PDA

Visualizza versione completa : porta 135


soudan
17-12-2007, 20.15.05
salve a tutti mi stato sonsigliato di chiudere la porta 135 (epmap) cosa mi dite è da chiudere? come chiamato il servizio che la usa io sto "epmap" non lo trovo come si pò fare ? è un servizio esensiale? Grazie in anticipo

LoryOne
17-12-2007, 21.02.11
Sulla 135 di solito è in ascolto RPC o Remote Procedure Call, un servizio utile in intranet, ma pericoloso a causa di buffer overflow su Internet e successiva scalata di privilegi su host a rischio.

A dire il vero, buona norma è:
Eliminare tutto cio che è superfluo.
Chiudere ogni porta non essenziale.
Patchare.
Verificare spesso i log.
Non gridare subito al lupo, ma raccogliere sufficienti prove prima di procedere ad un eventuale azione legale.

(esageraaaaaato :D )

soudan
17-12-2007, 21.16.27
scusa un servizio utile in che senzo mi fai capire di piu

Losko
17-12-2007, 21.24.56
Remote Procedure Call (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/how_rpc_works.asp) (RPC) è un protocollo utilizzato dal sistema operativo Windows che offre un meccanismo di comunicazione tra processi che consente a un programma in esecuzione in un computer di eseguire codice su un sistema remoto. Il protocollo è derivato dal protocollo RPC di OSF (Open Software Foundation), ma con l'aggiunta di alcune estensioni specifiche di Microsoft.
Nel componente di RPC responsabile dello scambio di messaggi tramite TCP/IP è presente una vulnerabilità, dovuta a modalità errate di gestione dei messaggi in formato non valido. Questo particolare attacco interessa il processo di mappatura dei punti di contatto (endpoint) RPC, in ascolto sulla porta TCP/IP 135. La mappatura degli endpoint RPC consente ai client RPC di determinare il numero di porta attualmente assegnato a un particolare servizio RPC.
Per sfruttare questa vulnerabilità, l'autore dell'attacco deve stabilire una connessione TCP/IP con il processo di destinazione in un computer remoto. Una volta stabilita la connessione, può essere avviata la negoziazione delle connessioni RPC prima dell'invio di un messaggio in formato non valido, in modo da interrompere il funzionamento del processo sul computer remoto. Questo processo è responsabile della gestione delle informazioni di connessione per tutti i processi del computer che utilizzano RPC. Poiché la mappatura degli endpoint viene eseguita all'interno del servizio RPC, lo sfruttamento della vulnerabilità provoca l'interruzione del funzionamento dello stesso servizio RPC, con la conseguente perdita di tutti i servizi RPC forniti dal server, oltre alla potenziale perdita di alcune funzioni COM.
Per sfruttare questa vulnerabilità, l'autore dell'attacco deve essere in grado di inviare una richiesta appositamente predisposta alla porta 135 del computer remoto. Negli ambienti Intranet questa porta è in genere accessibile, mentre nei computer connessi a Internet la porta 135 è solitamente bloccata da un firewall. Nel caso in cui tale porta non sia bloccata o in una configurazione Intranet, per l'autore dell'attacco non sono necessari ulteriori privilegi.
Le procedure ottimali prevedono il blocco di tutte le porte TCP/IP che non vengono effettivamente utilizzate. Per questo motivo, nella maggior parte dei computer connessi a Internet la porta 135 dovrebbe essere bloccata. RPC su TCP non è un protocollo progettato per l'utilizzo in ambienti scarsamente protetti come Internet. Per questo tipo di ambienti sono disponibili protocolli che offrono un livello di protezione superiore, come RPC su HTTP.

P.S.:!!! Questa porta è utilizzata anche dal Worm Blaster

Altre info:
Writing a Secure RPC Client or Server (http://msdn2.microsoft.com/en-us/library/aa379441.aspx)

soudan
17-12-2007, 23.19.55
gentlisimo se la chiudo l'aggiornamenti funsiona normale?

Losko
18-12-2007, 06.14.48
gentlisimo se la chiudo l'aggiornamenti funsiona normale?
Si funzionano ;)
Ciao
Graziano

LoryOne
18-12-2007, 08.14.22
"Questo particolare attacco interessa il processo di mappatura dei punti di contatto (endpoint) RPC, in ascolto sulla porta TCP/IP 135. La mappatura degli endpoint RPC consente ai client RPC di determinare il numero di porta attualmente assegnato a un particolare servizio RPC."

Esatto. Il servizio di mapping sugli endpoint è il famigerato RPC-Locator.
Occhio che sulla 135 è in ascolto anche DCOM.

soudan
20-12-2007, 19.42.43
tanti Auguri di buone feste per tutti voi; e mille Grazie per il vostro aiuto.

soudan
20-12-2007, 20.04.27
tanti Auguri a tutti voi di buone feste; e mille Grazie per il vostro aiuto.

Losko
21-12-2007, 14.21.28
tanti Auguri a tutti voi di buone feste;
Anche a te ;)

e mille Grazie per il vostro aiuto.
Figurati, di nulla :)
Ciao
Graziano

LoryOne
21-12-2007, 19.07.24
Mi accodo ...
Buone feste a tutti :)