Protégez vos systèmes Windows avec RPCFirewall : Tutoriel complet

Présentation

Cet article présente la solution open source RPCFirewall de la société ZeroNetworks. Il s’agit d’un pare-feu conçu pour filtrer les appels RPC sur les systèmes d’exploitation Windows.

Le protocole RPC et ses risques

Rappel sur le protocole RPC

Bien que les administrateurs système ne l’utilisent pas directement, le protocole RPC (Remote Procedure Call) est omniprésent dans les environnements Windows, en particulier au sein des domaines Active Directory. Créé dans les années 1980, RPC permet à un client d’exécuter des fonctions sur un serveur distant comme s’il s’agissait d’appels locaux, facilitant ainsi les communications entre applications distribuées.

RPC ne doit pas être comparé directement à des protocoles comme HTTP ou FTP, car il opère au niveau 5 (Session) du modèle OSI et est conçu pour orchestrer des échanges complexes entre services plutôt que pour transférer des données ou gérer des connexions réseau. Sa fonction principale est de permettre à un processus de rendre accessibles ses fonctionnalités à d’autres processus, même s’ils sont distants. L’implémentation la plus répandue de RPC dans les systèmes Windows est DCE/RPC (Distributed Computing Environment/Remote Procedure Call), qui est au cœur de nombreuses fonctionnalités critiques du système, comme la gestion des services réseau, l’authentification et la gestion des permissions.

RPC en environnement Windows : quels risques ?

En dépit de ses avantages, cette complexité et sa capacité à interagir avec des systèmes distants en font une cible privilégiée pour les cyberattaques. Les attaquants peuvent exploiter RPC pour effectuer des mouvements latéraux, exécuter du code à distance, ou accéder à des informations sensibles sans déclencher d’alertes immédiates.

La fonction “valise” de RPC au sein d’un domaine est aussi sa principale faiblesse. Contrairement à des protocoles “classiques”, où il est possible d’utiliser un pare-feu local ou réseau pour bloquer l’accès, RPC expose des services critiques sans possibilité de filtrage direct des accès, laissant toutes les interfaces offertes par les serveurs vulnérables aux tentatives de compromission.

Reprendre le contrôle avec RPCFirewall

Qu’est-ce que RPCFirewall ?

RPCFirewall est un outil qui permet d’avoir un contrôle fin et granulaire sur les interfaces exposées par un service RPC. Il permet notamment d’appliquer une décision d’autorisation ou de blocage en fonction de différents critères comme l’utilisateur ou l’adresse IP cliente effectuant l’appel RPC.

Installation de RPCFirewall

Nous allons voir comment installer RPCFirewall sur une machine Windows Server. Une fois l’archive ZIP de la dernière version à jour décompressée sur le serveur cible, ouvrez un terminal en tant qu’administrateur puis rendez-vous dans le répertoire RPCFW_.

Auditer et journaliser les appels RPC avec RPCFirewall

Notre service tourne à merveille, mais nous ne l’avons pas configuré pour bloquer quoi que ce soit. Nous allons à présent nous attarder sur le fichier de configuration de RPCFirewall : RpcFw.conf. Par défaut, ce fichier contient la configuration suivante : fw:action:allow audit:true.

Configurer un filtrage des appels RPC avec RPCFirewall

Nous allons à présent apprendre à configurer RPCFirewall pour effectuer un blocage sélectif des appels RPC en fonction de différents critères tels que l’IP source du client. La construction d’une configuration complète et efficace nécessite beaucoup de travail, car elle doit forcément être construite en fonction de vos contraintes et vos besoins de sécurité.

Conclusion

Nous avons dans cet article commencé par faire un rappel de ce qu’est RPC au sein d’un environnement Windows et quels sont les risques associés à ce protocole. Nous avons vu comment RPCFirewall pouvait être installé et utilisé pour se protéger de ces risques. Il s’agit d’une solution intéressante qui permet de pallier certains manques des fonctions natives des systèmes Windows.

Source : www.it-connect.fr