• OT: tcpdump und der output

    From =?UTF-8?Q?Sebastian_G=C3=B6decke?=@21:1/5 to All on Fri Nov 11 11:10:01 2022
    Hi, ich habe hier ein System wo wir LDAP-Abfragen an ein System machen
    müssen. Der LDAP ist eigentlich ein Microsoft AD und dort sollten die WSU
    für die LDAP-Abfragen installiert sein.
    Das System ist ein ISILON und hier habe ich tcpdump gestartet, der den
    zielhost und den zielport 389 in eine DAtei aufzeichnen soll.
    Nun Ich habe meine Abfrage auf dem ISILON gemacht und dann den dump beendet
    und die aufgezeichnete Datei auf einen Host mit Wireshark kopiert. Nun ist
    es so, das ich leider rein gar nichts erkenne. Selbst im TCP-Payload hätte
    ich eigentlich Klartext erwartet. Aber nicht. Was mich nun irritiert, ist
    das in Wireshark auch LDAP_START_TLS_OID ...
    Leider bin ich darin nicht so firm das nun gleich alles zu lesen. Ich würde aber nun das so interpretieren, der baut da eine TLS-Verbindung auf?! Dann könnte ich ja eh nichts erkennen, da immer alles verschlüsselt ist.
    Ich habe in Wireshark versucht einen Textstring zu suchen, den ich in der Abfrage drin hatte. Aber es wird mir der halt nicht angezeigt.
    Hat jemand eine Idee wie ich es bewerkstelligen kann, sicherzugehen,
    wirklich auch unverschlüsselt LDAP abzufragen?

    --
    Mit freundlichen Grüßen
    Sebastian Gödecke

    <div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Hi, ich habe hier ein System wo wir LDAP-Abfragen an ein System machen müssen. Der LDAP ist eigentlich ein Microsoft AD und dort sollten die WSU für die LDAP-
    Abfragen installiert sein. </div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Das System ist ein ISILON und hier habe ich tcpdump gestartet, der den zielhost und den zielport 389 in eine DAtei aufzeichnen soll. </div><div
    class="gmail_default" style="font-family:arial,helvetica,sans-serif">Nun Ich habe meine Abfrage auf dem ISILON gemacht und dann den dump beendet und die aufgezeichnete Datei auf einen Host mit Wireshark kopiert. Nun ist es so, das ich leider rein gar
    nichts erkenne. Selbst im TCP-Payload hätte ich eigentlich Klartext erwartet. Aber nicht. Was mich nun irritiert, ist das in Wireshark auch LDAP_START_TLS_OID ...</div><div class="gmail_default" style="font-fam
  • From Ulf Volmer@21:1/5 to All on Sat Nov 12 17:50:01 2022
    On 11.11.22 10:51, Sebastian Gödecke wrote:
    Hi, ich habe hier ein System wo wir LDAP-Abfragen an ein System machen müssen. Der LDAP ist eigentlich ein Microsoft AD und dort sollten die
    WSU für die LDAP-Abfragen installiert sein.

    [...]

    Leider bin ich darin nicht so firm das nun gleich alles zu lesen. Ich würde aber nun das so interpretieren, der baut da eine TLS-Verbindung
    auf?! Dann könnte ich ja eh nichts erkennen, da immer alles
    verschlüsselt ist.

    Wir haben 2022, das ist Jahr 9 nach Snowden.

    Jeder - auch MS - dürfte heutzutage nur noch verschlüsseltes LDAP
    anbieten, also wahlweise LDAPS auf Port 636 oder STARTTLS auf 389.

    Viele Grüße
    Ulf

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?UTF-8?Q?Sebastian_G=C3=B6decke?=@21:1/5 to All on Sat Nov 12 19:10:02 2022
    :) ja schon. Es ist auch leider so, das 389 keinen unverschlüsseltes LDAP erlaubt.
    Schade.
    Es ging rein um den Test der querys.
    Danke dir trotzdem.
    Gruß Sebastian

    Am Sa., 12. Nov. 2022 um 17:42 Uhr schrieb Ulf Volmer <u.volmer@u-v.de>:

    On 11.11.22 10:51, Sebastian Gödecke wrote:
    Hi, ich habe hier ein System wo wir LDAP-Abfragen an ein System machen müssen. Der LDAP ist eigentlich ein Microsoft AD und dort sollten die
    WSU für die LDAP-Abfragen installiert sein.

    [...]

    Leider bin ich darin nicht so firm das nun gleich alles zu lesen. Ich würde aber nun das so interpretieren, der baut da eine TLS-Verbindung auf?! Dann könnte ich ja eh nichts erkennen, da immer alles
    verschlüsselt ist.

    Wir haben 2022, das ist Jahr 9 nach Snowden.

    Jeder - auch MS - dürfte heutzutage nur noch verschlüsseltes LDAP anbieten, also wahlweise LDAPS auf Port 636 oder STARTTLS auf 389.

    Viele Grüße
    Ulf




    --
    Mit freundlichen Grüßen
    Sebastian Gödecke

    <div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">:) ja schon. Es ist auch leider so, das 389 keinen unverschlüsseltes LDAP erlaubt. </div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">
    Schade. </div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Es ging rein um den Test der querys. </div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Danke dir trotzdem.</div><div class="gmail_
    default" style="font-family:arial,helvetica,sans-serif">Gruß Sebastian</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Am Sa., 12. Nov. 2022 um 17:42 Uhr schrieb Ulf Volmer &lt;<a href="mailto:u.volmer@u-v.de">u.volmer@u-v.de</
    &gt;:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 11.11.22 10:51, Sebastian Gödecke wrote:<br>
    &gt; Hi, ich ha
  • From Ulf Volmer@21:1/5 to All on Sat Nov 12 19:00:01 2022
    On 12.11.22 18:46, Sebastian Gödecke wrote:

    :) ja schon. Es ist auch leider so, das 389 keinen unverschlüsseltes
    LDAP erlaubt.
    Schade.
    Es ging rein um den Test der querys.

    1. frag Deinen AD Admin. Der kann ggf. die Queries aus dem Eventlog fischen.
    2. https://wiki.wireshark.org/TLS

    Viele Grüße
    Ulf

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?UTF-8?Q?Sebastian_G=C3=B6decke?=@21:1/5 to All on Sat Nov 12 19:20:01 2022
    Ja, muss ich glaube ich nun tun. Die anderen LDAP-Server sind ohne konfiguriert. Das reicht für diese Art von Anwendungsfall auch aus. Nur
    beim zentralen AD halt nicht.

    Danke und Gruß Sebastian

    Am Sa., 12. Nov. 2022 um 18:52 Uhr schrieb Ulf Volmer <u.volmer@u-v.de>:

    On 12.11.22 18:46, Sebastian Gödecke wrote:

    :) ja schon. Es ist auch leider so, das 389 keinen unverschlüsseltes
    LDAP erlaubt.
    Schade.
    Es ging rein um den Test der querys.

    1. frag Deinen AD Admin. Der kann ggf. die Queries aus dem Eventlog
    fischen.
    2. https://wiki.wireshark.org/TLS

    Viele Grüße
    Ulf




    --
    Mit freundlichen Grüßen
    Sebastian Gödecke

    <div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Ja, muss ich glaube ich nun tun. Die anderen LDAP-Server sind ohne konfiguriert. Das reicht für diese Art von Anwendungsfall auch aus. Nur beim zentralen AD halt
    nicht. </div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Danke und Gruß Sebastian</div></div><br><div class="gmail_quote"><div dir="ltr"
    class="gmail_attr">Am Sa., 12. Nov. 2022 um 18:52 Uhr schrieb Ulf Volmer &lt;<a href="mailto:u.volmer@u-v.de">u.volmer@u-v.de</a>&gt;:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);
    padding-left:1ex">On 12.11.22 18:46, Sebastian Gödecke wrote:<br>

    &gt; :) ja schon. Es ist auch leider so, das 389 keinen unverschlüsseltes <br>
    &gt; LDAP erlaubt.<br>
    &gt; Schade.<br>
    &gt; Es ging