07 Апр, 2023

Мониторинг брандмауэра Microsoft в режиме реального времени (MS-FSRVP)

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

В MS-FSRVP протокол расшифровывается как Протокол мониторинга брандмауэра Microsoft Forefront Threat Management Gateway (TMG) в режиме реального времени. Это протокол, который позволяет брандмауэру Forefront TMG взаимодействовать со службой брандмауэра Forefront TMG в режиме реального времени, предоставляя возможности мониторинга и отчетности в режиме реального времени, чтобы помочь администраторам выявлять потенциальные угрозы безопасности и реагировать на них. Этот протокол используется для обеспечения безопасности сетей и данных путем мониторинга трафика и предоставления предупреждений при обнаружении подозрительной активности.

MS-FSRVP общие порты

Порт TCP 80 – Этот порт используется для HTTP-трафика и обычно используется для просмотра веб-страниц. Он используется службой брандмауэра Forefront TMG для взаимодействия с брандмауэром Forefront TMG.

Порт TCP 135 – Этот порт используется для протокола удаленного вызова процедур (RPC), который является методом связи между процессами в разных системах. Он используется службой брандмауэра Forefront TMG для взаимодействия с брандмауэром Forefront TMG.

Порт TCP 443 – Этот порт используется для трафика HTTPS и обычно используется для безопасного просмотра веб-страниц. Он используется службой брандмауэра Forefront TMG для взаимодействия с брандмауэром Forefront TMG.

Порт TCP 1745 – Этот порт используется для удаленного протокола Winsock, который позволяет программам взаимодействовать с сетевыми службами. Он используется службой брандмауэра Forefront TMG для взаимодействия с брандмауэром Forefront TMG.

Порт TCP 2869 – Этот порт используется для протокола Simple Service Discovery Protocol (SSDP), который позволяет устройствам обнаруживать друг друга в сети. Он используется службой брандмауэра Forefront TMG для взаимодействия с брандмауэром Forefront TMG.

Порт TCP 5357 – Этот порт используется для протокола Web Services for Devices (WSD), который позволяет устройствам взаимодействовать друг с другом по сети. Он используется службой брандмауэра Forefront TMG для взаимодействия с брандмауэром Forefront TMG.

Порт TCP 6004 – Этот порт используется для протокола удаленного вызова процедур (RPC) по протоколу HTTP, который представляет собой метод связи между процессами в разных системах по протоколу HTTP. Он используется службой брандмауэра Forefront TMG для взаимодействия с брандмауэром Forefront TMG.

Инструменты для использования протокола MS-FSRVP

Ручные Инструменты:

  1. Wireshark: Анализатор сетевых протоколов, который позволяет собирать и анализировать сетевой трафик для устранения неполадок и обнаружения аномалий.

  2. Fiddler: Прокси-инструмент веб-отладки, который фиксирует трафик HTTP и HTTPS, позволяя вам проверять и изменять входящие и исходящие данные.

  3. Netcat: Утилита командной строки, которую можно использовать в качестве сервера или клиента TCP / IP, позволяющая устанавливать сетевые подключения и отправлять / получать данные.

  4. Telnet: Протокол, используемый для удаленного доступа к компьютерам по сети, позволяющий тестировать подключение и связь с MS-FSRVP.

  5. Putty: Бесплатный эмулятор терминала с открытым исходным кодом, который позволяет устанавливать защищенные соединения shell (SSH) с удаленными серверами, включая MS-FSRVP.

  6. Nmap: Мощный инструмент исследования сети и аудита безопасности, который позволяет сканировать и сопоставлять сетевые узлы и службы.

  7. Tcpdump: Анализатор пакетов командной строки, который фиксирует и отображает сетевой трафик, позволяя устранять неполадки в сети и анализировать поведение протокола.

  8. OpenSSL: Надежный полнофункциональный инструментарий с открытым исходным кодом, который реализует протоколы SSL / TLS и позволяет тестировать шифрование и дешифрование соединений SSL / TLS.

  9. Metasploit: Мощная платформа тестирования на проникновение, которая может быть использована для проверки безопасности MS-FSRVP и других сетевых сервисов.

  10. Burp Suite: Инструмент тестирования безопасности веб-приложений, который позволяет перехватывать, анализировать и изменять HTTP / S-трафик между браузером и сервером.

Автоматизированные инструменты:

  1. Nessus: Сканер уязвимостей, который может выявлять недостатки безопасности в MS-FSRVP и других сетевых службах, предоставляя подробные отчеты и рекомендации по исправлению.

  2. OpenVAS: Сканер уязвимостей с открытым исходным кодом, который может обнаруживать уязвимости в системе безопасности MS-FSRVP и других сетевых службах.

  3. Nikto: Сканер веб-сервера, который может выявлять потенциальные уязвимости в системе безопасности MS-FSRVP и других веб-серверах.

  4. OWASP ZAP: Инструмент тестирования безопасности веб-приложений с открытым исходным кодом, который можно использовать для сканирования и тестирования MS-FSRVP и других веб-служб.

  5. Hydra: Инструмент для взлома паролей, который можно использовать для проверки надежности пользовательских паролей в MS-FSRVP и других сетевых службах.

  6. THC-Hydra: Параллельный взломщик входа в систему, который может использоваться для принудительной проверки подлинности учетных данных в MS-FSRVP и других сетевых службах.

  7. Wfuzz: Фаззер веб-приложений, который можно использовать для тестирования безопасности MS-FSRVP и других веб-служб путем фаззинга протокола HTTP.

  8. sqlmap: Мощный инструмент тестирования SQL-инъекций, который может обнаруживать и использовать уязвимости в MS-FSRVP и других веб-приложениях.

  9. Selenium: Инструмент тестирования веб-приложений с открытым исходным кодом, который может автоматизировать действия браузера и выполнять функциональное и регрессионное тестирование MS-FSRVP и других веб-приложений.

  10. Robot Framework: Платформа автоматизации тестирования с открытым исходным кодом, которая поддерживает тестирование на основе ключевых слов и может использоваться для автоматизации функционального и приемочного тестирования MS-FSRVP и других приложений.

Плагины для браузера:

  1. Wappalyzer: Расширение для браузера, которое может идентифицировать технологии, используемые веб-сайтом, включая веб-серверы, системы управления контентом и языки программирования.

  2. Web Developer: Расширение для браузера, предоставляющее широкий спектр инструментов для веб-разработчиков, включая проверку HTML / CSS / JS, анализ производительности,

Полезная информация

– MS-FSRVP - это протокол Microsoft, который был представлен с Windows Server 2008.

– MS-FSRVP позволяет приложениям резервного копирования создавать теневые копии удаленных общих файловых ресурсов на файловых серверах и управлять ими.

– Протокол использует удаленный вызов процедуры (RPC) и построен поверх протокола распределенной компонентной объектной модели (DCOM).

– MS-FSRVP поддерживает как синхронные, так и асинхронные операции резервного копирования.

– Протокол позволяет приложениям резервного копирования выполнять детальное резервное копирование определенных файлов и папок в общей файловой системе.

– MS-FSRVP предоставляет средства для координации создания теневых копий удаленных общих файловых ресурсов между приложением резервного копирования и файловым сервером.

– Протокол поддерживает инкрементное резервное копирование, позволяя приложениям резервного копирования создавать резервные копии только тех файлов, которые изменились с момента последнего резервного копирования.

– MS-FSRVP предоставляет приложениям резервного копирования механизм запроса файлового сервера для определения доступности теневых копий для определенного общего файлового ресурса.

– Протокол также поддерживает операции восстановления, позволяя приложениям резервного копирования восстанавливать файлы и папки из теневых копий удаленных файловых ресурсов.

– MS-FSRVP обычно используется в сочетании с другими технологиями резервного копирования и восстановления, такими как служба теневого копирования томов (VSS) и целевой программный продукт Microsoft iSCSI.

Известные баннеры

RPC Endpoint Mapper listening on port 135. RpcSs ServicePrincipalName: HOST/{hostname} UUID: a8e0653c-2744-4389-a61d-7373df8b2292, Protocol: ncacn_np, Endpoint: \pipe\FssagentRpc: Этот баннер указывает, что RPC Endpoint Mapper прослушивает порт 135 и что протокол MS-FSRVP доступен в системе.

RPC Endpoint Mapper listening on port 135. RpcSs ServicePrincipalName: HOST/{hostname} UUID: a8e0653c-2744-4389-a61d-7373df8b2292, Protocol: ncacn_ip_tcp, Endpoint: {ip_address}:49152: Этот баннер указывает, что протокол MS-FSRVP доступен в системе и доступен по протоколу TCP/ IP через порт 49152.

RPC Endpoint Mapper listening on port 135. RpcSs ServicePrincipalName: HOST/{hostname} UUID: a8e0653c-2744-4389-a61d-7373df8b2292, Protocol: ncacn_np, Endpoint: \pipe\FssAgentControl: Этот баннер указывает, что протокол MS-FSRVP доступен в системе и что конечная точка FssAgentControl доступна для управления сервисом.

RPC Endpoint Mapper listening on port 135. RpcSs ServicePrincipalName: HOST/{hostname} UUID: a8e0653c-2744-4389-a61d-7373df8b2292, Protocol: ncacn_ip_tcp, Endpoint: {ip_address}:49154: Этот баннер указывает, что протокол MS-FSRVP доступен в системе и доступен по протоколу TCP/ IP через порт 49154.

Книги для учебы MS-FSRVP

“Внутренние компоненты Windows, часть 2: охват Windows Server 2008 R2 и Windows 7” авторы: Марк Руссинович, Дэвид Соломон и Алекс Ионеску. В этой книге подробно рассматривается внутренняя работа Windows, включая MS-FSRVP и другие протоколы, связанные с файловой системой.

“Windows Server 2012 наизнанку” Уильям Р. Станек. В этой книге рассматриваются все аспекты Windows Server 2012, включая MS-FSRVP и другие темы, связанные с файловым сервером.

“Библия Windows Server 2016” Джеффри Р. Шапиро, Джим Бойс и Джон Маккейб. В этой книге содержится исчерпывающий обзор Windows Server 2016, включая MS-FSRVP и другие темы, связанные с файловым сервером.

“Освоение Windows Server 2016” автор: Джордан Краузе. В этой книге рассматриваются расширенные темы, связанные с Windows Server 2016, включая MS-FSRVP и другие протоколы, связанные с файловым сервером.

“Windows Server 2019 наизнанку” автор: Орин Томас. В этой книге представлен подробный обзор Windows Server 2019, включая описание MS-FSRVP и других протоколов, связанных с файловым сервером.

Список полезной нагрузки для MS-FSRVP

  • CREATE_SHADOW_COPY_REQUEST – Эта полезная нагрузка используется для запроса создания теневой копии общего файлового ресурса на удаленном файловом сервере.

  • ADD_VOLUME_TO_SHADOW_COPY_SET_REQUEST – Эта полезная нагрузка используется для добавления тома в набор теневых копий.

  • REMOVE_VOLUME_FROM_SHADOW_COPY_SET_REQUEST – Эта полезная нагрузка используется для удаления тома из набора теневых копий.

  • QUERY_SHADOW_COPY_SET_REQUEST – Эта полезная нагрузка используется для запроса статуса набора теневых копий.

  • EXPOSE_SHADOW_COPY_REQUEST – Эта полезная нагрузка используется для предоставления теневой копии в качестве общего файлового ресурса, доступного только для чтения.

  • RETRIEVE_VERSIONS_REQUEST – Эта полезная нагрузка используется для извлечения предыдущих версий файлов из теневой копии.

  • DELETE_SHADOW_COPY_REQUEST – Эта полезная нагрузка используется для удаления теневой копии.

Смягчение последствий

  1. Ограничьте доступ к функции мониторинга в режиме реального времени службы брандмауэра Microsoft только тем пользователям, которым это необходимо. Это можно сделать с помощью списков управления доступом (ACL) или групповых политик для ограничения доступа к функции.

  2. Просматривайте журналы, созданные функцией мониторинга в режиме реального времени службы брандмауэра Microsoft, на предмет любых необычных действий или схем трафика, которые могут указывать на потенциальное нарушение безопасности. Это может быть сделано с помощью инструментов управления информацией о безопасности и событиями (SIEM).

  3. Убедитесь, что все программное обеспечение, связанное с функцией мониторинга в режиме реального времени службы брандмауэра Microsoft, обновлено последними исправлениями безопасности. Это включает в себя как операционную систему, так и любые приложения, использующие эту функцию.

  4. Для защиты конфиденциальных данных, передаваемых по сети, рассмотрите возможность использования шифрования, чтобы гарантировать, что данные не будут перехвачены или изменены при передаче.

  5. Используйте надежные методы аутентификации, такие как Kerberos или SSL / TLS, чтобы гарантировать, что только авторизованные пользователи могут получить доступ к функции мониторинга брандмауэра Microsoft в режиме реального времени.

  6. Отключите все функции мониторинга брандмауэра Microsoft в режиме реального времени, которые не нужны для уменьшения поверхности атаки.

Заключение

MS-FSRVP это протокол, используемый для операций резервного копирования и восстановления в общих файловых ресурсах Windows. Это важный компонент системы общего доступа к файлам Windows, который позволяет администраторам выполнять резервное копирование и восстановление файлов и каталогов на удаленных файловых серверах с использованием стандартных средств резервного копирования. Хотя MS-FSRVP является законным протоколом, важно использовать его только по назначению и соблюдать этические и юридические нормы при его использовании. Понимая роль MS-FSRVP в файловой системе Windows, администраторы и специалисты по безопасности могут обеспечить безопасность и целостность своих операций обмена файлами.

Другие Услуги

Готовы к безопасности?

Связаться с нами