™zet
Bu makalede, RPC'nin belirli bir dinamik bağlantı noktası aralığını kullanacak biçimde nasıl yapılandırılacağı ve Internet Protokolü güvenliği (IPsec) ilkesi kullanılarak bu aralıktaki bağlantı noktalarının güvenliğinin nasıl sağlanacağı anlatılmaktadır. Varsayılan olarak RPC, TCP uç noktası üzerinde dinleme yapması gereken RPC uygulamalarına bağlantı noktaları atarken geçici bağlantı noktası aralığındaki (1024-5000) bağlantı noktalarını kullanır. Bu davranış, ağ yöneticilerinin bu bağlantı noktalarına erişimi sınırlamalarını zorlaştırabilir. Bu makalede, RPC uygulamalarının kullanabileceği bağlantı noktası sayısını azaltma yolları ve kayıt defteri tabanlı IPsec ilkesini kullanarak bu bağlantı noktalarına erişimin nasıl sınırlandırılacağı anlatılmaktadır.
Bu makaledeki adımlar bilgisayarın yeniden başlatılmasını gerektiren bilgisayar genelindeki değişiklikler içerdiğinden, bu değişikliklerin sonucu olarak ortaya çıkabilecek olası uygulama uyumluluğu sorunlarını belirlemek için, bu adımların tümünün önce üretim içermeyen ortamlarda gerçekleştirilmesi gerekir.
Daha fazla bilgi
RPC bağlantı noktalarına erişimin konumunu değiştirmek, erişimi azaltmak ve sınırlandırmak için tamamlanması gereken birkaç yapılandırma görevi vardır.
İlk olarak, RPC dinamik bağlantı noktası aralığının bir güvenlik duvarı veya IPsec ilkesi kullanılarak engellenmesi daha kolay ve böylece yönetilmesi daha zahmetsiz olan daha küçük bir bağlantı noktası aralığıyla sınırlanması gerekir. Varsayılan olarak RPC, hangi bağlantı noktasını dinleyeceğini belirtmeyen uç noktalara 1024-5000 aralığındaki bağlantı noktalarını dinamik olarak ayırır.
NotBu makalede, geçici bağlantı noktalarının tükenmesinden kaçınmak ve RPC uç noktalarının kullandığı bağlantı noktalarının sayısını 3.976'dan 20'ye azaltmak için 5001-5021 bağlantı noktası aralığı kullanılmaktadır.
Daha sonra, bu bağlantı noktası aralığına erişimi, ağ üzerindeki tüm ana bilgisayarlara erişimi reddedecek biçimde sınırlandırmak için bir IPsec ilkesi oluşturulmalıdır.
Son olarak, belirli IP adreslerinin veya ağdaki alt ağların engellenmiş RPC bağlantı noktalarına erişmesini sağlayacak ve tüm diğerlerini dışlayacak biçimde IPsec ilkesi güncelleştirilebilir.
RPC dinamik bağlantı noktası aralığını yeniden yapılandırma görevine başlamak için RPC Configuration Tool'u (RPCCfg.exe) karşıdan yükleyin ve yeniden yapılandırılacak iş istasyonuna veya sunucuya kopyalayın. Bunu yapmak için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=enIPsec ilkesi oluşturmakla ilgili sonraki görevleri gerçekleştirmek için, Internet Protokolü Güvenlik İlkeleri Aracı'nı (Ipsecpol.exe) karşıdan yükleyin ve yeniden yapılandırılacak iş istasyonuna veya sunucuya kopyalayın. Bunu yapmak için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361Not Microsoft Windows XP veya Windows işletim sisteminin sonraki bir sürümü için IPsec ilkesi oluşturmak amacıyla Ipseccmd.exe aracını kullanın. Ipseccmd.exe, Windows XP destek araçlarının bir parçasıdır. IPseccmd.exe aracının sözdizimi ve kullanımı Ipsecpol.exe'nin sözdizimi ve kullanımıyla aynıdır. Windows XP destek araçları hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
838079 Windows XP Service Pack 2 Destek Araçları
RPCCfg.exe aracını kullanarak RPC dinamik bağlantı noktası aralığını yeniden konumlandırma ve küçültme
RPCCfg.exe aracını kullanarak RPC dinamik bağlantı noktası aralığını yeniden konumlandırmak ve küçültmek için aşağıdaki adımları izleyin:
-
RPCCfg.exe aracını yapılandırılacak sunucuya kopyalayın.
-
Komut isteminde, rpccfg.exe -pe 5001-5021 -d 0 yazın.
Not Bu aralıktaki bağlantı noktalarının diğer uygulamalar tarafından kullanılmak üzere ayrılmaları pek mümkün olmadığından, RPC uç noktalarının kullanımı için bu bağlantı noktası aralığı önerilir. Varsayılan olarak RPC, uç noktalara bağlantı noktaları ayırmak için 1024-5000 bağlantı noktası aralığını kullanır. Ancak, bu aralıktaki bağlantı noktaları aynı zamanda Windows işletim sistemi tarafından tüm Windows yuva uygulamalarına da dinamik olarak ayrılır ve uzak sistemlere birçok bağlantılar kuran terminal sunucular ve orta katman sunucuları gibi yoğun olarak kullanılan sunucular üzerinde tükenebilir.
Örneğin, Internet Explorer bağlantı noktası 80 üzerinden bir Web sunucusuyla bağlantı kurduğunda, sunucunun yanıtını 1024-5000 aralığındaki bir bağlantı noktası üzerinden dinler. Diğer uzak sunucularla bağlantı kuran bir orta katman COM sunucusu da bu aralıktaki bir bağlantı noktasını o çağrıya gelen yanıt için kullanır. RPC'nin kendi uç noktaları için kullandığı bağlantı noktalarının aralığını 5001 bağlantı noktası aralığına taşımak, bu bağlantı noktalarının diğer uygulamalar tarafından kullanılma olasılığını azaltır.
Windows işletim sistemlerinde geçici bağlantı noktası kullanımı hakkında daha fazla bilgi için, aşağıdaki Microsoft Web sitelerini ziyaret edin.-
Windows 2000 için:
-
Windows Server 2003 için:
http://technet.microsoft.com/tr-tr/library/cc758746(WS.10).aspx
-
Etkilenen ana bilgisayarda güvenlik açığından etkilenen bağlantı noktalarına erişimi engellemek için IPsec veya güvenlik duvarı ilkesi kullanma
Aşağıdaki bölümdeki komutlarda, yüzde (%) işaretleri arasında görünen her metnin, IPsec ilkesini oluşturan kişi tarafından girilmesi gereken komut içindeki metni göstermesi amaçlanmıştır. Örneğin, "%IPSECTOOL%" metninin geçtiği yerlerde, ilkeyi oluşturan kişinin metni şöyle değiştirmesi gerekir:
-
Windows 2000 için, "%IPSECTOOL%" yerine "ipsecpol.exe" yazın.
-
Windows XP veya Windows'un sonraki bir sürümü için, "%IPSECTOOL%" yerine "ipseccmd.exe" yazın.
Bağlantı noktalarını engellemek için IPsec'i kullanma hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
813878 IPsec kullanılarak belirli ağ protokolleri ve bağlantı noktaları nasıl engellenir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)
RPC Uç Noktası Eşleştiricisi'ne erişimi tüm IP adresleri için engelleme
Tüm IP adreslerinin RPC Uç Noktası Eşleştiricisi'ne erişimini engellemek için aşağıdaki sözdizimini kullanın.
Not Windows XP'de sonraki işletim sistemlerinde, Ipseccmd.exe aracını kullanın. Windows 2000'de, Ipsecpol.exe (Windows 2000) aracını kullanın.
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
Not Bu komutta "%IPSECTOOL%" yazmayın. "%IPSECTOOL%" ifadesi, komutun özelleştirilmesi gereken kısmını gösterir. Örneğin, Windows 2000'de, TCP 135'e gelen tüm erişimleri engellemek için, Ipsecpol.exe aracını içeren dizinin içindeyken aşağıdaki komutu yazın:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
Windows XP veya sonraki işletim sistemlerinde, TCP 135'e gelen tüm erişimleri engellemek için, Ipseccmd.exe aracını içeren dizinin içindeyken aşağıdaki komutu yazın:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
RPC dinamik bağlantı noktası aralığına erişimi tüm IP adresleri için engelleme
Tüm IP adreslerinin RPC dinamik bağlantı noktası aralığına erişimini engellemek için aşağıdaki sözdizimini kullanın.
Not Windows XP'de sonraki işletim sistemlerinde, Ipseccmd.exe aracını kullanın. Windows 2000'de, Ipsecpol.exe (Windows 2000) aracını kullanın.
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK
Not Bu komutta "%IPSECTOOL%" veya "%PORT%" yazmayın. "%IPSECTOOL%" ve "%PORT%" ifadeleri, komutun özelleştirilmesi gereken kısımlarını gösterir. Örneğin, TCP 5001'e gelen tüm erişimleri engellemek için Windows 2000 ana bilgisayarlarında aşağıdaki komutu yazın:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
TCP 5001'e gelen tüm erişimleri engellemek için, Windows XP ana bilgisayarlarında ve Windows işletim sistemlerinin sonraki sürümlerini çalıştıran ana bilgisayarlarda aşağıdaki komutu yazın:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
Bu komutta listelenen bağlantı noktası numarasını değiştirerek, engellenmesi gereken her RPC bağlantı noktası için bu komutu yineleyin. Engellenmesi gereken bağlantı noktaları 5001-5021 aralığındadır.
Not Bağlantı noktası numarasını kural adında (-r anahtarı) ve filtrede (-f anahtarı) değiştirmeyi unutmayın.
İsteğe bağlı: Erişim gerekiyorsa, bazı alt ağlara RPC Uç Noktası Eşleştiricisi'ne erişim izni verme
Bazı alt ağlara sınırlanmış RPC bağlantı noktalarına erişim izni vermeniz gerekiyorsa, ilk olarak bu alt ağlara daha önce engellediğiniz RPC Uç Noktası Eşleştiricisi'ne erişim izni vermelisiniz. Belirli bir alt ağa RPC Uç Noktası Eşleştiricisi'ne erişim izni vermek için aşağıdaki komutu kullanın:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS
Not Bu komutta, aşağıdaki ifadeler geçerlidir:
-
"%IPSECTOOL%" kullanılacak komutu temsil eder. Bu, "ipsecpol.exe" veya "ipseccmd.exe" komutudur. Hangi komutun kullanılacağı, hangi işletim sistemini yapılandırdığınıza bağlıdır.
-
"%SUBNET%" ifadesi, erişim vermek istediğiniz uzak IP alt ağını (örneğin, 10.1.1.0) gösterir.
-
"%MASK%" ifadesi, kullanılacak alt ağ maskesini (örneğin, 255.255.255.0) gösterir.
Örneğin, aşağıdaki komut, 10.1.1.0/255.255.255.0 alt ağındaki tüm ana bilgisayarların TCP 135 bağlantı noktasına bağlanmalarına olanak verir. Tüm diğer ana bilgisayarların bağlantıları, bu bağlantı için daha önce oluşturulmuş olan varsayılan engelleme kuralı tarafından reddedilir.%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS
İsteğe bağlı: Erişim gerekiyorsa, bazı alt ağlara yeni RPC dinamik bağlantı noktası aralığına erişim izni verme
Daha önce RPC Uç Noktası Eşleştiricisi'ne erişim izni verilmiş her alt ağa, aynı zamanda yeni RPC dinamik bağlantı noktası aralığındaki (5001-5021) tüm bağlantı noktalarına erişim izni verilmelidir.
Alt ağların RPC Uç Noktası Eşleştiricisi'ne erişmelerine izin verip dinamik bağlantı noktası aralığını engellerseniz, uygulama yanıt vermeyebilir veya başka sorunlarla karşılaşabilirsiniz.
Aşağıdaki komut, belirli bir alt ağa yeni RPC dinamik bağlantı noktası aralığındaki bir bağlantı noktasına erişim izni verir:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS
Not Bu komutta, aşağıdaki ifadeler geçerlidir:
-
"%IPSECTOOL%" kullanılacak komutu temsil eder. Bu, "ipsecpol.exe" veya "ipseccmd.exe" komutudur. Hangi komutun kullanılacağı, hangi işletim sistemini yapılandırdığınıza bağlıdır.
-
"%PORT%" ifadesi, dinamik bağlantı noktası aralığındaki erişim verilecek bağlantı noktasını gösterir.
-
"%SUBNET%" ifadesi, erişim vermek istediğiniz uzak IP alt ağını (örneğin, 10.1.1.0) gösterir.
-
"%MASK%" ifadesi kullanılacak alt ağ maskesini (örneğin, 255.255.255.0) gösterir.
Örneğin, aşağıdaki komut, 10.1.1.0/255.255.255.0 alt ağındaki tüm ana bilgisayarların TCP 5001 bağlantı noktasına bağlanmalarına olanak verir. Tüm diğer ana bilgisayarların bağlantıları, bu bağlantı için daha önce oluşturulmuş olan varsayılan engelleme kuralı tarafından reddedilir.%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS
Not Bu komut, yeni RPC dinamik bağlantı noktası aralığındaki her alt ağ ve bağlantı noktası için yinelenmelidir.
IPsec ilkesini atama
Not Bu bölümdeki komutlar hemen etkinleşir.
Yapılandırılmış RPC bağlantı noktaları için tüm engelleme kurallarını ve tüm isteğe bağlı izin verme kurallarını oluşturduktan sonra, aşağıdaki komutu kullanarak ilkeyi atayın:
%IPSECTOOL% -w REG -p "Block RPC Ports" –x
Not İlke atamasını hemen kaldırmak için, aşağıdaki komutu kullanın:
%IPSECTOOL% -w REG -p "Block RPC Ports" –y
Not İlkeyi kayıt defterinden silmek için, aşağıdaki komutu kullanın:
%IPSECTOOL% -w REG -p "Block RPC Ports" -o
Değişikliklerin etkinleşmesi için ana bilgisayarı yeniden başlatmalısınız.
Notlar
-
RPC yapılandırma değişiklikleri yeniden başlatma gerektirir.
-
IPsec ilke değişiklikleri hemen etkinleşir ve yeniden başlatma gerektirmez.
İş istasyonu veya sunucu yeniden başlatıldıktan sonra, ncacn_ip_tcp protokol sırasını kullanan ve bağlanacak belirli bir TCP bağlantı noktası belirtmeyen her RPC arabirimine, RPC sunucusu açıldığında RPC çalışma zamanı tarafından bu aralık içinden bir bağlantı noktası ayrılır.
Not Sunucu 20'nin üzerinde TCP bağlantı noktası gerektirebilir. Bir TCP bağlantı noktasına bağlanmış RPC uç noktalarının sayısını saymak ve zorunlu kalındığında bu sayıyı artırmak için, rpcdump.exe komutunu kullanabilirsiniz. RPC Dökümü aracını edinme hakkında daha fazla bilgi için, aşağıdaki Microsoft Web sitesini ziyaret edin: