آموزش محدود کردن پورتهای RPC و Certificate Enrollment در TMG
وقتی شما Certificateی را توسط Snap-in MMC درخواست دهید یا از Certificate AutoEnrollmetاستفاده کنید و بین شما و CA Server فایروالی وجود داشته باشد پروسه شما Fail می شود. (ما فرض می کنیم شما تنظیمات و مجوز لازم بر روی Certificate Tempateها را داشته باشید) چون CA Server از پروتکل DCOM برای ارتباط استفاده می کند و این پروتکل برای ارتباط از پورتها بصورت Random استفاده می کند.برای اینکه مشکل بالا را حل کنیم باید مراحل زیر را انجام دهیم:
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
- محدود کردن پورتهای مورد استفاده DCOM در CA Server.
- گذینه Enable strict RPC compliance را در TMG غیرفعال می کنیم.
- پورتهای Custom شده در CA Server را در TMG ایجاد می کنیم.
- و در آخر Rule ارتباطی کلاینتها با CA Server را ایجاد می کنیم.
محدود کردن پورتهای مورد استفاده DCOM در CA Server
برای اینکار کنسول زیر را اجرا کنید:
پورتی را بنویسید که توسط برنامه یا سرویسی مورداستفاده قرار نگرفته باشد. بعد از ok کردن سرویس CA Server را ریستارت کنید.
گزینه Enable strict RPC compliance را در TMG غیرفعال می کنیم
برای اینکار گذینه زیر را غیرفعال کنید:
Firewall Policy=> Edit System Policy=> Active Directory=> Enable strict RPC compliance.
نکته: اگر درخواستهای Certificate Enrollment به یک TMG بالا دستی ارسال می شود گذینه Enable strict RPC compliance را بر روی Rule ایجاد شده غیرفعال کنید:
RPC Filter and Enable strict RPC compliance
https://blogs.technet.microsoft.com/isablog/2007/05/16/rpc-filter-and-enable-strict-rpc-compliance/
پورتهای Custom شده در CA Server را در TMG ایجاد می کنیم
و در آخر Rule ارتباطی کلاینتها با CA Server را ایجاد می کنیم
ایجاد Access Rule در TMG را همه می دانند چگونه ایجاد می شود پس توضیح خاصی نمی دم.
در Rule بالا علاوه بر پورت 789 پورت 135 به نام RPC (all interfaces) را هم اضافه کردم. چرا باید اضافه کنم؟ وقتی سرویس RPC استارت می خورد یکی از پارمترهای خود به نام RPC endpoint mapper را نیز استارت می کند. RPC endpoint mapper از پورت 135 UDP/TCP استفاده می کند. وقتی که یک کلاینت بخواهد از سرویسی که از RPC استفاده میکند ارتباط برقرار کند نمی تواند تشخص دهد آن سرویس از چه پورتی استفاده می کند در چنین مواقعی کلاینت از RPC endpoint mapper استفاده می کند و آن را سمت سرور ارسال می کند و ارتباط را قطع می کند. در مرحله دوم سرور پورتهای که از آن استفاده می کند (پورتهای که در حالت Listener باشند) را سمت کلاینت ارسال می کند. که در مثال بالا CA Server پورت 789 را سمت کلاینت ارسال می کند. پس در نتیجه علاوه بر پورت 789 ما باید پورت 135 مربوط به RPC endpoint mapper را نیز اضافه کنیم.
Got it????
بعد از انجام مراحل بالا هر سرور یا کلاینتی که بین آن و CA Server فایروالی باشد می تواند لیست Certificate template را ببیند و بر روی خود اعمال کند.
چقدر خوبه یک فرد همه کاراش اصولی و با اطلاع کافی باشه...:)
منبع:
Certificate Enrollment Requires a Custom Protocol
http://www.isaserver.org/blogs/pouseele/isa-corner/certificate-enrollment-requires-a-custom-protocol-56.html