Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Спасибо за мнение. Заплатки, конечно, это да. Это все знают... 14.08.04 01:50 Число просмотров: 1884
Автор: void <Grebnev Valery> Статус: Elderman
|
> Открытие порта 135 опасно в любом случае, если на систему > не установлена заплатка RPC/DCOM (см. Cumulative Update for > Microsoft RPC/DCOM (828741)), легко можно нахвататься > вирей.
Спасибо за мнение. Заплатки, конечно, это да. Это все знают и делают. .....
Но я ведь вопрос задавал, как мне казалось, по существу.... Смотри, 135 порт имеет отношение к RPC, и уж тем более к DCOM (который использзует RPC только в качестве протокола более низкого уровня), такое же, как я к балерине. Он используется для того, чтобы промапить порты по которым клиент будет обмениваться данными с удалённо вызванной процедурой RPC. Всё.
Имею ввиду то, что фактически данные (когда на удалённом хосте уже запущена RPC-процедура, а на клиенте создана прокси-заглушка и т.п.) никогда не передаются непосредственно от клиента на 135 серверный порт. Для передачи данных используются вторичные соединения. В этом легко убедиться если промониторть трафик клиент-сервер. Там ты увидишь, что на стороне сервера RPC будут динамически открыты порты, например, 1026, 6000 - ..... и т.д.
Так вот, мой поинт был в том, что если в ACL ты разрешишь только 135 порт, а всё остальное задропишь (имеется ввиду трафик по динамическим портам, что использовал бы RPC на хосте жертвы), то RPCпросто будет не функционально. Ну не сможет атакер в этом случае обмениваться ни с чем на хосте жертвы. Трафик будет перекрыт ACL..... Извини, что говорю с таким апломбом в отношении работоспособности RPC + DCOM за межсетевым экраном. Это уже просто пробовано-перепробовано тыщу раз....
!!!!
А вот в отношении багов и возможноти хакнуть сам 135 порт (всего лишь epmap!!!) в имплементации виндовз, о возможности передачи данных с клиента на 135 порт, да так, чтоб передать туда каким-то образом виря - я и хотел бы узнать в форуме.
> Если требуется открыть этот порт не для всех, а только для > клиентов организации, то, IMHO, лучше всего использовать > VPN соединение. В этом случае клиент, имея ключ шифрования, > может подключить по dial-up с любого места и ip адреса и > использовать необходимый ему сервис даже находясь за > NAT'ом. Можно также использовать вариации туннелинга с > шифрованием.
Ещё раз спасибо за мнение. Но вопрос не стоял так - как сделать работу по RPC безопасной. Меня интересовало другое. То, что выше.
|
|
|