如果在坐在DMZ中的Web服务器上安装wireshark,那么即使在RDP被拒绝的情况下,是否还存在可以用来获取后门服务的攻击? 我试图监视DMZnetworking服务器上的线路,但是从DMZ小组得到了回击,它打开了一个没有太多细节的后门黑客攻击
除了pipe理主机和互联网/内部networking之间的访问之外,合适的DMZ将隔离DMZ上的主机。 DMZ环境提供单一的阻塞点来执行安全和访问策略,并提供一个单一的点来监视进出DMZ的stream量。
DMZ不仅仅是一个可以访问互联网和内部networking的networking。 这就是所谓的安全风险和不良计划。
任何正在从非受控源获取数据的应用程序都有潜在的缓冲区溢出和安全风险,特别是当应用程序以root /超级用户权限运行时。 这对于wireshark来说是真实的,对sendmail,IIS来说,这是真的。
据我所知,在wireshark中没有任何“RDP后门”。
我的观点是“如果它打开了一个后门呢?”
一个适当的DMZ应该
我并不完全同意上述的DMZ描述。 操作DMZ的安全专业人员在他们的职位描述中可能有“偏执狂”,DMZ是“生产”空间,所以从他们的angular度来看。
引用的许多漏洞是由于数据包parsing器中的缺陷造成的,这些漏洞只在交互式渲染痕迹时使用。 这种交互式访问不需要数据包捕获所需的相同的提升权限。
因为你似乎需要从Web服务器分析本地数据包捕获,为什么不分离function? 在一个主机上运行数据包捕获,并在检索跟踪文件之后从另一个更受限制的非生产部分进行分析(使解剖器保持最新状态等)。
看到
Wireshark安全性: http : //wiki.wireshark.org/Security
有关捕获特权的平台特定信息: http : //wiki.wireshark.org/CaptureSetup/CapturePrivileges
并执行那里描述的做法。
Wireshark不提供任何networking服务,也不会在运行的系统上打开任何端口,所以这是没有意义的。 安装在系统上不会对安全造成任何威胁。
这里唯一的潜在风险是,如果有人设法控制该服务器,他可以使用Wireshark来检查DMZ中的networkingstream量。 但是,如果有人完全控制你的服务器,他也可以安装任何他想要的程序…所以没有安装它不会阻止他安装它,如果他想。
我真的不能看到在服务器上安装它的任何问题。
Wireshark已经遭受了远程攻击漏洞(CVE-2010-1455,CVE-2010-0304,CVE-2009-4377 + 8,CVE-2009-4376)(CVE列出数百个)的公平份额。 任何去Defcon或黑帽安全协议的人都知道,如果你处于安全的环境中,运行任何types的数据包嗅探软件是非常危险的。 我想,几乎每一本在过去几年出版的“安全指标”都会强烈反对。
也就是说,合适的DMZ可以防止攻击者获得任何杠杆作用,但是,您需要权衡您select的IDS或路由控制软件的潜在威胁以及运行WS的实用性。
首先,我认为在DMZ中的任何机器上安装任何外部设备都是潜在的安全风险。 我的工作原理是,非军事区内的任何事物都是目标,并已放在那里试图通过隔离将风险降到最低。 这样的机器应该被看作是可以预期会受到损害的。
尽pipe如此,虽然Wireshark 可能被用来观察DMZ中的交通情况,但事实是,为了使用它,机器必须已经被合并,这意味着犯罪者可以根据自己的意愿自行安装。 通过它已经安装,你可能会在最坏的情况下节省几秒钟的时间。
Wireshark过去有很多漏洞,未来可能还会继续发现。 他们通常躺在协议分析仪。 如果攻击者发送特制的数据包,Wireshark可能会在分析这些数据包并执行任意代码时发生缓冲区溢出。 (所以RDP是无关紧要的)。 尝试使用像tcpdump这样简单的嗅探器,并分析其他地方的pcap文件。 (为什么你真的需要Wireshark的GUI?如果你不是RDP进入盒子?)另外要记住的是,根据这个networking服务器做什么,嗅探stream量可能会显示你不应该有的信息。