A propos de SMB et MS-RPC

MS-RPC

MS-RPC est un protocole propriétaire Windows basé sur le standard DCE / RPC. C’est un protocole à port dynamique comme rpcbind ou portmap sous Linux. C’est à dire que la première connexion est effectuée sur le port 135 puis le client est redirigé vers un autre port ouvert dynamiquement dans la plage autorisée (par défaut 49152 à 65535).

Ce mode de fonctionnement n’est plus à la mode actuellement. Il nécessite d’ouvrir des plages de ports assez larges sur les pares-feu des serveurs et des routeurs inter-sites.

Ce protocole est notamment utilisé pour la réplication des annuaires LDAP entre les serveurs Active Directory.

Ports utilisés pour un fonctionnement correct de MSRPC

Port

Usage

135

TCP

49152 à 65535 (>= win2008R2)

Intervalle de ports par défaut Pour les services RPC sur TCP

1025 à 5000 (<win2k et win2k3)

Intervalle de port dynamique sur les anciennes version de Windows

SMB

Le protocole SMB autorise la communication entre les processus. C’est donc le protocole qui permet aux applications et services des ordinateurs en réseau de parler entre eux. On pourrait aussi dire que SMB est un des langages utilisés par les ordinateurs pour discuter.

Ports utilisés pour un fonctionnement correct de SMB

Port

Usage

139

SMB sur NetBIOS sur TCP/IP

445

SMB sur TCP/IP

Indication

Comment assurer la sécurité de ces ports ?

Laisser les ports réseau ouverts pour que les applications puissent fonctionner présente un risque. Alors comment faire pour que nos réseaux restent protégés et que nos applications restent disponibles et puissent fonctionner ? Voici plusieurs solutions pour protéger ces deux ports importants et bien connus :

  • Mettre en place un pare-feu ou une protection des terminaux pour mettre ces ports à l’abri des hackers. La plupart des solutions intègre une blacklist pour bloquer les connexions effectuées depuis des adresses IP de hackers connues.

  • Mettre en place un VPN pour chiffrer et protéger le trafic réseau.

  • Mettre en place des VLAN pour isoler le trafic réseau interne.

  • Utiliser le filtrage d’adresses MAC pour empêcher les systèmes inconnus d’accéder au réseau. Cette tactique exige un important travail de gestion pour maintenir la liste à jour.