Lijst met vereiste poorten voor Active Directory en PKI

Bij het configureren van de netwerkbeveiliging is het essentieel om Active Directory (AD) in te stellen. Een van de cruciale onderdelen hiervan is de beveiligde communicatie tussen de AD-server en clients. Als uw organisatie bijvoorbeeld AD implementeert voor het beheer van gebruikersauthenticatie, groepsbeleid en toegang tot gedeelde bronnen, is een van de belangrijkste stappen het configureren van uw firewall om bepaalde poorten te openen. Zonder het openen van deze poorten kunnen gebruikers problemen ondervinden bij het inloggen, het openen van bestanden of het ontvangen van beleidsupdates, wat leidt tot verstoringen in de netwerken.

Poorten vereist voor AD-communicatie

Active Directory fungeert als een centrale opslagplaats voor gebruikers-, groeps- en computeraccounts, en voor diverse andere objecten, zoals gedeelde bronnen en beveiligingsbeleid. Voor de juiste communicatie zijn de volgende poorten vereist:

• TCP/UDP-poort 53: Poort 53 fungeert als poort voor Domain Name Services, oftewel DNS. DNS-servers worden gebruikt om te communiceren met een webclient en om domeinnamen om te zetten in IP-adressen. De meeste organisaties gebruiken DNS om het voor verschillende gebruikers gemakkelijker te maken apparaten te bereiken zonder IP-adressen te hoeven onthouden.
• TCP/UDP-poort 88: Poort 88 wordt gebruikt om gebruikers toegang te geven tot het Kerberos-authenticatieprotocol. Dit biedt toegang tot geprivilegieerde netwerkbronnen met behulp van tickets die door de server worden verstrekt.
• TCP/UDP-poort 135: Poort 135 wordt gebruikt voor Remote Procedure Call of RPC. RPC is een Windows-service die door veel services, zoals AD, wordt gebruikt voor externe client-servercommunicatie.
• TCP/UDP-poort 137-139: Poorten 137, 138 en 139 worden allemaal gebruikt om verschillende functies met betrekking tot het SMB-protocol via NetBIOS te bieden. Het SMB-protocol, of Server Message Block, wordt voornamelijk gebruikt voor het delen van printers en bestanden binnen een Windows-netwerk. Poort 137 biedt naamservices via TCP of UDP voor SMB, poort 138 biedt diagramservices via UDP voor SMB en poort 139 biedt sessieservices via TCP of UDP voor SMB. Let op: poort 138 gebruikt specifiek alleen UDP, en wordt niet met TCP gebruikt.
• TCP/UDP-poort 389: Poort 389 is gericht op Lightweight Directory Access Protocol, of LDAP. LDAP biedt clients toegang tot beveiligde netwerkbronnen. Poort 389 maakt een ongecodeerde verbinding met LDAP mogelijk.
• TCP-poort 445: Poort 445, ook wel Microsoft-ds genoemd, werkt vrijwel hetzelfde als poorten 137-139, maar biedt toegang tot SMB zonder NetBIOS. Dit betekent dat de NetBIOS-laag niet nodig is en poort 445 voornamelijk door systeembeheerders wordt gebruikt om objecten in het netwerk te beheren.
• TCP/UDP-poort 464: Net als poort 88 wordt poort 464 gebruikt voor interactie met Kerberos. Poort 464 wordt echter specifiek gebruikt voor wachtwoordwijzigingen binnen Microsoft Active Directory (ook bekend als Entra), aangezien Kerberos het native authenticatieprotocol van Entra is.
• TCP/UDP-poort 636: Poort 636 stelt gebruikers ook in staat om met LDAP te communiceren, maar maakt gebruik van een versleutelde verbinding. Deze versleuteling wordt gegenereerd door SSL/TLS, dus u zult poort 636 vaak zien als verbinding met LDAPS.
• TCP/UDP-poort 3268-3269: Poorten 3268 en 3269 maken ook verbinding met services via LDAP, maar zijn specifiek voor de globale catalogus. Poort 3268 is de ongecodeerde verbinding en poort 3269 is voor gecodeerde verbindingen.

Naast deze poorten kunnen er nog andere poorten nodig zijn, afhankelijk van de specifieke componenten en functies van uw AD-omgeving. Als u bijvoorbeeld Groepsbeleid gebruikt, zijn ook de volgende poorten vereist:

• TCP-poort 80: Poort 80 wordt specifiek gebruikt voor communicatie tussen webbrowsers en servers via HTTP. Deze poort transporteert gegevens naar de webbrowser in platte tekst, een ongecodeerde methode om gegevens te verzenden.
• TCP/UDP-poort 443: Poort 443 verzendt berichten tussen webservers en browsers via HTTPS, de gecodeerde verbindingsversie van HTTP.
• TCP-poort 445: Poort 445 biedt toegang tot SMB zonder dat NetBIOS nodig is.

Als u ADFS (Active Directory Federation Services) gebruikt voor eenmalige aanmelding, zijn de volgende poorten ook vereist:

• TCP-poort 80
• TCP-poort 443
• TCP-poort 49443: Poort 49443 wordt specifiek gebruikt voor Active Directory Federation Services, of ADFS. ADFS is een methode voor certificaatauthenticatie binnen Microsoft AD en is daarom een ​​cruciale poort in PKI's.

Vereiste poorten voor PKI-communicatie

Om een PKI Om goed te kunnen functioneren, moeten bepaalde poorten op de firewall geopend zijn om communicatie tussen de verschillende componenten van het PKI-systeem mogelijk te maken. Deze poorten zijn onder andere:

1. TCP-poort 80

   Deze poort wordt gebruikt voor HTTP-communicatie, wat vereist is voor clients om toegang te krijgen tot de certificaatintrekkingslijst (CRL) en andere informatie van de certificeringsinstantie (CA) server.

2. TCP-poort 389

   Deze poort wordt gebruikt voor LDAP-communicatie, wat vereist is om clients toegang te geven tot de certificaatdatabase op de CA-server.

3. TCP-poort 636

   Deze poort wordt gebruikt voor LDAPS-communicatie, een beveiligde versie van LDAP die gebruikmaakt van SSL / TLS besteld, encryptieDit is vereist als u LDAP via een openbaar netwerk gebruikt.

4. TCP-poort 9389

   Deze poort wordt gebruikt voor het Web Services for Management (WS-Management)-protocol, dat vereist is voor clients om toegang te krijgen tot de CA-server via de module Certificaten in de Microsoft Management Console (MMC).

Naast deze poorten moet u mogelijk ook andere poorten openen, afhankelijk van de specifieke componenten en configuratie van uw PKI-systeem. Als u bijvoorbeeld Online Certificaat Status Protocol (OCSP) Om de status van certificaten te controleren, moet u TCP-poort 2560 openen.

Problemen met firewalls oplossen met PKI

Om veelvoorkomende firewallproblemen met een PKI op te lossen, kunt u de volgende stappen volgen:

• Controleer of de benodigde poorten op de firewall openstaan. U kunt dit doen met behulp van de netstat opdracht om alle open poorten op het systeem weer te geven en de resultaten te vergelijken met de lijst met poorten die vereist zijn voor uw PKI-systeem.
• Controleer de firewalllogs om te zien of er vermeldingen zijn die betrekking hebben op het PKI-systeem. Dit kan u helpen bij het identificeren van specifieke regels of instellingen die de benodigde poorten blokkeren.
• Test de connectiviteit tussen de PKI-componenten om er zeker van te zijn dat ze goed met elkaar communiceren. U kunt dit doen met behulp van de ping, telnet of tracert opdrachten om de connectiviteit tussen de client en de CA-server en tussen andere componenten van het PKI-systeem te testen.
• Als u nog steeds problemen ondervindt met de firewall, probeer dan de firewall tijdelijk uit te schakelen om te zien of dit het probleem oplost. Dit helpt u te bepalen of de firewall de oorzaak is van het probleem of dat er een probleem is met een ander onderdeel van het PKI-systeem.

Enkele veelgestelde vragen

Hier is een reeks vragen die u kunt stellen om de hoofdoorzaak van een verkeerde configuratie van AD en verbindingsproblemen te achterhalen. Deze zijn specifiek afgestemd op het oplossen van potentiële problemen op basis van praktijkscenario's:

Vraag 1Hebt u gecontroleerd of de belangrijkste poorten, zoals 389 (LDAP), 88 (Kerberos) en 445 (SMB) voor AD-communicatie, correct zijn geconfigureerd en niet worden geblokkeerd door de firewall?

Vraag 2: Worden alle domeincontrollers omgezet via DNS en zijn er verschillen tussen DNS-vermeldingen en de werkelijke AD-serverlocaties?

Vraag 3: Is er sprake van replicatieproblemen in AD die inconsistenties tussen domeincontrollers en clients kunnen veroorzaken?

Vraag 4: Zijn er verschillen in de tijdinstellingen tussen AD-componenten die kunnen leiden tot Kerberos-authenticatiefout?

Vraag 5: Zijn er specifieke foutcodes of waarschuwingsberichten in de gebeurtenislogboeken die kunnen wijzen op een verkeerde configuratie of servicestoring?

Vraag 6: Werkt het account dat wordt gebruikt door belangrijke AD-accounts zoals Kerberos, DNS en LDAP nog steeds goed en beschikt het over de benodigde machtigingen?

Hoe kan Encryption Consulting helpen?

De PKI-diensten en PKI-as-a-service van Encryption Consulting kunnen u helpen bij het beheren van uw PKI en het beveiligen van het digitale netwerk van uw organisatie. We kunnen uw PKI-systemen ontwerpen, implementeren, beheren en migreren op basis van uw specifieke behoeften. Het beheren van PKI kan lastig lijken door de toename van het aantal cyberdreigingen. Maar u kunt gerust zijn, want onze ervaren medewerkers helpen u bij het opzetten en monitoren van uw PKI. We kunnen uw PKI beoordelen op basis van ons maatwerkframework en u voorzien van best practices voor PKI- en HSM-implementaties.

Conclusie

Het onderhouden van de firewallconfiguratie is belangrijk om ervoor te zorgen dat uw Active Directory- en PKI-systemen correct functioneren. Door te controleren of de benodigde poorten open zijn en eventuele firewallproblemen op te lossen, kunt u bijdragen aan de veiligheid en betrouwbaarheid van uw Active Directory- en PKI-systemen. Voor Active Directory is het cruciaal om communicatiekanalen open te houden voor belangrijke poorten zoals LDAP, DNS en Kerberos. Evenzo zorgt het inschakelen van poorten voor HTTP, LDAP en Secure Communication Protocol (SCP) voor PKI ervoor dat de certificaatservice effectief functioneert en de uitgifte, intrekking en statuscontrole van certificaten ondersteunt.