Protocole MS-RPC
Afin de sécuriser le trafic Microsoft RPC, basé sur le standard DCE/RPC, ce module propose d’autoriser ou non chaque flux utilisant ce protocole, détaillé par service Microsoft (Microsoft Exchange, par exemple).
Onglet DCE/RPC (IPS)
A l'instar du protocole FTP, le protocole DCE-RPC peut être amené à établir plusieurs connexions pour un même flux : une connexion mère du client vers le serveur sur le port dédié au service, suivie d'une ou plusieurs connexions filles sur des ports aléatoires pour l'échange des données.
Lors de l'analyse du protocole DCE/RPC, le firewall extrait de la connexion mère les données nécessaires à la création des connexions filles (ports aléatoires à autoriser) afin de créer un squelette de connexion permettant le dialogue.
Paramètres des squelettes de connexion
Autoriser la création de squelettes | En cochant cette case, le moteur d'analyse mécanisme DCE-RPC autorise la création de connexions mère et filles. |
Délai d'expiration d'un squelette | Ce paramètre définit le délai au terme duquel un squelette créé par une connexion DCE/RPC devenue inactive doit être supprimé. Par défaut il est établi à 60 secondes. |
Nombre de squelettes créés par adr. IP | Il est possible de limiter le nombre de squelettes DCE/RPC créés par une même adresse IP source. |
Authentification
Vérifier la légitimité de l'utilisateur | En cochant cette case, vous activez l’authentification des utilisateurs DCE/RPC. Le moteur d'analyse DCE/RPC est ainsi capable d'extraire l'utilisateur et de le comparer à la liste des utilisateurs authentifiés dans le firewall. Lorsque aucun utilisateur authentifié ne correspond à l'utilisateur présenté par la requête DCE/RPC, le paquet est bloqué. |
Microsoft Appel de procédure à distance (RPC)
Onglet "Services MS-RPC prédéfinis"
Le protocole DCE/RPC permet le lancement des procédures hébergées à distance. Ces services dits MS-RPC, prédéfinis pour les principales Applications Microsoft, sont par défaut autorisés.
Ces services classés par catégories peuvent être autorisés (analysés) / interdits individuellement ou par groupe en sélectionnant plusieurs catégories à l’aide de la touche Shift et à l’aide des boutons proposés dans le menu Action. Le bouton "Modifier toutes les opérations" permet d’assigner l’action à l’ensemble des catégories de services. Les boutons "Interdire par groupe de services" et "Autoriser par groupe de services" permettent de modifier l'action affectée à un groupe complet de services. Les services interdits lèveront l’alarme « Service DCERPC interdit».
Une info-bulle affiche l’UUID (Universal Unique Identifier) de chaque service au survol de celui-ci.
Ces principales Applications Microsoft ayant des services MS-RPC prédéfinis, sont les suivants :
- Distributed File System Replication.
- Microsoft Active Directory.
- Microsoft DCOM.
- Microsoft Distributed Transaction Coordinator service.
- Microsoft Exchange.
- Microsoft File Replication service.
- Microsoft IIS.
- Microsoft Inter-site Messaging.
- Microsoft Messenger.
- Microsoft Netlogon.
- Microsoft RPC services.
- Microsoft Scheduler.
Onglet "Services MS-RPC personnalisés"
Cette grille vous propose de renseigner l’Identifiant universel unique (UUID) de services MS-RPC qui ne seraient pas renseignés dans la liste des services MS-RPC prédéfinis. De la même manière que pour le premier onglet, vous pouvez assigner une action à un service, à un ensemble de services (boutons "Interdire par groupe de services" et "Autoriser par groupe de services") ou à tous les services renseignés (bouton "Modifier toutes les opérations").
Support
Désactiver la prévention d’intrusion | En cochant cette option, l'analyse du protocole MS-RPC sera désactivée et le trafic sera autorisé si la politique de filtrage le permet. |
Tracer chaque requête DCE-RPC | Active ou désactive le traçage des requêtes MS-RPC. |
Détecter et inspecter automatiquement le protocole | Si le protocole est activé, l'inspection sera automatiquement appliquée à la découverte d'un trafic correspondant, autorisé par le filtrage. |