Trong môi trường Active Directory (AD), giao tiếp giữa các máy chủ và máy khách rất quan trọng để duy trì các chức năng và dịch vụ của hệ thống. Tuy nhiên, để các giao tiếp này diễn ra thuận lợi và không bị gián đoạn, các cổng tường lửa cần thiết phải được mở.
Dưới đây là một hướng dẫn chi tiết về các cổng tường lửa cần mở cho giao tiếp Active Directory, cùng với các giải thích về lý do tại sao chúng cần thiết và các phương pháp để bảo mật chúng.
1. Cổng TCP 88 – Kerberos Authentication
Kerberos là một giao thức xác thực được sử dụng trong môi trường Active Directory để đảm bảo rằng tất cả các yêu cầu đăng nhập của người dùng đều được xử lý một cách an toàn và bảo mật. Cổng TCP 88 là cổng chính để giao tiếp Kerberos trong mạng AD.
Khi một người dùng cố gắng đăng nhập vào hệ thống, một yêu cầu Kerberos sẽ được gửi đến máy chủ Key Distribution Center (KDC), nơi sẽ cấp phát một mã thông báo xác thực (Ticket) cho người dùng. Nếu cổng này bị đóng, quá trình xác thực không thể thực hiện, khiến người dùng không thể đăng nhập vào hệ thống.
Cách mở cổng TCP 88:
Trên Windows Firewall, bạn có thể mở cổng TCP 88 thông qua giao diện người dùng hoặc sử dụng lệnh PowerShell: New-NetFirewallRule -DisplayName “Allow Kerberos” -Protocol TCP -LocalPort 88 -Action Allow
Việc đảm bảo cổng này luôn mở là một yếu tố quan trọng trong việc duy trì tính liên tục và bảo mật của hệ thống.
2. Cổng TCP 135 – Microsoft RPC Endpoint Mapper
Cổng TCP 135 là cổng dành cho dịch vụ RPC (Remote Procedure Call) Endpoint Mapper, cho phép máy chủ xác định các dịch vụ đang chạy trên máy chủ Active Directory.
RPC là một giao thức mạng dùng để giao tiếp giữa các ứng dụng và hệ thống, giúp các máy chủ và máy khách có thể tương tác với nhau một cách hiệu quả.
Đóng cổng này có thể làm gián đoạn các kết nối từ xa, ảnh hưởng đến khả năng quản lý các dịch vụ trong Active Directory, bao gồm việc đồng bộ hóa và sao lưu thông tin.
Cách mở cổng TCP 135:
Để mở cổng này, bạn có thể thực hiện các bước sau:
- Truy cập vào Windows Firewall.
- Tạo một quy tắc mới với cổng TCP 135.
- Đảm bảo rằng cổng này chỉ được mở cho các kết nối từ các máy tính trong mạng nội bộ của bạn.
Điều này giúp giảm thiểu rủi ro bị tấn công từ các kết nối bên ngoài trong khi vẫn đảm bảo tính hoạt động của các dịch vụ quan trọng.
3. Cổng TCP/UDP 389 – LDAP (Lightweight Directory Access Protocol)
LDAP là giao thức được sử dụng để truy xuất và sửa đổi dữ liệu trong Active Directory. Cổng 389 dành cho giao thức LDAP là cổng tiêu chuẩn cho phép các máy tính, thiết bị và ứng dụng kết nối tới AD để tìm kiếm và truy vấn thông tin. LDAP đóng vai trò quan trọng trong việc duy trì cấu trúc cây của thư mục Active Directory và cung cấp các dịch vụ như xác thực người dùng và phân quyền.
Việc không mở cổng này có thể gây ra các vấn đề như người dùng không thể đăng nhập, không thể truy xuất thông tin về người dùng hoặc nhóm người dùng từ Active Directory, hoặc không thể thực hiện các tác vụ quản lý hệ thống quan trọng.
Cách mở cổng TCP/UDP 389:
- Cổng 389 có thể được mở qua Windows Firewall hoặc trong các cấu hình tường lửa doanh nghiệp.
Sử dụng lệnh PowerShell sau để mở cổng LDAP: New-NetFirewallRule -DisplayName “Allow LDAP” -Protocol TCP -LocalPort 389 -Action Allow
- Cần đặc biệt chú ý bảo vệ cổng này vì nó có thể bị lợi dụng bởi các cuộc tấn công từ bên ngoài nếu không được bảo vệ đúng cách.
4. Cổng TCP 636 – LDAPS (LDAP over SSL)
LDAPS là phiên bản bảo mật của LDAP, nơi dữ liệu được mã hóa để bảo vệ thông tin khỏi các mối đe dọa trong quá trình truyền tải. Việc sử dụng SSL giúp bảo mật các yêu cầu LDAP, đặc biệt khi truy xuất thông tin nhạy cảm hoặc khi các yêu cầu LDAP được thực hiện qua các mạng công cộng.
Cổng TCP 636 thường được sử dụng trong các hệ thống yêu cầu bảo mật cao, giúp đảm bảo rằng các thông tin trao đổi giữa các máy khách và máy chủ AD không bị rò rỉ.
Cách mở cổng TCP 636:
Để mở cổng này, bạn cũng có thể sử dụng lệnh PowerShell: New-NetFirewallRule -DisplayName “Allow LDAPS” -Protocol TCP -LocalPort 636 -Action Allow
Việc sử dụng LDAPS là một biện pháp bảo mật quan trọng đối với các tổ chức có yêu cầu về bảo vệ dữ liệu nhạy cảm.
5. Cổng TCP 3268 – Global Catalog
Global Catalog là một thành phần quan trọng trong Active Directory, giúp tối ưu hóa các tìm kiếm dữ liệu trong môi trường AD. Khi một máy khách yêu cầu tìm kiếm thông tin về người dùng hoặc tài nguyên trong toàn bộ forest AD, Global Catalog cho phép máy chủ tìm kiếm nhanh chóng thông tin từ tất cả các miền mà không cần phải truy vấn từng miền một.
Việc đóng cổng này có thể làm giảm hiệu suất tìm kiếm và ảnh hưởng đến trải nghiệm của người dùng khi tìm kiếm thông tin trong hệ thống AD.
Cách mở cổng TCP 3268: Cổng này có thể được mở giống như các cổng khác thông qua PowerShell hoặc giao diện tường lửa của hệ điều hành.
6. Cổng TCP 3269 – Global Catalog over SSL
Cổng TCP 3269 được sử dụng cho Global Catalog thông qua kết nối SSL, giúp bảo mật quá trình tìm kiếm dữ liệu trên AD. Mở cổng này rất quan trọng đối với các tổ chức yêu cầu bảo mật cao khi trao đổi thông tin trong mạng nội bộ hoặc khi truy cập từ xa.
Cách mở cổng TCP 3269:
Tương tự như cổng TCP 3268, bạn có thể mở cổng này qua PowerShell: New-NetFirewallRule -DisplayName “Allow Global Catalog over SSL” -Protocol TCP -LocalPort 3269 -Action Allow
Điều này đảm bảo rằng thông tin tìm kiếm được mã hóa và bảo vệ trong quá trình trao đổi.
7. Cổng UDP 53 – DNS (Domain Name System)
DNS đóng vai trò cực kỳ quan trọng trong việc xác định và phân giải tên miền trong Active Directory. Các máy khách sử dụng DNS để tìm kiếm các máy chủ AD, giúp kết nối và đồng bộ hóa dữ liệu với hệ thống AD. Nếu cổng DNS bị chặn, các máy tính không thể tìm thấy các máy chủ AD, dẫn đến việc không thể kết nối vào mạng.
Cách mở cổng UDP 53: DNS là dịch vụ quan trọng và phải luôn được mở để các máy khách có thể kết nối với máy chủ AD. Bạn có thể mở cổng này thông qua các tường lửa hoặc cấu hình DNS trên máy chủ của bạn.
Kết luận
Việc mở các cổng tường lửa đúng cách là yếu tố không thể thiếu trong việc duy trì hoạt động ổn định và bảo mật của hệ thống Active Directory. Các cổng này hỗ trợ giao tiếp giữa các máy chủ và máy khách, giúp duy trì các chức năng quan trọng như xác thực người dùng, tìm kiếm dữ liệu và thay đổi mật khẩu. Tuy nhiên, việc mở các cổng này cần được kết hợp với các biện pháp bảo mật bổ sung như sử dụng VPN và tường lửa để giảm thiểu các rủi ro bảo mật.