Skip to content
PortsDB

Référence des ports

Port 3268 (TCP) – Catalogue global LDAP

Catalogue global Active Directory — un index LDAP à attributs partiels, à l'échelle de la forêt, servi par les contrôleurs de domaine.

tcpRegisteredSouvent attaqué

État par défaut

Ouvert sur les contrôleurs de domaine Active Directory détenant le rôle de catalogue global. Interne à l'environnement AD.

Attaques courantes

  • Énumération d'utilisateurs, groupes et ordinateurs à l'échelle de la forêt via LDAP
  • Binds anonymes ou peu privilégiés divulguant les données de l'annuaire
  • Reconnaissance de chemins d'attaque (collecte de type BloodHound)
  • Récolte d'identifiants via les attributs et les binds LDAP faibles/en clair

Durcissement

  • Utiliser le port TLS du catalogue global 3269 (LDAPS) et exiger la signature/le channel binding
  • Désactiver les binds LDAP anonymes ; restreindre qui peut lire les attributs sensibles
  • Ne jamais exposer 3268/3269 à Internet ; segmenter et filtrer les contrôleurs de domaine
  • Surveiller les requêtes LDAP en masse et l'énumération de type BloodHound
  • Appliquer le moindre privilège et le tiering des comptes admin dans AD

Commande nmap

nmap -p3268 --script ldap-rootdse,ldap-search <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui tourne sur le port 3268

Le port 3268 est le port TCP du catalogue global Active Directory (GC), servi via LDAP par les contrôleurs de domaine détenant le rôle de GC. Là où le LDAP standard sur le port 389 est limité à un seul domaine, le catalogue global fournit un index à attributs partiels, à l'échelle de la forêt, de tout objet de tous les domaines de la forêt. Son jumeau protégé par TLS est le port 3269 (LDAPS), miroir de 389/636.

Pourquoi c'est important pour la sécurité

Le catalogue global est une mine d'or pour la reconnaissance : une seule requête authentifiée (ou pire, anonyme) peut énumérer les utilisateurs, groupes et ordinateurs de toute la forêt. Cela fait du 3268 une cible de choix pour la cartographie des chemins d'attaque et la découverte d'identifiants. Si la signature LDAP et le channel binding ne sont pas imposés, les binds peuvent aussi être relayés ou rétrogradés.

Comment c'est attaqué

Les attaquants réalisent une énumération à l'échelle de la forêt via le GC pour inventorier les comptes et les relations de confiance — les données derrière l'analyse de chemins d'attaque de type BloodHound. Les binds anonymes ou peu privilégiés peuvent divulguer directement les données de l'annuaire, et les valeurs d'attributs exposent parfois des identifiants ou des indices. Les binds faibles ou en clair permettent le relais et la récolte.

Liste de durcissement

Préférez le catalogue global TLS sur 3269 et exigez la signature LDAP et le channel binding. Désactivez les binds anonymes et restreignez qui peut lire les attributs sensibles. N'exposez jamais 3268/3269 à Internet ; segmentez et filtrez les contrôleurs de domaine et surveillez les requêtes LDAP en masse. Appliquez le moindre privilège et le tiering admin dans AD. Les scripts nmap ci-dessus lisent le RootDSE et exécutent des recherches LDAP sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 389Port 636Port 3269Port 88Port 445

Questions fréquentes

Quelle est la différence entre le port 389 et le port 3268 ?
Le port 389 est le LDAP standard limité à un seul domaine. Le port 3268 est le catalogue global — un index à attributs partiels couvrant tous les domaines de la forêt. Leurs équivalents TLS sont 636 et 3269.
Pourquoi le catalogue global est-il une cible de reconnaissance ?
Il permet à une seule requête d'énumérer les utilisateurs, groupes et ordinateurs de toute la forêt. Les attaquants l'utilisent (ex. BloodHound) pour cartographier les chemins d'attaque ; les binds anonymes et un accès en lecture trop large sont donc dangereux.