Lista de puertos necesarios para Active Directory y PKI

Al configurar la seguridad de la red, es fundamental configurar Active Directory (AD), y uno de sus componentes críticos es la comunicación segura entre el servidor AD y los clientes. Por ejemplo, si su organización implementa AD para administrar la autenticación de usuarios, las políticas de grupo y el acceso a recursos compartidos, un paso clave es configurar el firewall para que abra ciertos puertos. Sin estos puertos, los usuarios podrían tener problemas para iniciar sesión, acceder a archivos o recibir actualizaciones de políticas, lo que causaría interrupciones en las redes.

Puertos necesarios para la comunicación AD

Active Directory actúa como un repositorio central para cuentas de usuario, grupo y computadora, así como para una variedad de otros objetos, como recursos compartidos y políticas de seguridad, y para la comunicación adecuada se requieren los siguientes puertos:

• Puerto TCP/UDP 53: Este puerto funciona como puerto para los Servicios de Nombres de Dominio (DNS). Los servidores DNS se utilizan para comunicarse con un cliente web y traducir nombres de dominio a direcciones IP. La mayoría de las organizaciones utilizan DNS para facilitar el acceso de los usuarios a los dispositivos sin necesidad de memorizar direcciones IP.
• Puerto TCP/UDP 88: El puerto 88 se utiliza para dar acceso a los usuarios al protocolo de autenticación Kerberos. Esto permite el acceso a recursos de red privilegiados mediante tickets proporcionados por el servidor.
• Puerto TCP/UDP 135: Este puerto se utiliza para llamadas a procedimientos remotos (RPC). RPC es un servicio de Windows que utilizan muchos servicios, como AD, para permitir la comunicación remota entre cliente y servidor.
• Puertos TCP/UDP 137-139: Los puertos 137, 138 y 139 se utilizan para proporcionar diferentes funciones relacionadas con el protocolo SMB sobre NetBIOS. El protocolo SMB (Bloque de Mensajes del Servidor) se utiliza principalmente para compartir impresoras y archivos en una red Windows. El puerto 137 proporciona servicios de nombres a través de TCP o UDP para SMB, el puerto 138 proporciona servicios de diagrama a través de UDP para SMB, y el puerto 139 proporciona servicios de sesión a través de TCP o UDP para SMB. Cabe destacar que el puerto 138 utiliza exclusivamente UDP; no se utiliza con TCP.
• Puerto TCP/UDP 389: El puerto 389 se centra en el Protocolo Ligero de Acceso a Directorios (LDAP). LDAP permite a los clientes acceder a recursos de red protegidos. El puerto 389 permite una conexión sin cifrar a LDAP.
• Puerto TCP 445: El puerto 445, también conocido como Microsoft-ds, funciona de forma muy similar a los puertos 137-139, excepto que permite el acceso a SMB sin necesidad de NetBIOS. Esto significa que no se requiere la capa NetBIOS y que el puerto 445 lo utilizan principalmente los administradores de sistemas para gestionar objetos en la red.
• Puerto TCP/UDP 464: Al igual que el puerto 88, el puerto 464 se utiliza para interactuar con Kerberos. Sin embargo, se utiliza específicamente para cambiar contraseñas en Microsoft Active Directory (también conocido como Entra), ya que Kerberos es el protocolo de autenticación nativo de Entra.
• Puerto TCP/UDP 636: El puerto 636 también permite a los usuarios interactuar con LDAP, pero utiliza una conexión cifrada. Este cifrado se genera mediante SSL/TLS, por lo que a menudo verá el puerto 636 como una conexión a LDAPS.
• Puerto TCP/UDP 3268-3269: Los puertos 3268 y 3269 también se conectan a servicios mediante LDAP; sin embargo, son específicos del catálogo global. El puerto 3268 es para conexiones sin cifrar y el 3269 para conexiones cifradas.

Además de estos puertos, podrían requerirse otros según los componentes y las características específicas de su entorno de AD. Por ejemplo, si utiliza la directiva de grupo, también se requerirán los siguientes puertos:

• Puerto TCP 80: El puerto 80 se utiliza específicamente para la comunicación entre navegadores web y servidores mediante HTTP. Este puerto transporta datos al navegador web en texto plano, un método de envío de datos sin cifrar.
• Puerto TCP/UDP 443: el puerto 443 envía mensajes entre servidores web y navegadores a través de HTTPS, la versión de conexión cifrada de HTTP.
• Puerto TCP 445: El puerto 445 permite el acceso a SMB sin necesidad de NetBIOS.

Si utiliza ADFS (Servicios de federación de Active Directory) para el inicio de sesión único, también se requerirán los siguientes puertos:

• Puerto TCP 80
• Puerto TCP 443
• Puerto TCP 49443: Este puerto se utiliza específicamente para los Servicios de Federación de Active Directory (ADFS). ADFS es un método de autenticación de certificados dentro de Microsoft AD, por lo que es un puerto crítico en las PKI.

Puertos necesarios para la comunicación PKI

Para un PKI Para que funcione correctamente, es necesario abrir ciertos puertos en el cortafuegos para permitir la comunicación entre los distintos componentes del sistema PKI. Estos puertos incluyen:

1. Puerto TCP 80

   Este puerto se utiliza para la comunicación HTTP, que es necesaria para que los clientes accedan al lista de revocación de certificados (CRL) y otra información de la autoridad de certificación (CA) servidor.

2. Puerto TCP 389

   Este puerto se utiliza para la comunicación LDAP, necesaria para que los clientes accedan a la base de datos de certificados en el servidor CA.

3. Puerto TCP 636

   Este puerto se utiliza para la comunicación LDAPS, una versión segura de LDAP que utiliza SSL / TLS cifradoEsto es necesario si está utilizando LDAP en una red pública.

4. Puerto TCP 9389

   Este puerto se utiliza para el protocolo de Servicios web para administración (WS-Management), que es necesario para que los clientes accedan al servidor de CA mediante el complemento Certificados en Microsoft Management Console (MMC).

Además de estos puertos, es posible que también necesite abrir otros puertos según los componentes y la configuración específicos de su sistema PKI. Por ejemplo, si utiliza Protocolo de estado del certificado en línea (OCSP) Para comprobar el estado de los certificados, deberá abrir el puerto TCP 2560.

Solución de problemas de firewall con PKI

Para solucionar problemas comunes de firewall con una PKI, puede seguir estos pasos:

• Verifique que los puertos necesarios estén abiertos en el firewall. Puede hacerlo usando el netstat comando para enumerar todos los puertos abiertos en el sistema y comparar los resultados con la lista de puertos necesarios para su sistema PKI.
• Revise los registros del firewall para ver las entradas relacionadas con el sistema PKI. Esto puede ayudarle a identificar reglas o configuraciones específicas que puedan estar bloqueando los puertos necesarios.
• Pruebe la conectividad entre los componentes de PKI para garantizar que se comuniquen correctamente. Puede hacerlo mediante el ping, telnet o tracert comandos para probar la conectividad entre el cliente y el servidor CA y entre otros componentes del sistema PKI.
• Si sigue teniendo problemas con el firewall, intente desactivarlo temporalmente para ver si se soluciona. Esto le ayudará a determinar si el firewall es la causa del problema o si hay un problema con otro componente del sistema PKI.

Algunas preguntas frecuentes

A continuación, se presenta un conjunto de preguntas que puede plantearse para identificar la causa raíz de los problemas de configuración y conexión de AD. Estas preguntas están diseñadas específicamente para ayudar a solucionar posibles problemas basados ​​en situaciones reales:

Pregunta 1¿Ha verificado si los puertos clave, como 389 (LDAP), 88 (Kerberos) y 445 (SMB) para las comunicaciones de AD, están configurados correctamente y no están bloqueados por el firewall?

Pregunta 2¿Todos los controladores de dominio se resuelven a través de DNS y existe alguna discrepancia entre las entradas de DNS y las ubicaciones reales del servidor AD?

Pregunta 3¿Existe algún problema de replicación en AD que pueda causar inconsistencias entre los controladores de dominio y los clientes?

Pregunta 4¿Existe alguna desviación en la configuración horaria entre los componentes de AD que pueda provocar fallas en la autenticación Kerberos?

Pregunta 5¿Hay códigos de error específicos o mensajes de advertencia en los registros de eventos que puedan indicar una configuración incorrecta o una falla del servicio?

Pregunta 6:¿La cuenta utilizada por AD clave como Kerberos, DNS, LDAP todavía funciona correctamente y tiene los permisos necesarios?

¿Cómo puede ayudar Encryption Consulting?

Los servicios PKI y PKI como servicio de Encryption Consulting le ayudan a gestionar su PKI y a proteger la red digital de su organización. Diseñamos, implementamos, gestionamos y migramos sus sistemas PKI según sus necesidades específicas. Gestionar la PKI puede parecer abrumador con el aumento de las ciberamenazas. Pero puede estar tranquilo, ya que nuestro equipo experimentado le ayudará a construir y supervisar su PKI. Evaluamos su PKI con base en nuestro marco personalizado, proporcionándole las mejores prácticas para la implementación de PKI y HSM.

Conclusión

Mantener la configuración del firewall es fundamental para garantizar el correcto funcionamiento de sus sistemas Active Directory y PKI. Al verificar que los puertos necesarios estén abiertos y solucionar cualquier problema de firewall que pueda surgir, puede contribuir a mantener la seguridad y fiabilidad de sus sistemas Active Directory y PKI. Para Active Directory, es fundamental mantener abiertos los canales de comunicación para puertos clave como LDAP, DNS y Kerberos. De igual manera, para PKI, habilitar puertos para HTTP, LDAP y el Protocolo de Comunicación Segura (SCP) garantiza el correcto funcionamiento del servicio de certificados, facilitando la emisión, revocación y comprobación de estado de los certificados.