如果您在位于 DMZ 的 Web 服务器上安装 wireshark,是否有一种黑客程序可用于获取该服务器的后门入口,即使 RDP 已禁用?我试图监控 DMZ Web 服务器上的线路,但 DMZ 团队表示,这会打开后门黑客程序,但没有提供太多详细信息
答案1
适当的 DMZ 除了管理主机与互联网/内部网络之间的访问之外,还将 DMZ 上的主机彼此隔离。DMZ 环境提供了一个单一的瓶颈来实施安全和访问策略,并提供了一个单一的点来监控进出 DMZ 和 DMZ 内的流量。
DMZ 不仅仅是一个可以访问互联网和内部网络的网络。这被称为安全风险和规划不善。
任何从不受控制的来源获取数据的应用程序都存在潜在的缓冲区溢出和安全风险,尤其是当应用程序以 root/超级用户权限运行时。wireshark 如此,sendmail 如此,IIS 如此,任何事物。
据我所知,wireshark 中没有任何“RDP 后门”。
我的观点是“如果它确实打开了后门那又怎样?”
适当的 DMZ 应该
- 防止受感染系统以预定义方式以外的方式与任何其他设备交互(DNS 到 DNS 服务器、ftp 到 FTP 服务器、http 到 http 服务器,但不能通过 ssh 到任何东西、不能通过 rdp 到任何东西,等等)
- 确定正在尝试进行不当流量(我刚刚收到警报,SQL 服务器正在从 FTP 服务器获取 RDP / VNC 流量!)
- 便于企业中的其他人使用。如果 DMZ 能够正确实施安全措施,那么将“危险”的东西放在那里比放在企业网络中更安全。DMZ 团队更愿意在企业网络中还是在 DMZ 中留后门?答案应该是“DMZ,因为我们监控并限制进入以及“非军事区”(DMZ)
答案2
我并不完全同意上述对 DMZ 的描述。负责运营 DMZ 的安全专家的职责描述中可能包含“偏执狂”,而 DMZ 是一个“生产”空间,因此请从他们的角度来看待这个问题。
上述许多漏洞都是由于数据包解析器存在缺陷而导致的,而数据包解析器仅在跟踪的交互式渲染过程中使用。这种交互式访问不需要数据包捕获所需的相同提升权限。
既然您似乎需要它来分析来自 Web 服务器的本地数据包捕获,为什么不将这些功能分开呢?在一台主机上运行数据包捕获,并在检索跟踪文件后从另一个更受限制的非生产段进行分析(使解析器保持最新等)。
看
Wireshark 安全性:http://wiki.wireshark.org/Security
有关捕获权限的平台特定信息:http://wiki.wireshark.org/CaptureSetup/CapturePrivileges
并实施其中描述的实践。
答案3
Wireshark 不提供任何网络服务,也不会在其运行的系统上打开任何端口,因此这毫无意义。将其安装在系统上本身不会造成任何安全威胁。
这里唯一的潜在风险是,如果有人设法控制该服务器,他可以使用 Wireshark 检查 DMZ 中的网络流量。但是,如果有人完全控制了您的服务器,他也可以在上面安装任何他想要的程序……因此,如果他愿意,不安装它并不会阻止他安装它。
我确实看不出在服务器上安装它会有什么问题。
答案4
首先,我认为安装在 DMZ 中的任何机器上的任何无关的东西都存在潜在的安全风险。我的原则是,DMZ 中的任何事物都是目标,放置在那里是为了通过隔离尽量降低风险。这种机器应该被视为可能受到攻击。
尽管有上述情况,但 Wireshark可以虽然可能用于监视 DMZ 中的流量,但实际情况是,要使用它,机器必须已经是组合式的,这意味着犯罪者如果愿意,可以很容易地自己安装它。通过已经安装它,您可能至少可以为他们节省几秒钟的时间。