.
Das BSI warnt ja in den Mails auch vor genau diesem Szenario:


Ich kann aus Erfahrung sagen: Wir als Provider bekommen vom BSI ständig E-Mails dieser Art. Die leiten wir dann an die betroffenen Kunden weiter und empfehlen denen, etwas gegen die beschriebenen Probleme zu tun.
Die Kunden mit offenen LDAP-, memcached-, CHARGEN- oder DNS-Resolver-Diensten reagieren manchmal überhaupt nicht, bekommen aber vollautomatisch mehr Motivation wenn die Dienste dann tatsächlich mal für DDoS missbraucht werden und der Uplink des Servers verstopft ist.

Und sobald wir dann mit Abuse-Meldungen zu den IP-Adressen zugeworfen werden gibt es exakt drei Dinge, die passieren können:

• Wir installieren auf unseren Routern temporäre Portfilter (Preisliste hängt aus)
• Wir schalten den Switchport auf 10 Mbps herunter um die Auswirkungen zu minimieren (damit sind die Server quasi während solcher Attacken nicht mehr benutzbar weil der Uplink vollkommen verstopft ist)
• Die betroffenen IP-Adressen des Kunden werden von uns nullgeroutet

Diese Probleme kann man so einfach lösen, indem man die Dienste entweder so konfiguriert, dass sie nur innerhalb des lokalen Netzes erreichbar sind bzw. diese nur an eine interne Netzwerkschnittstelle gebunden sind - oder eben durch eine Firewall.
Das muss für's erste nichtmal eine teure Hardware-FW sein, ein bisschen iptables reicht schon aus.
Oder - wenn das bei VMWare nicht direkt geht - wenigstens am Router ein bisschen mit ACLs den Traffic eingrenzen.

wie wärs einfach die apliance zu updaten?

Die Art und Weise des Threds lässt aber leider befürchten das der TO damit (vermutlich) völlig überfordert ist !

Das ändert trotzdem nichts an der Sache, dass das vCenter frei zugänglich für jeden ist. Oder worauf beziehst du dich konkret?
Und wenn jemand unbefugtes sich bei dem vCenter anmelden kann (egal ob durch eine Sicherheitslücke oder durch einen erfolgreichen Brute Force Angriff), ist die komplette Infrastruktur kompromittiert.