RU
English
TCP
Опасный
Каталоги
Порт 389 (LDAP)
Узнайте о порте 389 (LDAP) - угрозы безопасности, уязвимости и применение. Найдите устройства с открытым портом 389.
Краткая информация
Номер порта
389
Протокол
TCP
Сервис
LDAP
Имя IANA
LDAP
Описание сервиса
Порт TCP 389 является стандартным портом для Lightweight Directory Access Protocol (LDAP). LDAP - это протокол прикладного уровня, используемый для доступа и управления распределенными информационными каталогами. Эти каталоги хранят иерархически организованные данные, часто используемые для аутентификации, авторизации и хранения информации о пользователях, группах, устройствах и других ресурсах в сети. Исторически, LDAP был разработан как облегченная альтернатива более сложному протоколу X.500 Directory Access Protocol (DAP). Он предоставляет стандартизированный способ запроса и модификации данных каталога, используя операции, такие как поиск (search), добавление (add), удаление (delete), изменение (modify) и сравнение (compare). Данные организованы в древовидную структуру Directory Information Tree (DIT), где каждый узел представляет собой запись, идентифицируемую Distinguished Name (DN).
На техническом уровне, LDAP работает по модели клиент-сервер. Клиент LDAP отправляет запросы к LDAP-серверу, используя протокол TCP (обычно порт 389) или UDP (обычно порт 389, хотя это менее распространено). Сервер обрабатывает запрос и возвращает результат клиенту. Обмен данными происходит в бинарном формате Abstract Syntax Notation One (ASN.1), который кодируется с использованием Basic Encoding Rules (BER). Для повышения безопасности часто используется LDAP over SSL/TLS (LDAPS), который работает на порту 636 или использует StartTLS для шифрования соединения на порту 389. Операции LDAP позволяют выполнять сложные запросы с использованием фильтров, указывающих критерии поиска, а также позволяют выполнять транзакции для обеспечения целостности данных.
## Рекомендации по настройке файрвола
Рекомендуется блокировать порт 389 из внешней сети, если нет явной необходимости в прямом доступе к LDAP-серверу извне. Если доступ необходим, следует использовать LDAPS (порт 636) или StartTLS для шифрования трафика. Настройка брандмауэра должна разрешать доступ к порту 389 только с доверенных IP-адресов и только для тех хостов, которым требуется доступ к LDAP-серверу. Регулярно обновляйте программное обеспечение LDAP-сервера для устранения известных уязвимостей. Включите ведение журнала и мониторинг для обнаружения подозрительной активности. Рассмотрите возможность использования системы обнаружения вторжений (IDS) или системы предотвращения вторжений (IPS) для выявления и блокировки атак на порт 389. Настройте ограничения на количество запросов, чтобы предотвратить DoS-атаки.
На техническом уровне, LDAP работает по модели клиент-сервер. Клиент LDAP отправляет запросы к LDAP-серверу, используя протокол TCP (обычно порт 389) или UDP (обычно порт 389, хотя это менее распространено). Сервер обрабатывает запрос и возвращает результат клиенту. Обмен данными происходит в бинарном формате Abstract Syntax Notation One (ASN.1), который кодируется с использованием Basic Encoding Rules (BER). Для повышения безопасности часто используется LDAP over SSL/TLS (LDAPS), который работает на порту 636 или использует StartTLS для шифрования соединения на порту 389. Операции LDAP позволяют выполнять сложные запросы с использованием фильтров, указывающих критерии поиска, а также позволяют выполнять транзакции для обеспечения целостности данных.
## Рекомендации по настройке файрвола
Рекомендуется блокировать порт 389 из внешней сети, если нет явной необходимости в прямом доступе к LDAP-серверу извне. Если доступ необходим, следует использовать LDAPS (порт 636) или StartTLS для шифрования трафика. Настройка брандмауэра должна разрешать доступ к порту 389 только с доверенных IP-адресов и только для тех хостов, которым требуется доступ к LDAP-серверу. Регулярно обновляйте программное обеспечение LDAP-сервера для устранения известных уязвимостей. Включите ведение журнала и мониторинг для обнаружения подозрительной активности. Рассмотрите возможность использования системы обнаружения вторжений (IDS) или системы предотвращения вторжений (IPS) для выявления и блокировки атак на порт 389. Настройте ограничения на количество запросов, чтобы предотвратить DoS-атаки.
Информация о безопасности
Порт 389, используемый для LDAP, подвержен различным рискам безопасности, особенно если не защищен должным образом. Основные угрозы включают несанкционированный доступ к конфиденциальной информации, такой как имена пользователей, пароли (в виде хэшей) и другие атрибуты учетных записей. Атаки типа "LDAP injection" могут позволить злоумышленникам обходить аутентификацию или получать доступ к данным, не предназначенным для них. Неправильная конфигурация LDAP-сервера, такая как разрешение анонимного доступа или использование слабых паролей, может значительно увеличить поверхность атаки. Отсутствие шифрования (LDAPS) делает трафик уязвимым для перехвата и анализа. Злоумышленники могут использовать порт 389 для сбора информации о структуре каталога, что упрощает дальнейшие атаки. Кроме того, уязвимости в программном обеспечении LDAP-сервера могут быть использованы для выполнения произвольного кода или отказа в обслуживании (DoS).
Известные уязвимости
| CVE | Название | Критичность | Описание |
|---|---|---|---|
| CVE-2020-25647 | OpenLDAP slapd buffer overflow | High | Уязвимость переполнения буфера в OpenLDAP slapd позволяет локальному злоумышленнику вызвать отказ в обслуживании или выполнить произвольный код. |
| CVE-2017-17735 | 389 Directory Server denial of service | Medium | Уязвимость в 389 Directory Server приводит к отказу в обслуживании из-за недостаточной проверки входных данных. |
| CVE-2023-38425 | OpenLDAP Assertion Failure | Low | OpenLDAP Assertion Failure при обработке плохо сформированных фильтров |
Распространённое ПО
- OpenLDAP
- Microsoft Active Directory
- Apache Directory Server
- 389 Directory Server
- FreeIPA
- Red Hat Directory Server
- IBM Security Directory Server
- Oracle Directory Server
- Novell eDirectory
Найти устройства с этим портом
Обнаружьте все устройства с открытым портом 389 в любой стране.
Искать порт 389Найдите все устройства с открытым портом 389
ScaniteX сканирует миллионы IP-адресов для поиска устройств с определёнными открытыми портами. Идеально для исследований безопасности и аудита сети.
Начать массовое сканирование