web-dev-qa-db-ja.com

Wiresharkは、DMZ内のサーバーにインストールされたときに脅威をもたらしますか?

DMZにあるWebサーバーにWiresharkをインストールする場合、RDPが無効になっている場合でも、そのサーバーへのバックドアエントランスを取得するために使用できるハックはありますか? DMZ Webサーバーでワイヤーを監視しようとしていますが、DMZチームから、多くのことなしにバックドアハックが開かれるというプッシュバックがあります。詳細

securitydmzwireshark
7
G33kKahuna

適切なDMZは、ホストとインターネット/内部ネットワーク間のアクセスを管理することに加えて、DMZ上のホストを互いに分離します。DMZ環境は、セキュリティとアクセスポリシーを実施するための単一のチョークポイントを提供し、DMZに出入りするトラフィックを監視するための単一のポイントを提供します。

A DMZは、インターネットや内部ネットワークにアクセスできるネットワークだけではありません。これは、セキュリティリスクと不十分な計画と呼ばれます。

特にアプリケーションがroot /スーパーユーザー特権で実行されている場合、制御されていないソースからデータを取得するアプリケーションには、潜在的なバッファオーバーランとセキュリティリスクがあります。これはwiresharkに当てはまり、sendmail、IISに当てはまり、anythingにも当てはまります。

私の知る限り、wiresharkには「RDPバックドア」はありません。

私のポイントは、「それで、それが裏口を開くとしたらどうなるだろうか?」です。

適切なDMZ

  1. 侵害されたシステムが事前定義された方法(DNSサーバーへのDNS、FTPサーバーへのftp、httpサーバーへのhttp、ただしsshは何も、rdpは何も何もないなど)以外の何かと相互作用するのを防ぎます。
  2. 不適切なトラフィックが発生しようとしていることを特定します(SQLサーバーがFTPサーバーからRDP/VNCトラフィックを取得しているというアラートを受け取りました!)
  3. 企業内の他のすべての人にとって使いやすい。 DMZがセキュリティを適切に実施している場合、「危険な」ものを企業ネットワークよりも安全に配置できます。DMZチームは、エンタープライズネットワークまたはDMZへの扉?答えは「DMZです。DMZへのおよびからのトラフィックを監視および制限するためです。」
11
chris

私は上記のDMZの説明に完全には同意していません。DMZを操作するセキュリティ専門家は、おそらく彼らの職務記述書とDMZは「プロダクション」スペースなので、彼らの視点から見てください。

引用されている脆弱性の多くは、トレースのインタラクティブなレンダリング中にのみ使用されるパケットディセクタの欠陥が原因で発生します。この対話型アクセスには、パケットキャプチャに必要な同じ特権が必要ありません。

これが必要と思われるのは、Webサーバーからのローカルパケットキャプチャを分析することなので、機能を分離しませんか?あるホストでパケットキャプチャを実行し、トレースファイルを取得した後、別のより制限された非本番セグメントから分析(ディセクタを最新の状態に保つなど)を実行します。

見る

Wiresharkのセキュリティ: http://wiki.wireshark.org/Security

キャプチャ特権に関するプラットフォーム固有の情報: http://wiki.wireshark.org/CaptureSetup/CapturePrivileges

そこで説明されているプラ​​クティスを実装します。

5
medina

Wiresharkはネットワークサービスを提供せず、実行中のシステムでポートを開かないため、これは意味がありません。システムにインストールしても、それ自体でセキュリティ上の脅威が発生することはありません。

ここでの唯一の潜在的なリスクは、誰かがそのサーバーを制御できた場合、Wiresharkを使用してDMZ内のネットワークトラフィックを検査できることです。しかし、誰かがあなたのサーバーを完全に制御するなら、彼はそれに彼が望むどんなプログラムもインストールすることができます...それで、それがインストールされていなくても、彼が望むなら、彼がそれをインストールするのを妨げません。

サーバーにインストールしても問題はありません。

3
Massimo

Wiresharkには過去に多くの脆弱性があり、今後もさらに発見される可能性があります。それらは通常、プロトコルアナライザにあります。攻撃者が特別に細工したパケットを送信した場合、wiresharkはそれらのパケットを分析し、任意のコードを実行するときにバッファオーバーフローを起こす可能性があります。 (したがって、RDPは無関係です)。 tcpdumpのような単純なスニファを使用して、他の場所でpcapファイルを分析してみてください。 (ボックスにRDPを実行していないのに、なぜWiresharkのGUIが本当に必要なのですか?)もう1つ覚えておくべきことは、このWebサーバーの機能によっては、トラフィックをスニッフィングすると、本来持っていないはずの情報が明らかになる可能性があるということです。

1
PopularIsn'tRight

Wiresharkは、リモート侵害の脆弱性のかなりの部分に苦しんでいます[CVE-2010-1455、CVE-2010-0304、CVE-2009-4377 + 8、CVE-2009-4376](CVEには数百がリストされています)。 DefconまたはBlackhatのセキュリティ規則に参加したことのある人なら誰でも知っているように、安全な環境にいる場合、あらゆる種類のパケットスニッフィングソフトウェアを実行することは非常に危険です。過去数年間に発行された実質的にすべてのセキュリティメトリックスの本はそれに対して強くお勧めすると思います。

とはいえ、適切なDMZは、攻撃者がとにかくレバレッジを獲得するのを防ぎますが、実行の有用性が損なわれる可能性があるIDSまたはルーティング制御ソフトウェアを比較検討する必要がありますWS。

1
ŹV -

まず、DMZ内の任意のマシンに無関係にインストールされたものは、潜在的なセキュリティリスクであると私は考えています。私は、DMZはターゲットであり、隔離によってリスクを最小限に抑えるためにそこに配置されています。このようなマシンは、危険にさらされることが予想されるかのように扱う必要があります。

上記にもかかわらず、Wireshark couldは、DMZのトラフィックを監視するために使用される可能性がありますが、実際には、それを使用するには、マシンがすでに構成されている必要があります。加害者が自分でしたいのと同じくらい簡単に自分でインストールできることを意味します。

1
John Gardeniers