Portar

Port 389: LDAP

Katalogsökningar och katalogtjänster för autentisering. Ofta knuten till Active Directory.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

Port 389 används för LDAP, ett katalogprotokoll som många företagsidentitetssystem är beroende av. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd.

En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar. Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda.

Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket. Katalogservrar lyssnar på 389 så att applikationer kan binda, söka efter användare och grupper och läsa attribut som driver auktoriseringsbeslut.

Den mesta LDAP-trafiken är över TCP eftersom den involverar förfrågnings- och svarsutbyten och kan inkludera större nyttolaster. UDP 389 finns också för CLDAP, en anslutningsfri variant som används i vissa upptäckts- och uppslagsscenarier, varför skanningar ibland visar båda.

Ett typiskt verkligt flöde är: klienten ansluter till port 389, utför en bindning (ofta med ett tjänstkonto), kör sökningar med filter och kan uppgradera till TLS med StartTLS innan den skickar inloggningsuppgifter om den är korrekt konfigurerad. Säkerhetsmässigt kan en exponerad katalogport läcka hela din organisationsstruktur och möjliggöra autentiseringsattacker, så miljöer begränsar vanligtvis 389 till betrodda applikationsnätverk och kräver StartTLS eller LDAPS på 636.

Hur det fungerar i stora drag

  1. Klienten ansluter och utför en bindningsoperation för att autentisera eller upprätta en anonym session om det tillåts.
  2. Klienten utför sökningar efter användare, grupper eller attribut med LDAP-filter.
  3. Alternativt kan anslutningen uppgraderas till TLS med StartTLS, eller så använder du LDAPS på 636 för implicit TLS.

Konkret exempel

En ansökan måste kontrollera gruppmedlemskap. Den binder till LDAP, söker efter användar-DN och frågar sedan efter gruppattribut för att avgöra om åtkomst ska tillåtas.

Varför det är viktigt

Katalogtjänster är högvärdiga mål. Att exponera LDAP utan kryptering kan läcka inloggningsuppgifter och katalogstruktur. Felkonfigurerad LDAP-åtkomst möjliggör också privilegieskalering genom gruppupptäckt och svaga tjänstkonton.

Säkerhetsperspektiv

  • Använd StartTLS eller LDAPS och kräv stark autentisering.
  • Begränsa vem som kan fråga i katalogen och övervaka bindningsfel och ovanliga sökmönster.
  • Härda tjänstekonton och ta bort onödiga anonyma bindningar.

Vanliga fallgropar

  • Tillåter enkel bindning över klartext där lösenord kan fångas.
  • Ge katalogläsåtkomst för brett, vilket läcker känsliga attribut.
  • Förväxlar LDAP med Kerberos. LDAP används ofta för uppslagningar även när Kerberos gör huvudautentiseringen.