Conexión RPC filtrada sin firewalls

tag-icon tag-icon windows-7 firewall tcp windows-domain rpc
Conexión RPC filtrada sin firewalls

Tengo una estación de trabajo ( PC1) que no puede comunicarse con un controlador de dominio a través de RPC (TCP/135).

C:\PortQryV2> portqry.exe -n 192.168.1.1 -p tcp -o 135

Querying target system called:

 192.168.1.1

Attempting to resolve IP address to a name...

IP address resolved to dc.domain.local

querying...

TCP port 135 <epmap service>: FILTERED

Al ejecutar el mismo comando en otra estación de trabajo ( PC2) en la misma subred, se muestra VLAN LISTENINGjunto con todos los puntos finales RPC del servidor.

C:\>netsh int ipv4 show dynamicport tcp

Protocol tcp Dynamic Port Range
---------------------------------
Start Port      : 49152
Number of Ports : 16384

El rango de puertos dinámicos es el mismo tanto en como PC1en PC2.

Ambos PC1ejecutan PC2Windows 7 Enterprise SP1.

El software McAfee Host Intrusion Prevention (HIPS) solía estar instalado, PC1pero se eliminó durante el proceso de solución de problemas. Permanece instalado en PC2. Ambos PC1y PC2utilizaron la misma política HIPS.

El firewall de Windows está actualmente deshabilitado en PC1.

C:\>netsh advfirewall show allprofiles

Domain Profile Settings:
----------------------------------------------------------------------
State                                 OFF
Firewall Policy                       AllowInbound,AllowOutbound
LocalFirewallRules                    N/A (GPO-store only)
LocalConSecRules                      N/A (GPO-store only)
InboundUserNotification               Enable
RemoteManagement                      Disable
UnicastResponseToMulticast            Enable

Logging:
LogAllowedConnections                 Disable
LogDroppedConnections                 Disable
FileName                              %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize                           4096


Private Profile Settings:
----------------------------------------------------------------------
State                                 OFF
Firewall Policy                       AllowInbound,AllowOutbound
LocalFirewallRules                    N/A (GPO-store only)
LocalConSecRules                      N/A (GPO-store only)
InboundUserNotification               Enable
RemoteManagement                      Disable
UnicastResponseToMulticast            Enable

Logging:
LogAllowedConnections                 Disable
LogDroppedConnections                 Disable
FileName                              %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize                           4096


Public Profile Settings:
----------------------------------------------------------------------
State                                 OFF
Firewall Policy                       AllowInbound,AllowOutbound
LocalFirewallRules                    N/A (GPO-store only)
LocalConSecRules                      N/A (GPO-store only)
InboundUserNotification               Enable
RemoteManagement                      Disable
UnicastResponseToMulticast            Enable

Logging:
LogAllowedConnections                 Disable
LogDroppedConnections                 Disable
FileName                              %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize                           4096

Ok.

Capturé la conexión RPC portqry.exeusando Wireshark y descubrí que la TCP SYNDPU se envió, pero nunca ACKse recibió. El TCP SYN se envió dos veces más y se muestra en Wireshark como [TCP Retransmission]. Más tarde, capturé la misma comunicación RPC en el controlador de dominio usando Wireshark. Vi el mensaje entrante TCP SYNpero no vi SYN ACKrespuesta. Es como si el controlador de dominio ignorara arbitrariamente solo esta computadora en este puerto. Tenga en cuenta que consultar Kerberos (UDP/88) funciona bien desde PC1.

También intenté reconstruir la pila TCP/IP en PC1, sin éxito.

¿Alguna idea sobre qué podría estar impidiendo esta comunicación?

Respuesta1

Después de mucho solucionar problemas, pude determinar que había una regla de firewall de Windows habilitada que solo permitiría conexiones desde PC1más TCP/135y TCP/1027si la conexión es segura. EnFirewall de Windows con seguridad avanzada->Reglas de entrada, Entré en las propiedades de la regla sospechosa. En la pestaña General, en Acción,Permitir la conexión si es segurafue seleccionado. En la pantalla Personalizar,Permitir la conexión si está autenticada y protegida por su integridad.fue resaltado. La descripción de ese artículo es la siguiente:

Allow only connections that are both authenticated and integrity-protected 
by using IPsec.  Compatible with Windows Vista and later.

ingrese la descripción de la imagen aquí

De alguna manera esta regla se estableció mediante una política de grupo en el dominio. Lo más probable es que un administrador haya creado esta regla; sin embargo, es posible que el software utilizado PC1que requiere esta comunicación haya creado la regla si se instaló utilizando una cuenta de administrador de dominio.

información relacionada