DCERPC 检测
DCERPC 检测在默认检测策略中未启用,如果需要进行这项检测,必须先启用这项检测。可以简单地编辑默认全局检测策略来添加 DCERPC 检测。或者,可以创建所需的新服务策略,例如,接口特定策略。
以下各节介绍 DCERPC 检测引擎。
DCERPC 概述
Microsoft 远程过程调用 (MSRPC) 基于 DCERPC,是 Microsoft 分布式客户端和服务器应用广泛使用的协议,允许软件客户端在服务器上远程执行程序。
这通常涉及查询称为终端映射器的服务器(用于侦听已知端口号,以获取所需服务的动态分配网络信息)的客户端。然后,客户端建立与提供服务的服务器实例之间的辅助连接。安全设备允许相应的端口号以及网络地址,如有必要,还会为辅助连接应用 NAT。
DCERPC 检测引擎在已知 TCP 端口 135 上检测 EPM 与客户端之间的本地 TCP 通信。支持客户端的 EPM 映射和查找操作。客户端和服务器可位于任何安全区域。从适用的 EPM 响应消息接收嵌入式服务器 IP 地址和端口号。由于客户端可能尝试多次连接到 EPM 返回的服务器端口,因此,允许使用可配置超时的多个针孔。
DCE 检测支持以下通用唯一标识符 (UUID) 和消息:
-
终端映射器 (EPM) UUID。支持所有 EPM 消息。
-
ISystemMapper UUID(非 EPM)。支持的消息如下:
-
RemoteCreateInstance opnum4
-
RemoteGetClassObject opnum3
-
-
OxidResolver UUID(非 EPM)支持的消息如下:
-
ServerAlive2 opnum5
-
-
不包含 IP 地址或端口信息的任何消息,因为这些消息不需要检测。
配置 DCERPC 检测策略映射
要指定其他 DCERPC 检测参数,请创建 DCERPC 检测策略映射。然后,可以在启用 DCERPC 检测时应用所创建的检测策略映射。
在定义流量匹配条件时,可以创建类映射或者直接在策略映射中包括匹配语句。创建类映射与直接在检测策略映射中定义流量匹配的差别在于,可以重复使用类映射。
过程
步骤 1 |
(可选)创建 DCERPC 检测类映射。 对于在此类映射中标识的流量,可以在检测策略映射中指定要对流量执行的操作。 如果要对每个 match 命令执行不同的操作,应该直接在策略映射中标识流量。 |
步骤 2 |
创建 DCERPC 检测策略映射:policy-map type inspect dcerpc policy_map_name 其中,policy_map_name 是策略映射的名称。CLI 将进入策略映射配置模式。 |
步骤 3 |
(可选)添加策略映射说明:description string |
步骤 4 |
要对匹配的流量应用操作,请执行以下步骤。 |
步骤 5 |
要配置影响检测引擎的参数,请执行以下步骤: |
示例
以下示例显示如何使用为 DCERPC 针孔配置的超时定义 DCERPC 检测策略映射。
hostname(config)# policy-map type inspect dcerpc dcerpc_map
hostname(config-pmap)# timeout pinhole 0:10:00
hostname(config)# class-map dcerpc
hostname(config-cmap)# match port tcp eq 135
hostname(config)# policy-map global-policy
hostname(config-pmap)# class dcerpc
hostname(config-pmap-c)# inspect dcerpc dcerpc-map
hostname(config)# service-policy global-policy global
下一步做什么
现在,您可以配置一个检测策略来使用该映射。请参阅配置应用层协议检测。