Protocoles et trafic réseau en environnements Active Directory

Active Directory est un annuaire général utilisé par les administrateurs de domaines. Il est conçu pour servir les causes de la confidentialité et de la sécurité informatique. Il est muni de plusieurs outils : les descripteurs de sécurité, les protocoles, les codes chiffrés…  Des filtres d’affichage permettent d’analyser le trafic du réseau.

Les protocoles d’Active Directory

L’accès d’une entité à une information est verrouillé par un modèle de gouvernance discrétionnaire. La gestion des accès a pour fonction de gérer les outils de reconnaissance, de délivrer les permissions d’accès, de journaliser les transactions opérées sur les comptes d’utilisateurs.  Un descripteur de sécurité emprisonne les objets protégeables.

Dans un environnement « active directory », la gestion de l’information passe par plusieurs protocoles applicatifs :

  • le protocole LDAP: il permet d’accéder au contenu de l’annuaire Active Directory. Pour ce faire, le client doit se conformer au RFC 377. Le partage des informations jugées dangereuses est sécurisé, à travers un condensat de mots de passe chiffrés. Le langage de programmation est de type GSS-SPNEGO.
  • le protocole Kerberos: se substituant à NTLM, Kerberos est le principal moyen d’authentification du système. Il est capable d’interagir avec les systèmes Windows, depuis la couche SSPI.
  • le protocole DNS: il a pour finalité de référencer les contrôleurs de domaine (les groupes qui détiennent la propriété de la ressource et se chargent de transférer l’information aux objets enfants). DNS utilise un package de type SRV. Les entrées DNS font l’objet d’une actualisation périodique.

Les trafics courants sur Active Directory

  • LDAP

- Pour ouvrir une session LDAP, il faut faire appel au langage SASL GSS-SPNEGO.

  • DNS

- Accéder à un administrateur de domaine : (_ldap._tcp.sitename._sites.dc._msdcs.domainname)

- Mettre à jour les entrées DNS pour l’enregistrement des adresses statiques ou des modifications d’adresse. Il vous suffit d’activer l’option: Register this connection's addresses in DNS. La mise à jour pourra être accomplie manuellement (ipconfig /registerdns) ou de façon automatique, par la commande DHCP.

  • KERBEROS

- Lancer une requête de TGT ou ticket granting tickets.

Les TGT sont les éléments d’authentification qui permettent le démarrage d’une session, l’accès à une ressource informationnelle ou l’envoi de messages spéciaux (AS-REQ, AS-REP).

- Solliciter un ticket de service, pour visiter un navigateur (DNS, HOST, LDAP…)

Les filtres d’affichage pour surveiller le trafic

- Protocole CLDAP : ldap && udp ;

- Protocole LDAP : ldap && tcp ;

- Messages Kerberos (Port 88 UDP) : kerberos && udp.