TCP Каталоги

Порт 3269 (AD GC SSL)

Узнайте о порте 3269 (AD GC SSL) - угрозы безопасности, уязвимости и применение. Найдите устройства с открытым портом 3269.

Краткая информация

Номер порта

3269

Протокол

TCP

Сервис

AD GC SSL

Имя IANA

AD GC SSL

Описание сервиса

Порт TCP 3269 используется для Global Catalog (GC) доступа через SSL/TLS в среде Active Directory (AD). Global Catalog – это распределённая служба каталогов, содержащая частичный реплицированный набор атрибутов из каждого домена в лесу Active Directory. Это позволяет приложениям и пользователям находить объекты в лесу, не зная, в каком домене они находятся. Когда клиент подключается к GC через порт 3269, соединение шифруется с использованием SSL/TLS, обеспечивая конфиденциальность и целостность передаваемых данных, что важно для защиты информации об учетных записях и структуре каталога. Протокол, используемый на этом порту, – это LDAP (Lightweight Directory Access Protocol) через SSL (LDAPS), позволяющий клиентам выполнять запросы к GC для поиска и аутентификации пользователей, поиска ресурсов и получения информации об объектах AD. Сервер GC прослушивает порт 3269 и отвечает на запросы клиентов, используя зашифрованное соединение. Аутентификация клиента обычно выполняется с использованием Kerberos или NTLM, в зависимости от конфигурации домена и клиента.

## Рекомендации по настройке файрвола

Доступ к порту 3269 должен быть строго контролируемым. Разрешите доступ только доверенным хостам и приложениям, которым требуется доступ к Global Catalog. В идеале, доступ должен быть ограничен только внутри сети или через VPN. Внешний доступ к порту 3269 следует заблокировать, если нет крайней необходимости. Рассмотрите использование сетевой сегментации для изоляции серверов Global Catalog от других частей сети. Убедитесь, что SSL/TLS настроен правильно и использует сильные криптографические алгоритмы. Регулярно обновляйте программное обеспечение Active Directory и LDAP-клиенты, чтобы исправить известные уязвимости. Мониторьте трафик на порту 3269 на предмет аномального поведения, такого как неожиданные всплески трафика или попытки подключения с неизвестных IP-адресов.

Информация о безопасности

Порт 3269, как и любой порт, предоставляющий сетевую службу, подвержен различным атакам. Поскольку он используется для доступа к Global Catalog, успешная эксплуатация уязвимостей на этом порту может привести к раскрытию конфиденциальной информации о структуре Active Directory, учетных записях пользователей и других критически важных данных. Это может позволить злоумышленникам получить несанкционированный доступ к системе, повысить свои привилегии или провести дальнейшие атаки. Распространенные векторы атак включают DoS (Denial of Service) и DDoS (Distributed Denial of Service) для перегрузки сервера GC, атаки типа "человек посередине" (Man-in-the-Middle) если SSL/TLS не настроен должным образом, и атаки, направленные на эксплуатацию уязвимостей в самом LDAP сервере. Злоумышленники могут пытаться перехватить учетные данные, передаваемые через порт, или использовать слабые места в реализации LDAP для выполнения несанкционированных операций.

Известные уязвимости

CVE	Название	Критичность	Описание
CVE-2017-8563	Active Directory Domain Services Elevation of Privilege Vulnerability	High	Уязвимость в службах домена Active Directory, позволяющая злоумышленнику повысить свои привилегии.
CVE-2017-0222	Microsoft Active Directory Federation Services Security Feature Bypass Vulnerability	Medium	Уязвимость обхода функции безопасности в службах федерации Active Directory Microsoft (AD FS)