Uwierzytelnianie w RPC Microsoftu

zeniowym, wystarczy weryfikować numer portu na początku połączenia. Przepuszczanie ruchu UDP za pomocą takiego mechanizmu wiąże się z dużym obciążeniem i prawdopodobnie nie nadaje się do zastosowań, w których intensywnie wykorzystuje się UDP.

Choć to nie wystarczy, powinieneś i tak zablokować dostęp do serwera lokalizującego, ponieważ niektóre wersje tego serwera mogą działać jako pośrednicy dla klientów napastnika.

Co więc zrobić, żeby zabezpieczyć usługi oparte na RPC? Kilka spostrzeżeń: po pierwsze, okazuje się, że większość niebezpiecznych usług opartych na RPC (zwłaszcza NIS i NFS) jest domyślnie udostępniana przez UDP. Po drugie, większość usług, do których chciałbyś mieć dostęp przez filtr pakietów, opiera się na TCP, a nie na UDP godne uwagi wyjątki to DNS, NTP i syslog. Te spostrzeżenia prowadzą do rozpowszechnionej metody obsługiwania RPC za pomocą filtrów pakietów: zablokować cały ruch UDP, pozostawiając konkretne i ściśle kontrolowane „okna” dla DNS, NTP i syslog. W takiej metodzie, chcąc przepuścić w dowolnym kierunku jedną usługę RPC opartą na TCP, będziesz musiał przepuścić wszystkie albo użyć filtra pakietów, który może się kontaktować z usługą lokalizującą.

Windows NT umożliwia ściślejszą kontrolę nad portami używanymi przez RPC. To może pomóc, jeśli chcesz pozwolić zdalnym klientom na dostęp do swoich serwerów, ale nie pomoże klientom wewnętrznym w dostępie do serwerów zewnętrznych (chyba że zdołasz namówić właścicieli tych serwerów na zmianę konfiguracji komputerów). Większość zastosowań RPC to w rzeczywistości zastosowania DCOM, który udostępnia interfejs użytkownika umożliwiający konfigurowanie portów (omówiony dalej w tym rozdziale). Możesz także bezpośrednio kontrolować zakres portów używanych przez RPC. W tym celu musisz zmodyfikować klucz rejestru

Strony: 1 2

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>