Portar

Port 636: LDAPS

LDAP över implicit TLS. Gemensamt för säkra katalogbindningar och sökningar.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

TCP port 636 används för LDAPS, vilket är LDAP med TLS från första bytet. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd. En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar.

Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda. Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket.

En katalogserver lyssnar på 636 efter klienter som kräver kryptering omedelbart, istället för att ansluta på 389 och förhandla StartTLS. Det verkliga flödet är: TCP-handskakning, sedan TLS-handskakning med certifikatvalidering, sedan LDAP-bindning och katalogoperationer i den krypterade sessionen.

Detta skyddar autentiseringsuppgifter och katalogattribut under överföring, men det gör inte automatiskt katalogåtkomst säker. Behörigheter, tjänstkontoomfång och övervakning avgör fortfarande hur mycket data som exponeras om ett konto äventyras.

Operativt spelar certifikatförtroende mycket här. Om klienter inte kan validera certifikatet LDAPS kan autentiseringen misslyckas i stor skala eller så kan användarna lära sig att ignorera varningar.

Hur det fungerar i stora drag

  1. Klienten ansluter och startar en TLS-handskakning omedelbart, vilket validerar servercertifikatet.
  2. Klienten utför en LDAP-bindning inuti den krypterade kanalen.
  3. Klienten kör sökningar och läser attribut, stänger sedan anslutningen eller återanvänder den för flera operationer.

Konkret exempel

En intern tjänst verifierar medlemskap i användargrupp. Den ansluter till 636, validerar katalogcertifikatet och utför sedan en LDAP-sökning över den krypterade kanalen.

Varför det är viktigt

Säker katalogtrafik förhindrar stöld av autentiseringsuppgifter och läckage av attribut. LDAPS är vanligt i företagsappar som integreras med kataloger. Felkonfigurerade LDAPS-certifikat kan bryta autentisering i stor skala, så att förstå det är också viktigt operativt.

Säkerhetsperspektiv

  • Använd certifikat utfärdade av en betrodd intern PKI och automatisera förnyelse.
  • Begränsa åtkomsten till kända applikationsundernät och övervaka bindningsmönster.
  • Förstärk katalogbehörigheterna så att tjänster bara läser vad de behöver.

Vanliga fallgropar

  • Att använda självsignerade certifikat utan korrekt förtroendedistribution, vilket orsakar klientfel.
  • Att behandla LDAPS som automatiskt säkert samtidigt som det tillåter svaga bindningar eller breda läsningar.
  • Öppnar 636 för nätverk som aldrig ska fråga i katalogen.