Innehållsförteckning:
Video: A Simple Test Will Reveal Your Deepest Fear 2024
Som en del av din etiska hacking kan du testa dina brandväggsregler för att se till att de fungerar som de ska. Brott i brandväggar kan enkelt kompromissa med dina bästa insatser för säkerhet. Några test kan verifiera att din brandvägg faktiskt gör vad den säger att den gör. Du kan ansluta via brandväggen på de portar som är öppna, men hur är portarna som kan vara öppna men inte borde vara?
Netcat
Netcat kan testa vissa brandväggsregler utan att behöva testa ett produktionssystem direkt. Du kan till exempel kontrollera om brandväggen tillåter port 23 (telnet) genom. Följ dessa steg för att se om en anslutning kan göras via port 23:
-
Ladda Netcat på en klientmaskin inuti nätverket.
Här ställs in utgående anslutning.
-
Ladda Netcat på en testdatorn utanför brandväggen.
Här kan du testa från utsidan i.
-
Skriv in Netcat-lyssnarens kommando på klientens (interna) maskin med portnummeret du testar.
Om du testa port 23 anger du det här kommandot:
nc -l -p 23 cmd. exe
-
Skriv in Netcat-kommandot för att initiera en inkommande session på testmaskinen (extern). Du måste inkludera följande information:
-
IP-adressen på den interna maskinen som du testar
-
Portnumret du testar
Till exempel om IP-adressen för den interna (klient) maskinen är 10. 11. 12. 2 och porten är 23, skriv detta kommando:
-
nc -v 10. 11. 12. 2 23
Om Netcat presenterar dig med en ny kommandotolk (det är vad cmd.exe är för i steg 3) på den externa maskinen har du anslutit och kan utföra kommandon på den interna maskinen! Detta kan tjäna flera ändamål, inklusive testning av brandväggsregler, nätverksadressöversättning (NAT), port vidarebefordran och - ja, uhhhmmm - exekvering av kommandon på ett fjärrsystem!
AlgoSec Firewall Analyzer
Ett kommersiellt verktyg med bra resultat är AlgoSecs brandväggsanalysator.
AlgoSec Firewall Analyzer och liknande som Athena Firewall Grader, kan du göra en djupgående analys av brandväggsregelbaser från alla större leverantörer och hitta säkerhetsfel och ineffektivitet som du aldrig skulle kunna upptäcka.
Brandväggsregelbasanalys är mycket liknande programkodkodsanalys - den finner brister i den källa som människor sannolikt aldrig kommer att se även när de utför djupgående etiska hacktest från Internet och det interna nätverket. Om du aldrig har utfört en brandväggsregelbasanalys är det ett måste!
Åtgärder mot brandväggsregelbaserade sårbarheter
Följande motåtgärder kan förhindra att hackare testar din brandvägg:
-
Utför en brandväggsregelbasrevision. Du kan inte säkra det du inte erkänner. Det finns inget bättre exempel på detta än dina brandväggsregelbaser. Oavsett hur seemingly enkel din regelbas är, gör det aldrig ont för att verifiera ditt arbete med hjälp av ett automatiskt verktyg.
-
Begränsa trafiken till vad som behövs.
Ställ in regler på din brandvägg (och router, om det behövs) som bara skickar trafik som absolut måste passera. Till exempel har regler som tillåter HTTP inkommande trafik till en intern webbserver, inkommande SMTP-inkommande trafik till en e-postserver och HTTP utgående trafik för extern webbåtkomst.
Detta är det bästa försvaret mot någon som poking i din brandvägg.
-
Blockera ICMP för att hindra en extern angripare från att poking och prodding ditt nätverk för att se vilka värdar som lever.
-
Aktivera statlig paketinspektion på brandväggen för att blockera oönskade förfrågningar.