LDAP

SEGURIDAD

ldap

CUADRO RESUMEN DOCUMENTO

STE Consulting, S.A. C/. Cuenca, 6-8, Urb. Can Llovera 08980 Sant Feliu de Llobregat Spain

93-685 79 50 93-685 37 25 info@ste.es

ldap

IDENTIFICACIN DEL DOCUMENTO LDAP Documento 63935447.doc Fichero /opt/scribd/conversion/tmp/scratch6353/63935447.doc Localizacin Autor Verificado Aprobado
STE Consulting, S.A. [Nombre del verificador] [Aprobador del documento] Fecha: [fecha] [fecha] [fecha] V.B.:

DESCRIPCIN DEL DOCUMENTO LDAP ORIGEN DEL DOCUMENTO

DOCUMENTOS ASOCIADOS

Descripcin

DOCUMENTOS REFERENCIA

Descripcin

DIFUSIN DEL DOCUMENTO

Persona

Accin

Infor.

MODIFICACIN
CREACIN

Pag.

Versin
0

Fecha
08/08/01

Descripcin de la modificacin

Documento de programas de empleo

63935447.doc

17/01/OOOO

TABLA DE CONTENIDO

LDAP.....................................................................................................................................................1 1. INTRODUCCIN A LDAP.................................................................................................................2 1.1. Que es LDAP ?.........................................................................................................................2 1.2. Distinguished Name (Nombre Distinguible)..............................................................................3 1.3. Ventajas de LDAP.....................................................................................................................3 1.4. Difusin y integracin de LDAP................................................................................................4 1.5. IPlanet Directory Server 5.0......................................................................................................5 1.6. OpenLDAP................................................................................................................................9 1.7. Oracle Internet Directory.........................................................................................................11 1.8. Fallos de seguridad en implementaciones de LDAP..............................................................15

Documento de programas de empleo

63935447.doc

17/01/OOOO

LDAP

LDAP

pg. 1

63935447.doc

17/01/OOOO

1. INTRODUCCIN A LDAP
Con el rpido crecimiento y desarrollo de la economa de Internet, muchas organizaciones conectadas entre s necesitan realizar un seguimiento exhaustivo de la totalidad de la informacin que viene almacenada, procesada y transmitida, relativa a los propios usuarios, clientes, proveedores y socios. Conseguir que la informacin este actualizada, disponible, exacta, recuperable en un tiempo razonable, est a la base del correcto funcionamiento de una organizacin, ya que hace posible la correcta toma de decisiones. La informacin sobre los usuarios consiste en datos relativos a cada usuario, incluyendo datos personales como el nombre, telfono, direccin, e-mail, el grupo al cual pertenece, la funcin que desenvolve dentro de una organizacin, los privilegios de acceso( que recursos puede utilizar, cuales ficheros puede acceder,..), las credenciales de seguridad y sus preferencias. El porcentaje de xito de las nuevas aplicaciones de comercio electrnico depender de la exactitud y adecuacin de la informacin disponible por parte del usuario. El adempimiento de prcticas correctas para la administracin de los usuarios permitir a las organizaciones: Mantener un perfil de usuario unificado. Creacin y eliminacin de cuentas a travs de todos los servidores y aplicaciones relevantes. Reforzar la seguridad centralizando el control de los accesos y pudiendo integrar certificados digitales. Propagacin de la informacin correcta y actualizada de los usuarios en todos los sistemas.

1.1.

Que es LDAP ?

LDAP es un protocolo de acceso a directorios ligeros(Lightweight Directory Access Protocol), un protocolo estndar utilizado para acceder a Servidores de Directorios. El directorio es una clase especial de base de datos, que contiene informacin estructurada en forma de rbol, de forma similar a los directorios de ficheros al que estamos acostumbrados, o a la gua de telfonos que buscamos para utilizar nmeros de telfonos o a los servicios de directorios de red como el DNS (Domain Name Service). El concepto es similar a la estructura de directorios de los discos duros, pero en este caso, el directorio raz es El Mundo y los subdirectorios de primer nivel son los pases. Niveles inferiores de la estructura de directorio contienen entradas para compaas, organizaciones o lugares, y en niveles an inferiores se encuentran las entradas para la gente, y quizs de equipos informticos y documentos. LDAP es un sistema cliente-servidor. Para acceder al servicio LDAP, el cliente LDAP primero debe autentificarse en el servicio. Es decir, debe decirle al servidor quien est accediendo a los datos para que el servidor pueda decidir si el cliente puede acceder o no. Si el cliente se autentifica satisfactoriamente en el servidor LDAP, cuando despus el servidor reciba peticiones desde el cliente, chequear si el cliente est autorizado para realizar esa peticin.

LDAP

pg. 2

63935447.doc

17/01/OOOO

El estndar LDAP ha propuesto formas en las que los clientes se pueden autentificar en servidores LDAP (RFC 2251 y RFC 2829).

1.2.

Distinguished Name (Nombre Distinguible)

Para referirse a un fichero en un subdirectorio del disco duro, se usa algo como: /usr/local/misapps/docs Las barras indican cada divisin en la referencia al fichero y la secuencia es leda desde izquierda a derecha. En LDAP el equivalente a la referencia a un fichero es el Distinguished Name (Nombre Distinguible), abreviado como dn que es siempre nico en un directorio. Un ejemplo de dn podra ser: cn= Jose Garca, ou= Seguridad, o= Mi Compaa, c= ES Las comas indican cada divisin en la referencia y la secuencia se lee desde derecha a izquierda. El anterior dn se leera como: Country= ES Organization= Mi Compaa OrganizacionalUnit= Seguridad CommonName= Jose Garca De la misma manera que no hay reglas fijas sobre la organizacin de la estructura de directorios de un disco duro, un administrador de un servidor de directorio puede decidir la estructura que mejor le convenga para sus fines. Sin embargo s que hay reglas asumidas que siempre tienen que cumplirse, no se pude escribir cdigo para acceder a un directorio si no se conoce algo de su estructura, de la misma manera que no se puede utilizar una base de datos sin algn conocimiento sobre lo que est disponible en ella.

1.3.
-

Ventajas de LDAP

LDAP es un estndar abierto. La mayora de aplicaciones que se utilizan son capaces de buscar informacin en una base de datos. Centralizar toda la informacin en un nico lugar tiene enormes beneficios:

Un nico punto de administracin con menos posibilidades de errores. Menos datos duplicados en muchas partes. Facilidad para realizar backups.

LDAP

pg. 3

63935447.doc

17/01/OOOO

Origen nico de autenticacin Cuentas de usuarios en un lugar central. Se puede utilizar un albor LDAP para administrar los usuarios, las passwords y mucha ms informacin de la que se pueda guardar en un fichero /etc/passwd. Esta informacin podr ser utilizada sea por los usuarios de Microsoft Windows como de Unix y Mac. Se puede por ejemplo crear una pequea interface web para que los usuarios puedan cambiar sus passwords de unix sin entrar en el sistema, ya que la informacin del password estar en LDAP y no en el sistema. Se pueden crear con LDAP cuentas de un dominio NT. Se pueden querer centralizar las preferencias para diferentes aplicaciones, por ejemplo preferencias de Netscape, bookmarks etc. se pueden guardar en LDAP, y el usuario se puede mover de una maquina a otra recibiendo sus preferencias de un servidor LDAP. El usuario puede cambiarse de un Netscape de Windows NT a un Netscape de Linux/Solaris/Macintosh y puede utilizar la misma informacin. Los usuarios no estarn obligados a repetir infinitas veces los datos personales para diferentes uso como fecha de nacimiento, direccin, telfono, comunicando su userid se obtendr el resto de la informacin del LDAP.

1.4.

Difusin y integracin de LDAP

Hoy en da todas las compaas, entidades y organizaciones de un cierto tamao utilizan normalmente servidores LDAP trayendo enormes beneficios de administrar la informacin relativa a sus usuarios de manera centralizada, permitiendo a diferentes aplicaciones y a los mismos usuarios su utilizo. Disponer de un nico punto de acceso a la informacin garantiza la seguridad de los accesos a travs de diferentes mtodos de autenticacin (basados sobre passwords y certificados digitales), permitiendo a los administradores la especificacin de privilegios y permisos para acceder a datos hasta un nivel de alta profundidad. LDAP conocido como la versin lite del estndar internacional para los directorios X.500, porque en vez de necesitar grandes recursos y una estructura OSI totalmente compatible, LDAP funciona de manera correcta en cualquier PC y es compatible con el protocolo TCP/IP, siendo ms sencillo puede acceder a los directorios X.500 an no soportando todas las funciones de X.500.

LDAP

pg. 4

63935447.doc

17/01/OOOO

1.5.

IPlanet Directory Server 5.0

iPlanet Directory Server 5.0 distribuye una infraestructura de administracin de usuarios para organizaciones y empresas que administran grandes volmenes de informacin, para socios, clientes, proveedores, entre otros. Se integra con sistemas existentes y acta como un almacn central para la consolidacin de perfiles del usuario. Facilita los procedimientos globales de autenticacin y autorizacin que se pueden adaptar para soportar funciones de usuario y polticas en constante cambio.

1.5.1.

Caractersticas del producto

Escalabilidad prcticamente ilimitada mediante una arquitectura de varias bases de datos Distribuye los servicios con la eficacia "libre de impedimentos" y escalabilidad integrada. Fomenta y mantiene el crecimiento, desarrollo y capitalizacin de comunidades de usuarios, para decenas de personas hasta millones. Puede administrar millones de entradas y miles de consultas por segundo, por servidor. iPlanet Directory Server incluye una nueva arquitectura de base de datos que permite prcticamente una escalabilidad horizontal y vertical sin lmites para soportar millones de usuarios sin que suponga una degradacin del rendimiento del sistema. Igualmente, el diseo de varias bases de datos proporciona una forma de particin de los datos de directorio que simplifica la implementacin de la rplica. Otra caracterstica nueva, el encadenamiento, ayuda a simplificar el acceso del cliente a los datos de directorio que estn distribuidos en varias bases de datos. Esto posibilita el mantenimiento de una vista lgica del rbol de directorios en un nico servidor de directorio mientras se almacenan los datos de directorio en bases de datos administradas por otros servidores de directorio. Permite una administracin de informacin centralizada. iPlanet Directory Server permite a los administradores establecer un registro basado en la red que pueden utilizar las aplicaciones para almacenar datos compartidos como, por ejemplo, grupos, preferencias e informacin de usuarios. iPlanet Directory Server permite a las aplicaciones no depender de una ubicacin, al almacenar y recuperar preferencias en el directorio, en lugar de leer los archivos en el escritorio del usuario. Esto permite a los usuarios trabajar prcticamente en cualquier ordenador como si se tratase de su propio escritorio. Los administradores de sistemas pueden administrar el directorio independientemente del tamao o del nmero de aplicaciones que lo utilicen. Para que el cliente realice la administracin por s mismo, iPlanet Directory Server permite la administracin delegada de partes del directorio. Funciones de administracin mejoradas iPlanet Directory Server incluye una nueva funcionalidad que facilita la administracin de grandes distribuciones de directorio. Un nuevo mecanismo de agrupamiento de entradas, los roles, unifica el concepto de grupo dinmico y esttico soportado por versiones anteriores de iPlanet Directory Server. Una aplicacin de cliente puede comprobar los miembros del rol buscando el atributo nsRole, calculado por el directorio y, por lo tanto, siempre actualizado. Los miembros del rol se pueden especificar de forma explcita o dinmica, dependiendo del tipo de rol que se est utilizando (administrado, filtrado o anidado). Los roles se disean para ser ms eficaces y fciles de utilizar para las aplicaciones. Por ejemplo, las aplicaciones pueden encontrar los roles de una entrada, en vez de seleccionar un grupo y consultar la lista de miembros.

LDAP

pg. 5

63935447.doc

17/01/OOOO

La clase de servicio es otra nueva caracterstica que permite compartir atributos entre entradas mediante un mtodo que es transparente a las aplicaciones y los servicios. Con la clase de servicio, algunos valores de atributo no se podrn almacenar con la entrada. En su lugar, se generan mediante lgica de clase de servicio cuando la entrada se enva a la aplicacin de cliente. Para la aplicacin, estos atributos aparecen igual que los dems atributos, a pesar de que realmente no estn almacenados en las propias entradas. Los roles y la clase de servicio se pueden utilizar en conjuncin para proporcionar atributos basados en roles. Estos atributos aparecen en una entrada porque sta posee un rol concreto con una plantilla de clase de servicio asociada. Por ejemplo, se puede utilizar un atributo basado en roles para definir el lmite de penetracin del servidor en funcin de cada rol. Herramientas de desarrollo LDAP y XML iPlanet proporciona a los desarrolladores un conjunto completo de bibliotecas de software, utilidades de lnea de comandos, cdigos de ejemplo y documentacin, es decir, todo lo necesario para crear aplicaciones que accedan a los datos de directorio en red utilizando LDAP y RFC 2251, un estndar de Internet. Hay disponibles equipos de desarrollo de software (SDK) en tecnologa C/C++ de Java para el desarrollo de aplicaciones del directorio LDAP. La pasarela XMLDAP es una solucin flexible basada en estndares destinada a los desarrolladores de Web que necesitan presentar datos de directorio LDAP en varios formatos como, por ejemplo, XML, HTML, WML, DSML, VXML, etc. La pasarela XMLDAP permite a los desarrolladores utilizar la biblioteca de etiquetas XML incluida para realizar operaciones LDAP en datos del directorio. Dependiendo de la plantilla, el formato de los datos procesados pueden adoptar la forma de XML, HTML, WML, DSML, VXML, etc. Servicios de alta disponibilidad mediante la rplica de varios principales La rplica "multi-master" proporciona una alta disponibilidad en los servicios de directorio para las operaciones de lectura y escritura. En combinacin con rplicas simples y en cascada, la rplica "multi-master" proporciona un entorno de rplica altamente flexible y escalable para grandes empresas y proveedores de servicios con operaciones del centro de datos globales. El uso de distribuciones "multi-master" proporciona niveles permanentes de servicio con recuperacin tras fallo de escritura. Por ejemplo, si se desactiva un servidor, el otro est disponible para la escritura y sincroniza los datos con el otro servidor cuando ste vuelve a estar en lnea. Adems, iPlanet Directory Access Router proporciona niveles an ms altos de servicio y seguridad para iPlanet Directory Server mediante el balanceo de carga y la proteccin de la migracin y recuperacin automtica tras fallo del sistema. iPlanet Directory Access Router proporciona servicios mejorados de seguridad tanto en empresas como en Internet realizando funciones de defensa ante ataques de denegacin de servicio (DoS) contra el protocolo Lightweight Directory Access Protocol (LDAP) y adems oculta las polticas y controles del directorio. Hay varias caractersticas, incluida la rplica "multi-master", que proporciona servicios de alta disponibilidad y fiabilidad para la demanda del proveedor de servicios o el hospedaje de entornos. El inicio de sesin de las transacciones permite la recuperacin tras fallos. El soporte para Simple Network Management Protocol (SNMP) proporciona un control y una administracin de red flexible. La administracin y el mantenimiento se puede conseguir mediante copias de seguridad, cambios de configuracin, actualizaciones de esquema y la indexacin de todo lo que est en lnea. Soporte de estndares del sector Admite las operaciones de LDAP versin 2 y 3.

LDAP

pg. 6

63935447.doc

17/01/OOOO

 Soporta los certificados digitales X.509. Implementa las especificaciones RFC relevantes de LDAP versin 2 y 3, incluidas RFC 1274, 1558, 1777, 1778, 1959, 2195, 2222, 2247, 2251, 2252, 2253, 2254, 2255, 2256, 2279, 2307 y 2377. Admite los filtros de bsqueda LDAP, incluidos los de presencia, igualdad, desigualdad, subcadena y aproximado ("similar a"), as como los operadores booleanos and (&), or (|) y not (!). Admite la referencia inteligente de LDAP versin 3, que permite que un directorio dirija una consulta a otro. Caractersticas de seguridad avanzadas Restringe el acceso a los datos de directorio hasta el nivel de atributo. Controla la capacidad de los usuarios para realizar operaciones de lectura, escritura, bsqueda y comparacin. Proporciona control de acceso segn la identidad del usuario, la direccin IP o el nombre del dominio. Soporta el acceso annimo. Permite operaciones LDAP autenticadas y cifradas utilizando cifrado SSL. Permite la rplica autenticada y cifrada utilizando SSL. Admite PKCS#11 para SSL de aceleracin de hardware. Admite la administracin de polticas de contraseas para controlar la longitud mnima y mxima y los historiales de stas. Permite la autenticacin del usuario mediante ID/contrasea de usuario, certificados de clave pblica X.509v3 o mtodos definidos por el administrador. Autenticacin por resumen MD5. Plataformas soportadas y requisitos del sistema Plataforma y sistema operativo: Entorno operativo Sun Solaris 2.6 para SPARC Entorno operativo Sun Solaris 8 para SPARC (de 32 y 64 bits) Hewlett Packard HP-UX 11.0 (PA-RISC 1.1 o 2.0) IBM AIX 4.3 (PowerPC) Microsoft Windows NT 4 Server SP6 (slo x86) Microsoft Windows 2000 Server

LDAP

pg. 7

63935447.doc

17/01/OOOO

 Microsoft Windows 2000 Advanced Server

1.5.2.

Tabla de precios

Directory Server v.5,0 Licencia Directory Server, precio por usuario(mnimo 100) Mantenimiento Directory Server Upgrade Directory Server Media y Documentacin Directory Server

PVP 436 109 283 38.269

Euros 2,62 0,65 1,70 230,00

LDAP

pg. 8

63935447.doc

17/01/OOOO

1.6.

OpenLDAP

Este servidor de LDAP es la nica alternativa, hoy en da a los directorios propietarios. Es un servidor escrito segn los estndares, que soporta LDAPv2 y gran parte de LDAPv3. OpenLDAP es un proyecto desarrollado por mucha gente, alguna tan conocida como Ben Collins, el lder del proyecto Debian o el desarrollador espaol Julio Sanchez Fernandez. En este momento LDAP cuenta con tres piezas software fundamentales: Slapd. s el ncleo del proyecto, un servidor para recibir, gestionar las peticiones de LDAP, es lo que implementa las funciones bsicas de LDAP. Slurpd. Es un demonio que sirve para replicar un directorio LDAP. Hasta ahora LDAP solo permite la replicacin de un albor entero sin la replicacin de ninguna de sus partes. Libreras y utilidades. OpenLDAP prev una serie de libreras(en C) y utilidades para el acceso a directorios, que tambin forman parte de su proyecto, de esta manera se desarrolla una solucin completa al manejo del directorio en cuanto a sencillas aplicaciones y libreras de programacin.

1.6.1.

Caractersticas del producto

OpenLDAP funciona sobre todas las plataformas Unix (Linux, HP UX, AIX, Solaris). Ofrece un conjunto de API que permite el desarrollo y el soporte de aplicaciones en C/C++, PHP, Perl, Java.. El soporte de encriptacin SSL permite la autentificacin asegurada de los usuarios. OpenLDAP dispone de aplicaciones que permiten la administracin grfica de datos y una visin jerrquica de redes. La funcin de rplica asegura una puesta al da sincronizada de los datos de la gua sobre todos los servidores.

1.6.2.
-

Tres razones para elegir OpenLDAP

OpenLDAP es interoperable con todas las aplicaciones y guas soportando el protocolo LDAP, y es cmodo migrar de una gua propietaria hacia OpenLDAP. OpenLDAP presta exactamente los mismos servicios que sus equivalentes propietarios, con mejores rendimientos: es 10 veces menos exigente en recursos de mquina(tiempo CPU y RAM). El Coste Total de Propiedad de OpenLDAP, en particular para guas de un tamao importante o que lo podran ser, es muy claramente inferior al CTP de software propietario.

1.6.3.

Tabla de precios

Siendo un servidor de cdigo abierto, desarrollado por diferentes desarrolladores distribuidos en

LDAP

pg. 9

63935447.doc

17/01/OOOO

distintas rea geogrficas es gratuito, as como sus guas de instalacin y documentacin. El problema es que igualmente no hay ninguna forma de manutencin o responsabilidad para el software instalado, no existir ninguna empresa responsable para cualquier problema que pueda nacer, la nica asistencia se podr obtener a travs del forum de consultas, o las FAQs creados por los desarrolladores del OpenLDAP.

LDAP

pg. 10

63935447.doc

17/01/OOOO

1.7.

Oracle Internet Directory

Oracle Internet Directory es un servidor de LDAP versin 3 que combina la tecnologa de la base de dato Oracle con la flexibilidad y compatibilidad del estndar para directorios LDAP v3. Oracle Internet Directory esta fuertemente integrado con el ambiente Oracle proporcionando caractersticas de escalabilidad, alta disponibilidad y seguridad.

1.7.1.
Escalabilidad

Caractersticas del producto

La escalabilidad de un servidor de directorios puede ser evaluada bajo diferentes aspectos, por ejemplo respecto al numero total de objectos soportados en el rbol de directorio o la capacidad de la plataforma hardware/software. Aqu se har referencia al numero de entradas u objetos que pueden ser soportados en una nica instancia del servidor y el numero de accesos simultneos por parte del cliente soportados por el servidor. Para el numero de entradas u objetos que pueden ser soportados en una nica instancia del servidor Oracle Internet Directory hereda una grande capacidad en esta rea debido al hecho de estar implementado como una aplicacin sobre la base de datos Oracle8i y Oracle9i. Las bases de datos Oracle han demostrado high performance en base de datos de grande tamao.

LDAP

pg. 11

63935447.doc

17/01/OOOO

En este momento las aplicaciones basadas sobre la familia de productos Oracle8i ocupan el cuarto puesto sobre las ocho posiciones certificadas TPC-D del benchmark hecho para el almacenamiento de 1 terabyte de datos. El almacenamiento de datos de estas dimensiones se traduce en la capacidad de almacenamiento de un numero de entradas soportados en una nica instancia del servidor superior a un billn. El segundo aspecto de escalabilidad es el numero de clientes simultneos que un nodo del servidor del directorio puede soportar en un normal escenario de trabajo. Normalmente el numero de clientes simultneos viene mesurado en trminos de capacidad de procesamiento o de numero de peticiones resueltas por parte del servidor de directorios en el soportar una cantidad fija de clientes. La arquitectura de Oracle Internet Directory soporta la capacidad de procesamiento, o sea la escalabilidad en dos maneras, primero el LDAP instalado sobre el Oracle Internet Directory es multithread y comparte una series de conexiones permanentes a la base de datos a travs una tecnologa llamada connection pooling que regula cualquier aumento imprevisto de simultneos clientes LDAP. El segundo aspecto de la arquitectura del Oracle Internet Directory que evidencia su escalabilidad es la capacidad de soportar mltiples procesos del servidor LDAP sobre un solo nodo del Oracle Internet Directory.

Alta disponibilidad La alta disponibilidad es un requisito necesario e indispensable para el funcionamiento de cualquier organizacin. Oracle Internet Directory ha sido proyectado para ofrecer continuidad de servicios, con Oracle Internet Directory el administrador de sistema puede cambiar el esquema de directorio, por ejemplo puede aadir una nueva entrada y nuevos atributos, sin la necesidad de dejar el sistema inutilizable durante el tiempo del cambio. El hecho de ser una aplicacin implementada sobre la infraestructura Oracle8i y Oracle9i, permite al Oracle Internet Directory heredar muchas caractersticas de alta disponibilidad. Por ejemplo Oracle Internet Directory implementa una replicacin llamada multi-master entre los servidores Oracle Internet Directory, esto significa que si un servidor sufre una cada cada uno de los servidores restantes pueden actuar como master.

LDAP

pg. 12

63935447.doc

17/01/OOOO

In un ambiente de informacin duplicada, cualquier modificacin viene registrada en los logs de cambios que son duplicados para los otros servidores Oracle Internet Directory utilizando como medio el Advanced Symmetric Repplication. Cuando un servidor que ha sufrido una cada vuelve a ser activo, la informacin contenida en los logs de cambios viene leda por el servidor de manera que se garantiza la igualdad de datos entre todos los servidores. Este tipo de arquitectura de datos replicados asegura que el servicio es siempre disponible no solo para queries tambin para funciones de administracin del directorio. Seguridad Oracle Internet Directory es una plataforma segura para la gestin de la informacin de directorios. Oracle Internet Directory implementa tres niveles diferentes de autenticacin de usuarios a nivel de directorio: annimo, basado sobre passwords, basado sobre certificados a travs de SSL. El administrador puede definir el ambiente de directorio creando diferentes niveles de acceso a la informacin en relacin a como un usuario ha sido autenticado. Adems, implementando los mecanismos de seguridad a travs de las listas de control de accesos, el administrador posee un control profundo sobre el acceso a los datos, por ejemplo puede decidir que un usuario anonimo pueda acceder a las direcciones de correo presentes en el directorio y utilizar un nivel de autenticacin ms fuerte para permitir el acceso a informacin ms sensible como los sueldos de los empleados. Todos estos privilegios de accesos pueden ser definidos con Oracle Internet Directory.

LDAP

pg. 13

63935447.doc

17/01/OOOO

1.7.2.

Tabla de precios

Directory Server v.5,0 Licencia Directory Server, precio por usuario(mnimo 100) Mantenimiento Directory Server Media y Documentacin Directory Server IVA no incluida

PVD(Pts) 349 87 30.615

Euros 2,10 0,52 184

LDAP

pg. 14

63935447.doc

17/01/OOOO

1.8.

Fallos de seguridad en implementaciones de LDAP

Varias implementaciones LDAP sufren de diversos problemas de seguridad que permiten ataques de denegacin de servicios y accesos no autorizados. Estn afectados, al menos, los siguientes productos: IPlanet Directory Server, version 5.0 Beta y versiones hasta la 4.13 inclusive. IBM SecureWay V 3.2.1, bajo Solaris y Windows 2000. Lotus Domino R5 Servers (Enterprise, Application, y Mail), versiones previas a la 5.0.7. Teamware Office para Windows NT y Solaris, anterior a la versin 5.3 ed1. Qualcomm Eudora WorldMail para Windows NT, versin 2. Microsoft Exchange 5.5 antes de Q303448 y Exchange 2000 antes de Q303450. Network Associates PGP KeyServer 7.0, antes del Hotfix 2. Oracle Internet Directory, versiones 2.1.1.x y 3.0.1. OpenLDAP, 1.x anteriores a 1.2.12 y 2.x anteriores a 2.0.8.

Las vulnerabilidades han sido detectadas por el proyecto PROTOS y publicadas en las CERT Advisory CA-2001-18, utilizando herramientas automticas en dos reas: enviando paquetes con codificaciones ilegales y enviando paquetes ilegales bajo la semntica LDAP. No queda otro remedio: si usamos LDAP en nuestra red, debemos asegurarnos de estar ejecutando la ltima versin. Esto es valido tanto para implementaciones comerciales como para el proyecto OpenLDAP. Tambin es conveniente limitar el acceso al directorio LDAP lo mximo posible, utilizando medidas perimetrales como cortafuegos o reglas de acceso. Debemos recordar que incluso el caso relativamente benigno de denegacin de servicio, la cada del servicio LDAP puede tener efectos muy graves en el sistema o en toda una red, ya que el directorio puede contener informacin necesaria para el correcto funcionamiento de la entidad(claves criptogrficas, direcciones de buzones de correo, directorio telefnico, etc).

LDAP

pg. 15

63935447.doc

17/01/OOOO