Skip to content
PortsDB

Référence des ports

Port 389 (TCP/UDP) – LDAP

LDAP — le protocole de requête d'annuaire en clair utilisé pour lire et écrire Active Directory.

tcpudpWell-knownSouvent attaqué

État par défaut

Ouvert sur chaque contrôleur de domaine Active Directory. En clair par défaut ; ne doit pas être exposé aux réseaux non fiables.

Attaques courantes

  • Énumération par bind anonyme et non authentifié
  • Énumération d'annuaire (utilisateurs, groupes, SPN, ACL)
  • Relais LDAP (relais NTLM vers LDAP)
  • Interception d'identifiants des simple binds en clair

Durcissement

  • Préférer LDAPS (636) ou StartTLS ; éviter les simple binds en clair
  • Imposer la signature LDAP et le channel binding pour contrer le relais
  • Désactiver les binds anonymes
  • Restreindre le port 389 aux réseaux d'administration de confiance
  • Surveiller les requêtes LDAP massives/anormales (de type BloodHound)

Commande nmap

nmap -p389 --script ldap-rootdse,ldap-search <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui tourne sur le port 389

Le port 389 est le port par défaut de LDAP (Lightweight Directory Access Protocol), le protocole de requête qui lit et écrit l'annuaire. Dans les environnements Windows, cet annuaire est Active Directory : chaque contrôleur de domaine expose LDAP sur le 389 pour que clients, applications et administrateurs puissent rechercher utilisateurs, groupes, ordinateurs, noms principaux de service (SPN) et la structure de contrôle d'accès du domaine. Par défaut, ce trafic est en clair.

Pourquoi c'est important pour la sécurité

LDAP est la carte d'un environnement Active Directory : l'accès en lecture seul est déjà puissant — les attaquants l'utilisent pour énumérer chaque compte, appartenance de groupe et relation de privilège. Pire, le 389 simple est non chiffré, exposant les mots de passe de simple bind à l'interception réseau, et de nombreux annuaires autorisent encore les binds anonymes. LDAP est aussi une cible de relais de choix : l'authentification NTLM coercée et relayée vers LDAP peut servir à accorder des droits ou à ajouter un ordinateur pour une élévation basée sur RBCD.

Comment c'est attaqué

Des outils comme BloodHound interrogent LDAP pour énumérer utilisateurs, groupes, SPN (pour cibler le Kerberoasting) et ACL dangereuses sur tout le domaine. Là où le bind anonyme est autorisé, cela ne nécessite aucun identifiant. L'authentification NTLM capturée est relayée vers LDAP pour modifier des objets de l'annuaire, et les identifiants de simple bind en clair sont interceptés directement sur le réseau.

Liste de durcissement

Faites migrer les clients vers LDAPS (636) ou StartTLS et cessez d'accepter les simple binds en clair. Imposez la signature LDAP et le channel binding sur les contrôleurs de domaine pour contrer le relais. Désactivez les binds anonymes. Restreignez le port 389 aux réseaux d'administration de confiance et alertez sur les schémas de requêtes massifs ou inhabituels qui signalent une énumération d'annuaire. Les scripts nmap ci-dessus lisent le RootDSE et exécutent une recherche d'annuaire sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 636Port 88Port 445Port 3268Port 135

Questions fréquentes

À quoi sert le port 389 ?
Le port 389 héberge LDAP, le protocole que les clients et applications utilisent pour interroger et modifier la base Active Directory — recherchant utilisateurs, groupes, ordinateurs et politiques.
LDAP sur le port 389 est-il chiffré ?
Non. LDAP simple sur le 389 est en clair, donc les identifiants de simple bind et les données d'annuaire peuvent être interceptés. Utilisez LDAPS sur le 636 ou StartTLS pour le chiffrement.