Publicité
40.28.3 Support
Désactiver la
prévention
d'intrusion
40.29 Protocole MS-RPC
Afin de sécuriser le trafic Microsoft RPC, basé sur le standard DCE/RPC, ce module propose
d'autoriser ou non chaque flux utilisant ce protocole, détaillé par service Microsoft (Microsoft
Exchange, par exemple).
40.29.1 Onglet DCE/RPC (IPS)
A l'instar du protocole FTP, le protocole DCE-RPC peut être amené à établir plusieurs connexions
pour un même flux : une connexion mère du client vers le serveur sur le port dédié au service,
suivie d'une ou plusieurs connexions filles sur des ports aléatoires pour l'échange des
données.
Lors de l'analyse du protocole DCE/RPC, le firewall extrait de la connexion mère les données
nécessaires à la création des connexions filles (ports aléatoires à autoriser) afin de créer un
squelette de connexion permettant le dialogue.
Paramètres des squelettes de connexion
Autoriser la création
de squelettes
Délai d'expiration
d'un squelette
Nombre de
squelettes créés par
adr. IP
Authentification
Vérifier la légitimité de
l'utilisateur
Microsoft Appel de procédure à distance (RPC)
Onglet "Services MS-RPC prédéfinis"
Le protocole DCE/RPC permet le lancement des procédures hébergées à distance. Ces services
dits MS-RPC, prédéfinis pour les principales Applications Microsoft, sont par défaut autorisés.
Ces services classés par catégories peuvent être autorisés (analysés) / interdits
individuellement ou par groupe en sélectionnant plusieurs catégories à l'aide de la touche Shift
et à l'aide des boutons proposés dans le menu Action. Le bouton "Modifier toutes les
opérations" permet d'assigner l'action à l'ensemble des catégories de services. Les boutons
Page 309/524
En cochant cette option, l'analyse du protocole sera désactivée et le trafic sera
autorisé si la politique de filtrage le permet.
En cochant cette case, le moteur d'analyse mécanisme DCE-RPC autorise la création
de connexions mère et filles.
Ce paramètre définit le délai au terme duquel un squelette créé par une connexion
DCE/RPC devenue inactive doit être supprimé.
Par défaut il est établi à 60 secondes.
Il est possible de limiter le nombre de squelettes DCE/RPC créés par une même
adresse IP source.
En cochant cette case, vous activez l'authentification des utilisateurs DCE/RPC. Le
moteur d'analyse DCE/RPC est ainsi capable d'extraire l'utilisateur et de le
comparer à la liste des utilisateurs authentifiés dans le firewall.
Lorsque aucun utilisateur authentifié ne correspond à l'utilisateur présenté par la
requête DCE/RPC, le paquet est bloqué.
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4
sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023
40. PROTOCOLES
Publicité
