07 Кві, 2023

Моніторинг брандмауера Microsoft в режимі реального часу (MS-FSRVP)

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

В MS-FSRVP протокол розшифровується як Протокол моніторингу брандмауера Microsoft Forefront Threat Management Gateway (TMG) в режимі реального часу. Це протокол, який дозволяє брандмауера Forefront TMG взаємодіяти зі службою брандмауера Forefront TMG в режимі реального часу, надаючи можливості моніторингу і звітності у режимі реального часу, щоб допомогти адміністраторам виявляти потенційні загрози безпеки і реагувати на них. Цей протокол використовується для забезпечення безпеки мереж і даних шляхом моніторингу трафіку і надання попереджень при виявленні підозрілої активності.

MS-FSRVP загальні порти

Порт TCP 80 – Цей порт використовується для HTTP-трафіку і зазвичай використовується для перегляду веб-сторінок. Він використовується службою брандмауера Forefront TMG для взаємодії з брандмауером Forefront TMG.

Порт TCP 135 – Цей порт використовується для протоколу віддаленого виклику процедур (RPC), який є методом зв'язку між процесами в різних системах. Він використовується службою брандмауера Forefront TMG для взаємодії з брандмауером Forefront TMG.

Порт TCP 443 – Цей порт використовується для трафіку HTTPS і зазвичай використовується для безпечного перегляду веб-сторінок. Він використовується службою брандмауера Forefront TMG для взаємодії з брандмауером Forefront TMG.

Порт TCP 1745 – Цей порт використовується для віддаленого протоколу Winsock, який дозволяє програмам взаємодіяти з мережевими службами. Він використовується службою брандмауера Forefront TMG для взаємодії з брандмауером Forefront TMG.

Порт TCP 2869 – Цей порт використовується для протоколу Simple Service Discovery Protocol (SSDP), яка дозволяє пристроям виявляти один одного в мережі. Він використовується службою брандмауера Forefront TMG для взаємодії з брандмауером Forefront TMG.

Порт TCP 5357 – Цей порт використовується для протоколу Web Services for Devices (WSD), яка дозволяє пристроям взаємодіяти один з одним по мережі. Він використовується службою брандмауера Forefront TMG для взаємодії з брандмауером Forefront TMG.

Порт TCP 6004 – Цей порт використовується для протоколу віддаленого виклику процедур (RPC) по протоколу HTTP, який являє собою метод зв'язку між процесами в різних системах по протоколу HTTP. Він використовується службою брандмауера Forefront TMG для взаємодії з брандмауером Forefront TMG.

Інструменти для використання протоколу MS-FSRVP

Ручні Інструменти:

  1. Wireshark: Аналізатор мережевих протоколів, який дозволяє збирати і аналізувати мережевий трафік для усунення неполадок і виявлення аномалій.

  2. Fiddler: Проксі-інструмент веб-налагодження, який фіксує трафік HTTP і HTTPS, дозволяючи вам перевіряти і змінювати вхідні і вихідні дані.

  3. Netcat: Утиліта командного рядка, яку можна використовувати в якості сервера або клієнта TCP / IP, що дозволяє встановлювати мережеві підключення і відправляти / отримувати дані.

  4. Telnet: Протокол, що використовується для віддаленого доступу до комп'ютерів по мережі, що дозволяє тестувати підключення і зв'язок з MS-FSRVP.

  5. Putty: Безкоштовний емулятор терміналу з відкритим вихідним кодом, який дозволяє встановлювати захищені з'єднання shell (SSH) з віддаленими серверами, включаючи MS-FSRVP.

  6. Nmap: Потужний інструмент дослідження мережі та аудиту безпеки, який дозволяє сканувати і зіставляти мережеві вузли і служби.

  7. Tcpdump: Аналізатор пакетів командного рядка, який фіксує і відображає мережевий трафік, дозволяючи усувати неполадки в мережі і аналізувати поведінку протоколу.

  8. OpenSSL: Надійний повнофункціональний інструментарій з відкритим вихідним кодом, яка реалізує протоколи SSL / TLS і дозволяє тестувати шифрування і дешифрування з'єднань SSL / TLS.

  9. Metasploit: Потужна платформа тестування на проникнення, яка може бути використана для перевірки безпеки MS-FSRVP і інших мережевих сервісів.

  10. Burp Suite: Інструмент тестування безпеки веб-додатків, який дозволяє перехоплювати, аналізувати і змінювати HTTP / S-трафік між браузером і сервером.

Автоматизовані інструменти:

  1. Nessus: Сканер вразливостей, який може виявляти недоліки безпеки в MS-FSRVP і інших мережевих службах, надаючи детальні звіти і рекомендації по виправленню.

  2. OpenVAS: Сканер вразливостей з відкритим вихідним кодом, який може виявляти уразливості в системі безпеки MS-FSRVP і інших мережевих службах.

  3. Nikto: Сканер веб-сервера, який може виявляти потенційні уразливості в системі безпеки MS-FSRVP та інших веб-серверах.

  4. OWASP ZAP: Інструмент тестування безпеки веб-додатків з відкритим вихідним кодом, який можна використовувати для сканування і тестування MS-FSRVP та інших веб-служб.

  5. Hydra: Інструмент для злому паролів, який можна використовувати для перевірки надійності користувальницьких паролів в MS-FSRVP і інших мережевих службах.

  6. THC-Hydra: Паралельний зломщик входу в систему, який може використовуватися для примусової перевірки достовірності облікових даних в MS-FSRVP і інших мережевих службах.

  7. Wfuzz: Фаззер веб-додатків, який можна використовувати для тестування безпеки MS-FSRVP та інших веб-служб шляхом фаззинга протоколу HTTP.

  8. sqlmap: Потужний інструмент тестування SQL-ін'єкцій, який може виявляти і використовувати уразливість в MS-FSRVP та інших веб-додатках.

  9. Selenium: Інструмент тестування веб-додатків з відкритим вихідним кодом, який може автоматизувати дії браузера і виконувати функціональне і регрессионное тестування MS-FSRVP та інших веб-додатків.

  10. Каркас робота: Платформа для автоматизації тестування з відкритим вихідним кодом, яка підтримує тестування на основі ключових слів і може використовуватися для автоматизації функціонального і приймального тестування MS-FSRVP і інших додатків.

Плагіни для браузера:

  1. Wappalyzer: Розширення для браузера, яке може ідентифікувати технології, використовувані веб-сайтом, включаючи веб-сервери, системи управління контентом і мови програмування.

  2. Web Developer: Розширення для браузера, яке надає широкий спектр інструментів для веб-розробників, включаючи перевірку HTML / CSS / JS, аналіз продуктивності,

Корисна інформація

– MS-FSRVP - це протокол Microsoft, який був представлений з Windows Server 2008.

– MS-FSRVP дозволяє додаткам резервного копіювання створювати точні копії віддалених загальних файлових ресурсів на файлових серверах і керувати ними.

– Протокол використовують віддалений виклик процедури (RPC) і побудований поверх протоколу розподіленої компонентної об'єктної моделі (DCOM).

– MS-FSRVP підтримує як синхронні, так і асинхронні операції резервного копіювання.

– Протокол дозволяє додаткам резервного копіювання виконувати детальне резервне копіювання окремих файлів і папок у загальній файловій системі.

– MS-FSRVP надає засоби для координації створення тіньових копій віддалених загальних файлових ресурсів між додатком резервного копіювання і файловим сервером.

– Протокол підтримує інкрементне резервне копіювання, дозволяючи додаткам резервного копіювання створювати резервні копії тільки тих файлів, які змінилися з моменту останнього резервного копіювання.

– MS-FSRVP надає додаткам резервного копіювання механізм запиту файлового сервера для визначення доступності тіньових копій для певного загального файлового ресурсу.

– Протокол також підтримує операції відновлення, дозволяючи додаткам резервного копіювання відновлювати файли і папки з тіньових копій віддалених файлових ресурсів.

– MS-FSRVP зазвичай використовується у поєднанні з іншими технологіями резервного копіювання і відновлення, такими як служба тіньового копіювання томів (VSS) і цільовий програмний продукт Microsoft iSCSI.

Відомі банери

RPC Endpoint Mapper listening on port 135. RpcSs ServicePrincipalName: HOST/{hostname} UUID: a8e0653c-2744-4389-a61d-7373df8b2292, Protocol: ncacn_np, Endpoint: \pipe\FssagentRpc: Цей банер вказує, що RPC Endpoint Mapper прослуховує порт 135 і що протокол MS-FSRVP доступний в системі.

RPC Endpoint Mapper listening on port 135. RpcSs ServicePrincipalName: HOST/{hostname} UUID: a8e0653c-2744-4389-a61d-7373df8b2292, Protocol: ncacn_ip_tcp, Endpoint: {ip_address}:49152: Цей банер вказує, що протокол MS-FSRVP доступний в системі і доступний за протоколом TCP/ IP через порт 49152.

RPC Endpoint Mapper listening on port 135. RpcSs ServicePrincipalName: HOST/{hostname} UUID: a8e0653c-2744-4389-a61d-7373df8b2292, Protocol: ncacn_np, Endpoint: \pipe\FssAgentControl: Цей банер вказує, що протокол MS-FSRVP доступний в системі і що кінцева точка FssAgentControl доступна для управління сервісом.

RPC Endpoint Mapper listening on port 135. RpcSs ServicePrincipalName: HOST/{hostname} UUID: a8e0653c-2744-4389-a61d-7373df8b2292, Protocol: ncacn_ip_tcp, Endpoint: {ip_address}:49154: Цей банер вказує, що протокол MS-FSRVP доступний в системі і доступний за протоколом TCP/ IP через порт 49154.

Книги для навчання MS-FSRVP

"Внутрішні компоненти Windows, частина 2: охоплення Windows Server 2008 R2 та Windows 7" автори: Марк Руссинович, Девід Соломон і Алекс Іонеску. У цій книзі докладно розглядається внутрішня робота Windows, включаючи MS-FSRVP і інші протоколи, пов'язані з файловою системою.

"Windows Server 2012 навиворіт" Вільям Р. Станек. У цій книзі розглядаються всі аспекти Windows Server 2012, включаючи MS-FSRVP та інші теми, пов'язані з файловим сервером.

"Біблія Windows Server 2016" Джеффрі Р. Шапіро, Джим Бойс і Джон Маккейб. У цій книзі міститься вичерпний огляд Windows Server 2016, включаючи MS-FSRVP та інші теми, пов'язані з файловим сервером.

"Освоєння Windows Server 2016" автор: Джордан Краузе. У цій книзі розглядаються розширені теми, пов'язані з Windows Server 2016, включаючи MS-FSRVP і інші протоколи, пов'язані з файловим сервером.

"Windows Server 2019 навиворіт" автор: Орін Томас. У цій книзі представлений детальний огляд Windows Server 2019, включаючи опис MS-FSRVP і інших протоколів, пов'язаних з файловим сервером.

Список корисного навантаження для MS-FSRVP

  • CREATE_SHADOW_COPY_REQUEST – Ця корисна навантаження використовується для запиту тіньової копії загального файлового ресурсу на віддаленому файловому сервері.

  • ADD_VOLUME_TO_SHADOW_COPY_SET_REQUEST – Ця корисна навантаження використовується для додавання тома в набір тіньових копій.

  • REMOVE_VOLUME_FROM_SHADOW_COPY_SET_REQUEST – Ця корисна навантаження використовується для видалення тома з набору тіньових копій.

  • QUERY_SHADOW_COPY_SET_REQUEST – Ця корисна навантаження використовується для запиту статусу набору тіньових копій.

  • EXPOSE_SHADOW_COPY_REQUEST – Ця корисна навантаження використовується для надання тіньової копії в якості загального файлового ресурсу, доступного тільки для читання.

  • RETRIEVE_VERSIONS_REQUEST – Ця корисна навантаження використовується для вилучення попередніх версій файлів з тіньової копії.

  • DELETE_SHADOW_COPY_REQUEST – Ця корисна навантаження використовується для видалення тіньової копії.

Пом'якшення наслідків

  1. Обмежте доступ до функції моніторингу в режимі реального часу служби брандмауера Microsoft тільки тим користувачам, яким це необхідно. Це можна зробити за допомогою списків управління доступом (ACL) або групових політик для обмеження доступу до функції.

  2. Переглядайте журнали, створені функцією моніторингу в режимі реального часу служби брандмауера Microsoft, на предмет будь-яких незвичайних дій або схем трафіку, які можуть вказувати на потенційне порушення безпеки. Це може бути зроблено за допомогою інструментів управління інформацією про безпечність та подіями (SIEM).

  3. Переконайтеся, що все програмне забезпечення, пов'язане з функцією моніторингу в режимі реального часу служби брандмауера Microsoft, оновлено останніми виправленнями безпеки. Це включає в себе як операційну систему, так і будь-які додатки, що використовують цю функцію.

  4. Для захисту конфіденційних даних, переданих по мережі, розгляньте можливість використання шифрування, щоб гарантувати, що дані не будуть перехоплені або змінені при передачі.

  5. Використовуйте надійні методи аутентификації, такі як Kerberos або SSL / TLS, щоб гарантувати, що тільки авторизовані користувачі можуть отримати доступ до функції моніторингу брандмауера Microsoft в режимі реального часу.

  6. Відключіть всі функції моніторингу брандмауера Microsoft в режимі реального часу, які не потрібні для зменшення поверхні атаки.

Висновок

MS-FSRVP це протокол, який використовується для операцій резервного копіювання і відновлення в загальних файлових ресурси Windows. Це важливий компонент системи загального доступу до файлів Windows, який дозволяє адміністраторам виконувати резервне копіювання і відновлення файлів і каталогів на віддалених файлових серверах з використанням стандартних засобів резервного копіювання. Хоча MS-FSRVP є законним протоколом, важливо використовувати його тільки за призначенням та дотримуватися етичні та юридичні норми при його використанні. Розуміючи роль MS-FSRVP у файловій системі Windows, адміністраторів і фахівців з безпеки можуть забезпечити безпеку і цілісність своїх операцій обміну файлами.

Інші Послуги

Готові до безпеки?

зв'язатися з нами