Re: [ml] windows 2003, porte aperte

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2004 ml@sikurezza.org
Soggetto: Re: [ml] windows 2003, porte aperte
Mittente: KJK::Hyperion
Data: Tue, 27 Jul 2004 22:26:32 +0200 (CEST)

At 11.19 21/07/2004, you wrote:

- - come fa un client a sapere quale porta connettere? con rpc?

E' tutto spiegato nel Platform SDK: crea un binding (o una serie di binding) e ci si connette. Le regole cambiano da applicazione ad applicazione, ma la maggior parte dei server richiede dei binding "partially bound", cioè con l'endpoint (nel caso di ncacn_ip_tcp e ncadg_ip_udp, ovviamente, la porta) lasciato in bianco, e che il sistema lo riempa come crede

In teoria un server RPC potrebbe ascoltare su una porta fissa, ma raramente viene fatto: c'è un servizio di sistema, il portmapper, che alloca gli endpoint per conto dei server, e tutti ne fanno tranquillamente uso. Il client non deve fare altro che chiedere al portmapper su quali endpoint ascolta il server desiderato. Il portmapper, cosa curiosa, è a sua volta un servizio RPC, che ovviamente usa dei binding fully bound (senno', a chi chiedere per sapere l'endpoint _del_ portmapper?), e implementa, oltre all'allocazione degli endpoint, anche un enumeratore di endpoint registrati (cerca rpcdump nel Resource Kit)

Quella del portmapper è quasi un'ottima idea - è banale sapere a che porta corrisponde che applicazione, e aprirle/chiuderle condizionalmente, anzichè usare strani giochi di pattern matching. Dico "quasi" perchè, in pratica, la cosa è ingestibile: il portmapper è una scatola chiusa. Ne servirebbe uno che collabori con i firewall (non vorrei sbagliarmi, ma mi pare di aver visto una cosa del genere nel famoso Service Pack 2 di Windows XP), o un proxy che lo faccia. Netfilter non ne implementa uno? peccato. Ma credo ce ne sia un'implementazione in Samba

- - se usa rpc, perché non mi considera la connessione related?


perchè non conosce il protocollo DCE RPC?

- - forzare la porta 1025 potrebbe reare qualche problema?

1025 e 1026 sembrano due porte fisse. Almeno, le ho sempre viste, e il servizio portmapper dice di non saperne niente

- - le connessioni del secondo link (generico rpc) sono considerate related? o devo aprire a priori un range di porte?

non servirebbe a niente. La porta, di per sè, non identifica l'applicazione, e il portmapper non sembra essere configurabile per forzare una porta o un range di porte per un'applicazione

In risposta a:
- [ml] windows 2003, porte aperte, Igor Falcomata'
- Re: [ml] windows 2003, porte aperte, Daniele Palumbo

Data:
- precedente: [ml] Pen-test: determinare il subnetting di una società, Il Prof
- successivo: [ml] worm ssh ?, Enrico Rubboli
- indice

Argomento:
- precedente: R: [ml] windows 2003, porte aperte, Massimo Brogioni
- successivo: Re: [ml] windows 2003, porte aperte, Igor Falcomata'
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005