TCP Каталоги

Порт 636 (LDAPS)

Узнайте о порте 636 (LDAPS) - угрозы безопасности, уязвимости и применение. Найдите устройства с открытым портом 636.

Краткая информация

Номер порта

636

Протокол

TCP

Сервис

LDAPS

Имя IANA

LDAPS

Описание сервиса

Порт 636 (TCP) используется для Lightweight Directory Access Protocol Secure (LDAPS). LDAPS - это реализация протокола LDAP (Lightweight Directory Access Protocol) через Secure Sockets Layer (SSL) или Transport Layer Security (TLS). Он обеспечивает конфиденциальность и целостность данных, передаваемых между LDAP-клиентом и LDAP-сервером, шифруя трафик. Изначально LDAPS был одним из способов защиты LDAP-трафика, но со временем стал считаться устаревшим в пользу использования StartTLS (расширение LDAP, которое устанавливает шифрование поверх существующего соединения LDAP на порту 389). Тем не менее, он по-прежнему широко используется.

На техническом уровне, когда клиент устанавливает соединение с LDAP-сервером на порту 636, сервер предоставляет цифровой сертификат для аутентификации. Клиент проверяет этот сертификат на предмет доверия (например, подписан ли он доверенным центром сертификации). После успешной аутентификации устанавливается зашифрованный канал SSL/TLS, и все последующие LDAP-запросы и ответы шифруются. Это предотвращает перехват и подделку данных при их передаче по сети. LDAPS использует SSL/TLS для шифрования всего обмена данными, включая аутентификацию, что обеспечивает более высокий уровень безопасности, чем нешифрованный LDAP.

## Рекомендации по настройке файрвола

Доступ к порту 636 следует ограничить только доверенными клиентами, которым необходимо взаимодействовать с сервером LDAPS. Рекомендуется блокировать входящий трафик на порт 636 из ненадежных сетей, таких как Интернет. Внутри сети следует использовать правила брандмауэра для ограничения доступа к порту 636 только от авторизованных хостов или подсетей. Важно убедиться, что сервер LDAPS настроен на использование последних версий TLS и надежных шифров, а также регулярно устанавливать обновления безопасности. Рассмотрите возможность использования StartTLS (на порту 389) вместо LDAPS, поскольку это считается более современной и гибкой альтернативой.

Информация о безопасности

LDAPS, как и любой сервис, использующий SSL/TLS, подвержен ряду рисков безопасности. К ним относятся атаки типа "человек посередине" (MITM), если клиент не проверяет сертификат сервера должным образом. Устаревшие версии SSL/TLS также могут быть уязвимы для известных атак, таких как POODLE или BEAST. Неправильная конфигурация LDAPS, например, использование слабых шифров или самоподписанных сертификатов без надлежащей проверки, также может привести к уязвимостям. Если сервер LDAPS не обновляется регулярно с исправлениями безопасности, он может быть уязвим для эксплойтов, нацеленных на известные уязвимости в используемом программном обеспечении. Злоумышленники могут использовать LDAPS для сбора конфиденциальной информации, такой как учетные данные пользователей, или для получения несанкционированного доступа к системе.

Известные уязвимости

CVE	Название	Критичность	Описание
CVE-2015-0235	Glibc getaddrinfo stack-based buffer overflow (glibc 'ghost')	High	Уязвимость переполнения буфера в getaddrinfo библиотеки glibc, которая может позволить злоумышленнику выполнить произвольный код на сервере LDAPS, если сервер использует getaddrinfo для разрешения имен хостов.
CVE-2014-3566	SSL 3.0 POODLE vulnerability	Medium	Уязвимость в SSL 3.0, позволяющая злоумышленнику перехватить и дешифровать трафик LDAPS, если сервер и клиент поддерживают SSL 3.0.
CVE-2011-3389	TLS CBC IV Weakness Vulnerability	Medium	Уязвимость, позволяющая злоумышленнику перехватить и дешифровать трафик LDAPS, если сервер и клиент используют TLS с CBC шифрами.