Référence des ports
Port 3269 (TCP) – Catalogue global LDAP sur SSL/TLS
Catalogue global sur TLS — requêtes LDAP chiffrées à l'échelle de la forêt contre la réplique partielle de chaque domaine d'Active Directory.
État par défaut
Ouvert sur les contrôleurs de domaine porteurs du rôle de catalogue global. Équivalent chiffré du port GC en clair 3268.
Attaques courantes
- Énumération de l'annuaire à l'échelle de la forêt (utilisateurs, groupes, SPN multi-domaines)
- Relais NTLM vers le catalogue global pour modifier des objets d'annuaire
- Cartographie de chemins d'attaque de type BloodHound sur toute la forêt
- Usurpation de certificat / MITM contre les clients qui ne valident pas
Durcissement
- Imposer la signature LDAP et le channel binding pour casser le relais
- Restreindre le 3269 aux réseaux de gestion et d'application de confiance
- Désactiver les liaisons anonymes et auditer les requêtes au catalogue global
- Utiliser des certificats émis par une AC valide et exiger leur validation
- Surveiller les lectures LDAP massives couvrant plusieurs domaines
Commande nmap
nmap -p3269 --script ldap-rootdse,ssl-cert <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Ce qui s'exécute sur le port 3269
Le port 3269 transporte le catalogue global Active Directory sur SSL/TLS. Le catalogue global est un rôle spécial de contrôleur de domaine qui détient une réplique partielle interrogeable de chaque objet de toute la forêt — et pas seulement du domaine local. Là où le LDAP simple sur 389 et le catalogue global en clair sur 3268 circulent en clair, le port 3269 encapsule les mêmes requêtes à l'échelle de la forêt dans TLS, l'équivalent sécurisé du LDAPS par domaine sur 636.
Pourquoi c'est important pour la sécurité
La valeur du catalogue global tient à son étendue : une seule requête peut énumérer utilisateurs, groupes, ordinateurs et SPN à travers chaque domaine de la forêt, faisant du 3269 une cible de reconnaissance de premier plan même lorsque le trafic est chiffré. Le chiffrement protège les données en transit mais n'empêche en rien une liaison authentifiée ou relayée : une authentification NTLM capturée puis relayée vers le catalogue global peut lire ou modifier des objets d'annuaire à l'échelle de la forêt.
Comment il est attaqué
Les attaquants interrogent le catalogue global pour énumérer toute la forêt — alimentant des outils comme BloodHound qui cartographient les chemins d'attaque et les relations de privilèges entre domaines. Ils relaient une authentification NTLM forcée vers le 3269 pour écrire des modifications d'annuaire, et tentent l'usurpation de certificat / MITM contre les clients qui ne valident pas le certificat TLS.
Liste de durcissement
Imposez la signature LDAP et le channel binding sur les contrôleurs de domaine pour faire échouer le NTLM relayé, et désactivez les liaisons anonymes. Restreignez le port 3269 aux réseaux de gestion et d'application de confiance. Émettez des certificats d'AC valides et exigez leur validation par les clients pour stopper le MITM. Auditez les requêtes au catalogue global et alertez sur les lectures massives couvrant plusieurs domaines. Les scripts nmap ci-dessus lisent le RootDSE et inspectent le certificat TLS sur les systèmes que vous êtes autorisé à tester. </content>
Ports liés
Questions fréquentes
- Quelle est la différence entre le port 3268 et le 3269 ?
- Les deux servent le catalogue global Active Directory — LDAP à l'échelle de la forêt. Le port 3268 est en clair, tandis que le 3269 encapsule les mêmes requêtes dans SSL/TLS pour le chiffrement.
- Pourquoi le catalogue global est-il une cible de grande valeur ?
- Le catalogue global contient une copie partielle interrogeable de chaque objet de toute la forêt AD ; une seule requête peut donc énumérer comptes, groupes et relations d'approbation à travers tous les domaines.