Блокування UDP-з'єднання для порту 389 через брандмауер

Покрокове керівництво

Після встановлення Windows, за замовчуванням активується служба LDAP (служба каталогу протоколу).

LDAP - це протокол прикладного рівня, що використовує TCP/IP і дає змогу виконувати операції аутентифікації (bind), пошуку (search) і порівняння (compare), а також операції додавання, зміни або видалення записів. Проблема полягає в тому, що для сторонніх ресурсів існує можливість скористатися чужою службою LDAP для DDoS атак, так званих "Reflection attacks".

Процес здійснюється через UDP-з'єднання з 389 портом. Для того, щоб запобігти такого роду вихідним атакам, ви можете заблокувати UDP-з'єднання для порту 389 через брандмауер. Блокування такого типу з'єднань не повинно вплинути на використання "Active Directory", оскільки в цьому випадку використовується TCP-з'єднання.

Відкрийте "Брандмауер Windows" (Windows Firewall), у лівому бічному меню виберіть "Додаткові параметри" (Advanced settings).

У лівому бічному меню виберіть "Правила для вхідних підключень" (Inbound Rules):

Натисніть Дія → Створити правило (New Rule...) у верхньому меню:

Відкриється майстер створення правил, у якому вам необхідно вибрати тип правила "Для порту" (Port) і натиснути "Далі >" (Next):

На наступній сторінці виберіть "Протокол UDP" (UDP) і в графі "Визначені локальні порти" (Specific local ports) впишіть значення 389 і натисніть "Далі >" (Next):

На сторінці, що відкрилася, необхідно вибрати "Блокувати підключення" (Block the connection) і знову натиснути "Далі >" (Next).

На сторінці "Профіль" (Profile) переконайтеся, що обрано всі профілі, потім натисніть "Далі >" (Next)

На останньому кроці необхідно задати ім'я для створеного правила, наприклад, "UDP LDAP block". Після того, як поле "Ім'я" буде заповнено, вам необхідно підтвердити налаштування, натиснувши кнопку "Готово" (Finish)

Служба LDAP більше не буде доступна для описаних вище DDoS-атак.