tento článek je bude poskytovat in-hloubkové po vykořisťování průvodce shromáždit všechny informace o firewallu oběti a nastavení sítě.
- obsah :
- úvod do brány firewall
- pravidla firewallu
- výhody firewallu
- typy firewallu
- význam firewallu
- Úvod do netsh
- jak blokovat port TCP na vzdáleném počítači:
- Jak blokovat více portů TCP
- jak zobrazit pravidla brány Firewall
- jak odstranit pravidla brány Firewall
- jak přidat pravidlo v bráně firewall
- zobrazit aktuální stav profilu
- další úprava brány Firewall
obsah :
- Úvod do firewallu
- pravidla firewallu
- výhody firewallu
- typy firewallu
- význam firewallu
- Úvod do netsh
- Jak blokovat TCP Port na vzdáleném počítači
- Jak blokovat více TCP portů
- jak zobrazit pravidla firewallu
- jak odstranit pravidla brány firewall
- jak přidat pravidla brány firewall
- zobrazit aktuální stav profilu
- úprava brány Firewall dále
úvod do brány firewall
firewall je systém zabezpečení sítě navržen tak, aby se zabránilo neoprávněnému přístupu do nebo ze soukromé sítě. Firewally mohou být implementovány v různých režimech, tj. hardware, software nebo kombinace obou. Existuje mnoho typů brány firewall, jako je Proxy firewall, aplikační Firewall, stavový firewall, paketový firewall atd.
brány firewall jsou připojeny k síti a často se používají k zabránění neoprávněným uživatelům internetu v přístupu k soukromým sítím připojeným k Internetu, zejména intranetům zajišťujícím bezpečnost. Všechny zprávy vstupující do intranetu nebo opouštějící intranet procházejí bránou firewall, která každou zprávu zkoumá a blokuje ty, které nesplňují zadaná bezpečnostní kritéria.
pravidla firewallu
Firewall je funkční na dvou pravidlech, která jsou vždy obklopena příchozími a odchozími pravidly:
Příchozí pravidla: toto jsou pravidla, která filtrují provoz procházející ze sítě do místního počítače na základě podmínek filtrování uvedených v pravidle.
odchozí pravidla: Jedná se o ty, které filtrují provoz procházející z místního počítače do sítě na základě podmínek filtrování uvedených v pravidle.
příchozí i odchozí pravidla mohou být nakonfigurována tak, aby umožňovala nebo blokovala provoz podle potřeby.
jinými slovy, můžeme říci, že příchozí pravidla jsou pravidla týkající se provozu, který vstupuje do vašeho počítače. Pokud v počítači používáte webový Server, budete muset firewallu sdělit, že se k němu mohou připojit cizinci. Odchozí pravidla dále kategorizují některé programy tak, aby používaly Internet, ale blokují jiné, protože odchozí pravidla se vztahují k provozu odeslanému z vašeho počítače. Budete chtít, aby váš webový prohlížeč (Internet Explorer, Firefox, Safari, Chrome, Opera…) měl přístup k internetu, ale zároveň s pomocí odchozího pravidla můžete blokovat požadované webové stránky, takže lze vložit příkaz, který zobrazuje, že Brána Firewall systému Windows je povolena nebo zakázána.
výhody firewallu
- izolace sítě
- flexibilita sítě
- není nutná žádná ochrana proti malwaru
- žádná údržba
typy firewallu
- filtrování paketů firewall
- obvodová páka firewall
- stavová inspekce firewall
- aplikační firewall
- Next-Gen firewally
význam firewallu
firewall se nyní stal důležitou součástí sítě. Firewall je důležitý, protože :
- chrání váš počítač před neoprávněným vzdáleným přístupem
- blokuje propojení vašich zpráv s nežádoucím obsahem
- blokuje zbytečný a nemorální obsah
- odpovídá podrobnostem datových paketů pro spolehlivé informace.
- IP a doména mohou být také blokovány nebo povoleny.
Úvod do netsh
Netsh je nástroj příkazového řádku, který umožňuje zobrazit konfiguraci vaší počítačové sítě do času nebo můžete změnit konfiguraci sítě počítače, který je právě spuštěn. Příkazy Netsh lze spustit zadáním příkazů na výzvu netsh a mohou být použity v dávkových souborech nebo skriptech. Vzdálené počítače a místní počítač lze konfigurovat pomocí příkazů netsh. Netsh také poskytuje funkci skriptování, která umožňuje spustit skupinu příkazů v dávkovém režimu proti zadanému počítači. S netsh můžete uložit konfigurační skript do textového souboru pro archivní účely nebo pro pomoc při konfiguraci jiných počítačů.
(odkaz: https://docs.microsoft.com/en-us/windows-server/networking/technologies/netsh/netsh-contexts)
nyní předpokládejme, že firewall počítače oběti je povolen:
Chcete – li tedy vypnout bránu firewall počítače oběti, nejprve získejte relaci přes meterpreter a poté využijte oprávnění správce vzdáleného počítače. Přejděte na shell vzdáleného počítače a napište
netsh firewall set opmode mode=disable
a takhle bude brána firewall vzdáleného počítače zakázána.
jak blokovat port TCP na vzdáleném počítači:
můžeme nejen vypnout nebo zapnout bránu firewall prostřednictvím Metasploitu, ale můžeme také zablokovat a povolit přístup k určitému portu. Ano, to znamená, že můžeme také ovládat příchozí a odchozí pravidla. Opět po relaci přes meterpreter a obejití správních oprávnění a přechodu do shellu vzdáleného počítače zadejte
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80 action=block
zde
Name = název pravidla. (Vyberte něco popisného)
Protocol = protokol, který budeme blokovat (UDP nebo TCP pro většinu případů)
Dir = směr bloku. Může být IN nebo OUT
vzdálený Port = port vzdáleného hostitele, který bude blokován
akce = může být blokována nebo povolena. V našem případě chceme připojení zablokovat
Jakmile provedete výše uvedený kód, všechny odchozí požadavky na libovolného hostitele na portu 80 budou blokovány a přidá položku do brány firewall systému Windows:
a pokud zkontrolujete jeho vlastnosti a kliknete na kartu protokoly a porty, uvidíte výsledek.
Jak blokovat více portů TCP
Nyní, když máme Jak blokovat port ve vzdáleném počítači, pojďme kopat trochu hlouběji i.e nemůžeme blokovat pouze jeden port, ale také dva nebo více než dva. A blokovat dva na více portů znovu vzít Meterpreter relaci, stejně jako oprávnění správce vzdáleného počítače a jen psát
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80,443 action=block
Jakmile provedete výše uvedený kód, všechny odchozí požadavky na libovolného hostitele na portu 80 budou blokovány a přidá položku do brány firewall systému Windows:
a pokud zkontrolujete jeho vlastnosti a kliknete na kartu „protokoly a porty“, zjistíte, že nyní zablokoval port 80 i port 443:
nyní blokováním portů 80 a 443 jsme zablokovali služby HTTP a HTTPS na vzdáleném počítači, takže naše oběť nebude mít přístup k žádnému webu. Zobrazí se následující chyba :
jak zobrazit pravidla brány Firewall
nyní se naučíme, jak zobrazit příchozí a odchozí pravidla brány firewall ve vzdáleném počítači, jak odstranit pravidlo, jak povolit port, na kterém bude naše užitečné zatížení v budoucnu fungovat, jak zastavit ping vzdáleného počítače.
nejprve předpokládejme, že v našem vzdáleném počítači je blokovaný port v odchozím pravidle:
Chcete-li vědět, které pravidlo je povoleno a zakázáno v našem vzdáleném počítači, proveďte relaci pomocí meterpreteru a obejděte oprávnění správce. Poté, co tak učiníte, zadejte:
netsh advfirewall firewall show rule name=all
po provedení tohoto příkazu se zobrazí všechna pravidla:
jak odstranit pravidla brány Firewall
na výše uvedeném obrázku vidíme, že Port 80 A Port 443 jsou blokovány pod názvem pravidla „blokovat všechny porty“. Chcete-li odstranit toto pravidlo v typu vzdáleného počítače :
netsh advfirewall firewall delete rule name="Block Ports"
po provedení tohoto příkazu bude uvedené pravidlo odstraněno. A můžete znovu spustit příkaz
netsh advfirewall firewall show rule name=all
a zobrazit výsledek :
výsledek můžeme také vidět v pravidlech pro odchozí brány firewall:
jak přidat pravidlo v bráně firewall
naše normální užitečné zatížení funguje na portu 4444. Nyní, pokud chceme povolit port 4444, abychom mohli nahrát užitečné zatížení, které pracuje na portu 4444, stačí zadat :
netsh advfirewall firewall add rule name="Allow Port 4444" protocol=TCP dir=out remoteport=4444 action=allow
po provedení tohoto příkazu bude port 4444 povolen na našem vzdáleném počítači :
nyní, abychom zablokovali zastavení vzdáleného počítače před pingem, můžeme jen napsat :
netsh advfirewall firewall add rule name="All ICMPV4" dir=in action=block protocol=icmpv4
po provedení tohoto příkazu bude vytvořeno pravidlo blokující ping na náš vzdálený počítač:
výsledkem bude následující :
zobrazit aktuální stav profilu
nyní uvidíme, jak blokovat / povolit konkrétní IP adresu ve vzdáleném PC firewallu a také se dozvíte, jak zobrazit podrobnosti o programech přidaných do seznamu výjimek / povolených a podrobnosti o portu přidaném do seznamu výjimek / povolených. Spolu s tím se naučíme, jak vidět stav hlavních nastavení brány Firewall a jaký je její aktuální profil, tj.
netsh advfirewall show currentprofile
po poznání profilu brány firewall vidíme, které programy jsou povoleny hostitelem vzdáleného počítače. Za tímto účelem zadejte:
netsh firewall show allowedprogram
naším dalším příkazem je zobrazit stav hlavních nastavení. A vidět je, zadejte:
netsh firewall show config
dále můžeme také vidět umístění souboru, ve kterém jsou uloženy všechny protokoly brány firewall. A za tímto účelem zadejte:
netsh firewall show logging
další úprava brány Firewall
brána firewall nám také umožňuje blokovat jednu IP adresu a zároveň umožnit ostatním a naopak. Takže nejprve se naučíme, jak můžeme zablokovat jednu IP adresu, zadejte:
netsh advfirewall firewall add rule name="IP Block" dir=in interface=any action=block remoteip=192.168.0.15/32
(ve výše uvedeném příkazu „/ 32 “ je maska podsítě IP.)
po provedení uvedeného příkazu vidíme následující výsledek:
a nyní vidíme vlastnosti pravidla bloku IP vidíme, že IP: 192.168.0.15 je zablokováno
nyní, podobně, Chcete-li povolit konkrétní adresu IP, zadejte:
netsh advfirewall firewall add rule name="IP Allow" dir=in interface=any action=allow remoteip=192.168.0.15/32
(ve výše uvedeném příkazu „/ 32 “ je maska podsítě IP)
po provedení uvedeného příkazu můžete vidět následující výsledek:
a nyní vidíme vlastnosti pravidla bloku IP vidíme, že IP: 192.168.0.15 je povoleno :
Autor: Yashika Dhir je vášnivým výzkumníkem a technickým spisovatelem hackerských článků. Je to hackerská nadšenkyně. kontakt zde