Seit update auf Server 2016 cldap ddos reflection angriffe
Guten Morgen zusammen,
wir betreiben eine public AD-Struktur, und daher ist der port UDP 389 offen.
Das war auch die letzen Jahre nie ein problem, seit dem wir begonnen haben
die Domain Kontroller auf server 2016 umzustellen haben wir ddos angriffe auf
dem offenem LDAP port.
Ich kann mir leider nicht erklären, was der server 2016 im ldap anders macht
als der 2008 aber irgendwas muss sich geändert haben.
Vieleicht habt ihr eine Idee was dort neu ist, oder wie sich das ganze z.B. mit
neuen Cisco ACL´s einzudämmen ist.
Binn für alle Vorschläge offen, falls euch eine Möglichkeit bekannt ist
wie AD auch ohne LDAP und nur mit LDAPS möglich ist, währe auch das OK
Vielen dank, ich freue mich auf eure Ideen
wir betreiben eine public AD-Struktur, und daher ist der port UDP 389 offen.
Das war auch die letzen Jahre nie ein problem, seit dem wir begonnen haben
die Domain Kontroller auf server 2016 umzustellen haben wir ddos angriffe auf
dem offenem LDAP port.
Ich kann mir leider nicht erklären, was der server 2016 im ldap anders macht
als der 2008 aber irgendwas muss sich geändert haben.
Vieleicht habt ihr eine Idee was dort neu ist, oder wie sich das ganze z.B. mit
neuen Cisco ACL´s einzudämmen ist.
Binn für alle Vorschläge offen, falls euch eine Möglichkeit bekannt ist
wie AD auch ohne LDAP und nur mit LDAPS möglich ist, währe auch das OK
Vielen dank, ich freue mich auf eure Ideen
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 399647
Url: https://administrator.de/forum/seit-update-auf-server-2016-cldap-ddos-reflection-angriffe-399647.html
Ausgedruckt am: 18.05.2025 um 19:05 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
Port 389 unverschlüsselt? Dann kannst du die Daten auch gleich im Netz herunterladbar machen. Port 636, ansonsten, wofür braucht Ihr den Public AD denn? - VPN?
VG
Port 389 unverschlüsselt? Dann kannst du die Daten auch gleich im Netz herunterladbar machen. Port 636, ansonsten, wofür braucht Ihr den Public AD denn? - VPN?
VG
Moin,
Ich hoffe das ihr dafür zumindest einen separaten DC in einer DMZ stehen habt.
Wie wäre es mit DirectAccess bzw AlwaysOn VPN?
Ansonsten ist das ganze definitiv nicht schön gelöst.
Zur Frage: ggf. Wurde nur vorher keine Meldung generiert.
Ansonsten wie Kollege @certifiedit.net schon sagte ist das der Port über den unverschlüsselt gesendet wird.
Gruß
Spirit
Ich hoffe das ihr dafür zumindest einen separaten DC in einer DMZ stehen habt.
Wie wäre es mit DirectAccess bzw AlwaysOn VPN?
Ansonsten ist das ganze definitiv nicht schön gelöst.
Zur Frage: ggf. Wurde nur vorher keine Meldung generiert.
Ansonsten wie Kollege @certifiedit.net schon sagte ist das der Port über den unverschlüsselt gesendet wird.
Gruß
Spirit
Klar, 636 LDAPS ist auch in verwendung.
LDAP auch nur mit Authentifizierung
Und VPN ist auch vorhanden.
wenn ich den 389 schliese, und VPN noch nicht aktiv ist (beim anmelden z.b.)
dann habe ich probleme beim Login, netlogon klappt nicht, netzlaufwerke lassen sich nicht verbinden,...
würde auch gerne auf 389 verzichten, wenn jemand weis wie ich meinem
AD LDAPS only beibringe ist das auch OK.
bleibt aber die frage was sich zwischen 2008 und 2016 geändert hat.
LDAP auch nur mit Authentifizierung
Und VPN ist auch vorhanden.
wenn ich den 389 schliese, und VPN noch nicht aktiv ist (beim anmelden z.b.)
dann habe ich probleme beim Login, netlogon klappt nicht, netzlaufwerke lassen sich nicht verbinden,...
würde auch gerne auf 389 verzichten, wenn jemand weis wie ich meinem
AD LDAPS only beibringe ist das auch OK.
bleibt aber die frage was sich zwischen 2008 und 2016 geändert hat.
Was für ein VPN wird denn genutzt?
Hi
ohne mindestens LDAPS zu verwenden handelst du gelinde gesagt fahrlässig, besorg dir Enterprise Lizenzen von Windows für die besagten Clients und richte DirectAccess / AnyVPN ein, damit entledigst du dir das gesamte Problem und musst das AD überhaupt nicht von außen erreichbar machen sondern lediglich VPN Edge Server.
Gruß
@clSchak
ohne mindestens LDAPS zu verwenden handelst du gelinde gesagt fahrlässig, besorg dir Enterprise Lizenzen von Windows für die besagten Clients und richte DirectAccess / AnyVPN ein, damit entledigst du dir das gesamte Problem und musst das AD überhaupt nicht von außen erreichbar machen sondern lediglich VPN Edge Server.
Gruß
@clSchak
Wenn du den Ad Port wirklich nur für die Authentifizierung brauchst dann löse das wirklich besser über VPN. DirectAccess ist ja oben schon genannt worden, ist genau dafür gemacht worden. Und sollten die Lizenzen nicht vorhanden sein geht das auch mit Openvpn als AlswayON VPN.
Habe gerade so einige Notebooks angebunden -> Link Klick mich
Habe gerade so einige Notebooks angebunden -> Link Klick mich
