ez a cikk részletes felhasználói útmutatót nyújt az áldozat tűzfalával és hálózati beállításaival kapcsolatos összes információ összegyűjtéséhez.
- Tartalomjegyzék :
- bevezetés a tűzfalba
- a tűzfal szabályai
- a tűzfal előnyei
- a tűzfal típusai
- a tűzfal fontossága
- Bevezetés a netsh-ba
- hogyan lehet blokkolni a TCP portot a távoli számítógépen:
- hogyan lehet blokkolni több TCP portot
- hogyan tekinthetjük meg a tűzfalszabályokat
- hogyan lehet törölni a tűzfalszabályokat
- szabály hozzáadása a tűzfalban
- Aktuális profil állapotának megtekintése
- a tűzfal további módosítása
Tartalomjegyzék :
- Bevezetés a tűzfalba
- a tűzfal szabályai
- a tűzfal előnyei
- a tűzfal típusai
- a tűzfal fontossága
- Bevezetés a netsh-ba
- hogyan lehet blokkolni a TCP portot a távoli számítógépen
- hogyan lehet blokkolni több TCP portot
- hogyan lehet megtekinteni a tűzfalszabályokat
- hogyan lehet törölni a tűzfalszabályokat
- hogyan lehet tűzfalszabályokat hozzáadni
- az aktuális profil állapotának megtekintése
- a tűzfal további módosítása
bevezetés a tűzfalba
tűzfal egy hálózati biztonsági rendszer úgy tervezték, hogy megakadályozza az illetéktelen hozzáférést a magánhálózathoz vagy onnan. A tűzfalak változatos módokban, azaz hardverben, szoftverben vagy mindkettő kombinációjában valósíthatók meg. Sokféle tűzfal létezik, mint például a Proxy tűzfal, az alkalmazás tűzfal, az állapotfelmérő tűzfal, a csomag tűzfal stb.
tűzfalak kapcsolódnak a hálózathoz, és gyakran használják arra, hogy megakadályozzák az illetéktelen internethasználók hozzáférését az internethez csatlakoztatott magánhálózatokhoz, különösen az intranetekhez, amelyek biztonságot nyújtanak. Az intranetbe belépő vagy onnan kilépő összes üzenet egy tűzfalon halad át, amely minden üzenetet megvizsgál, és blokkolja azokat, amelyek nem felelnek meg a megadott biztonsági feltételeknek.
a tűzfal szabályai
a tűzfal két szabályon működik, amelyeket mindig bejövő és Kimenő szabályok vesznek körül:
Bejövő szabályok: ezek azok, amelyek a szabályban megadott szűrési feltételek alapján szűrik a hálózatról a helyi számítógépre továbbított forgalmat.
Kimenő szabályok: Ezek azok, amelyek szűrik a helyi számítógépről a hálózatra érkező forgalmat a szabályban megadott szűrési feltételek alapján.
mind a bejövő, mind a Kimenő szabályok konfigurálhatók úgy, hogy szükség szerint engedélyezzék vagy blokkolják a forgalmat.
más szavakkal elmondhatjuk, hogy a Bejövő szabályok a számítógépre belépő forgalommal kapcsolatos szabályok. Ha webkiszolgálót futtat a számítógépén, akkor meg kell mondania a tűzfalnak, hogy a kívülállók csatlakozhatnak hozzá. Ezenkívül a Kimenő szabályok egyes programokat az Internet használatára kategorizálnak, másokat azonban blokkolnak, mivel a Kimenő szabályok a számítógépről küldött forgalomhoz kapcsolódnak. Akkor eldönthetjük, hogy hagyja, hogy a böngésző (Internet Explorer, Firefox, Safari, Chrome, Opera…) hozzáférhet az internethez, de ugyanakkor a segítségével kimenő szabály blokkolhatja a kívánt weboldalak, így a parancs lehet illeszteni, amely megjeleníti, hogy a Windows tűzfal engedélyezett vagy nem engedélyezett.
a tűzfal előnyei
- hálózati szigetelés
- hálózati rugalmasság
- nincs szükség rosszindulatú programok védelmére
- nincs karbantartás
a tűzfal típusai
- csomagszűrő tűzfal
- circuit Lever Firewall
- stateful Inspection Firewall
- alkalmazásszintű tűzfal
- next-gen tűzfalak
a tűzfal fontossága
a tűzfal mára a hálózat fontos részévé vált. A tűzfal azért fontos, mert :
- megvédi a számítógépet a jogosulatlan távoli hozzáféréstől
- blokkolja az üzenetek nem kívánt tartalmakhoz való kapcsolását
- blokkolja a felesleges és erkölcstelen tartalmakat
- megbízható információk érdekében megfelel az adatcsomagok részleteinek.
- az IP és a Domain is blokkolható vagy engedélyezhető.
Bevezetés a netsh-ba
a Netsh egy parancssori segédprogram, amely lehetővé teszi a számítógépes hálózat konfigurációjának megjelenítését az időig, vagy megváltoztathatja az éppen futó számítógép hálózati konfigurációját. A Netsh parancsok futtathatók a parancsok beírásával a netsh parancssorba, és kötegelt fájlokban vagy parancsfájlokban is használhatók. A távoli számítógépeket és a helyi számítógépet netsh parancsokkal lehet konfigurálni. A Netsh egy szkriptfunkciót is biztosít, amely lehetővé teszi parancsok csoportjának futtatását kötegelt módban egy megadott számítógép ellen. A netsh segítségével elmenthet egy konfigurációs parancsfájlt egy szöveges fájlba archiválási célokra vagy más számítógépek konfigurálásához.
(hivatkozás: https://docs.microsoft.com/en-us/windows-server/networking/technologies/netsh/netsh-contexts)
most tegyük fel, hogy az áldozat számítógépének tűzfala engedélyezve van:
tehát az áldozat számítógépének tűzfalának kikapcsolásához először szerezzen be egy munkamenetet a meterpreteren keresztül, majd vegye be a távoli számítógép rendszergazdai jogosultságait. Lépjen tovább a távoli számítógép héjához, és írjon
netsh firewall set opmode mode=disable
így a távoli számítógép tűzfala le lesz tiltva.
hogyan lehet blokkolni a TCP portot a távoli számítógépen:
nem csak a Metasploit segítségével kapcsolhatjuk ki vagy kapcsolhatjuk be a tűzfalat, hanem blokkolhatjuk és engedélyezhetjük a hozzáférést bármely adott porthoz. Igen, ez azt jelenti, hogy ellenőrizhetjük a bejövő és a kimenő szabályokat is. Ismét, miután a munkamenet meterpreter és megkerülve a rendszergazdai jogosultságokat, és megy a shell a távoli PC csak írja
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80 action=block
itt,
name = a neve a szabály. (Válasszon valami leírót)
Protocol = a blokkolni kívánt protokoll (UDP vagy TCP a legtöbb esetben)
Dir = a blokk iránya. Be vagy ki lehet
távoli Port = a blokkolni kívánt távoli állomás portja
Action = blokkolható vagy engedélyezett. Esetünkben blokkolni akarjuk a kapcsolatot
miután végrehajtotta a fenti kódot, a 80-as porton lévő bármely gazdagéphez érkező összes kimenő kérés blokkolva lesz, és hozzáad egy bejegyzést a Windows tűzfalhoz:
és ha megnézed a tulajdonságait, és rákattintasz a ‘protokollok és portok’ fülre, akkor láthatod az eredményt.
hogyan lehet blokkolni több TCP portot
most, hogy van egy port blokkolása a távoli számítógépen, ássunk egy kicsit mélyebbre i.e nem csak egy portot blokkolhatunk, hanem kettőt vagy kettőnél többet is. És hogy blokkolja a két több port újra, hogy egy meterpreter ülésén, valamint rendszergazdai jogosultságokkal a távoli PC, és csak írni
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80,443 action=block
miután végrehajtotta a fenti kódot, a 80-as porton lévő bármely gazdagéphez érkező összes kimenő kérés blokkolva lesz, és hozzáad egy bejegyzést a Windows tűzfalhoz:
Ha pedig ellenőrzi a tulajdonságait, és rákattint a ‘protokollok és portok’ fülre, akkor azt fogja találni, hogy most blokkolta mind a 80-as, mind a 443-as portot:
most a 80-as és 443-as portok blokkolásával blokkoltuk a HTTP és HTTPS szolgáltatásokat a távoli számítógépen, így áldozatunk nem fog tudni hozzáférni egyetlen webhelyhez sem. A következő hiba jelenik meg :
hogyan tekinthetjük meg a tűzfalszabályokat
most megtanuljuk, hogyan tekinthetjük meg a tűzfal bejövő és kimenő szabályait a távoli számítógépen, hogyan törölhetünk egy szabályt, hogyan engedélyezhetjük azt a portot, amelyen a hasznos teher a jövőben működni fog, hogyan állíthatjuk le a távoli számítógép pingelését.
először is tegyük fel, hogy a távoli számítógépünkben van egy blokkolt port egy kimenő szabályban:
ahhoz, hogy megtudja, melyik szabály van engedélyezve és letiltva a távoli számítógépen, vegyen részt egy munkamenetben a meterpreter segítségével, és megkerülje a rendszergazdai jogosultságokat. Ezt követően írja be:
netsh advfirewall firewall show rule name=all
a parancs végrehajtása után az összes szabály megjelenik :
hogyan lehet törölni a tűzfalszabályokat
a fenti képen láthatjuk, hogy a 80-as és a 443-as Port blokkolva van az “összes port blokkolása”szabálynév alatt. Tehát törölje ezt a szabályt a távoli számítógép típusában :
netsh advfirewall firewall delete rule name="Block Ports"
a parancs végrehajtása után az említett szabály törlődik. És újra futtathatja a
netsh advfirewall firewall show rule name=all
parancsot az eredmény megtekintéséhez:
az eredményt a tűzfal kimenő szabályaiban is láthatjuk :
szabály hozzáadása a tűzfalban
normál hasznos teherünk a 4444-es porton működik. Most, ha engedélyezni akarjuk a 4444-es portot, hogy feltölthessünk egy hasznos terhet, amely a 4444-es porton működik, csak be kell írnunk :
netsh advfirewall firewall add rule name="Allow Port 4444" protocol=TCP dir=out remoteport=4444 action=allow
a parancs végrehajtása után a 4444-es port engedélyezett a távoli számítógépen :
most, hogy blokkolja a távoli számítógép pingelését, csak beírhatjuk :
netsh advfirewall firewall add rule name="All ICMPV4" dir=in action=block protocol=icmpv4
amikor ez a parancs végrehajtásra kerül, létrejön egy szabály, amely blokkolja a pinget a távoli számítógépünkre:
a következő lesz az eredmény :
Aktuális profil állapotának megtekintése
most meglátjuk, hogyan blokkolhatjuk /engedélyezhetjük az adott IP-címet a távoli PC tűzfalon, és megtanuljuk, hogyan tekinthetjük meg a kivétel/engedélyezett listához hozzáadott programok részleteit, valamint a kivétel/engedélyezett listához hozzáadott port részleteit. Ezzel együtt megtanuljuk, hogyan láthatjuk a tűzfal fő beállításainak állapotát, valamint az aktuális profilját, azaz hogy be van-e kapcsolva vagy ki van-e kapcsolva.
netsh advfirewall show currentprofile
miután megismertük a tűzfal profilját, láthatjuk, hogy mely programokat engedélyezi a távoli számítógép gazdagépe. Ehhez írja be:
netsh firewall show allowedprogram
a következő parancsunk a fő beállítások állapotának megtekintése. Ha látni szeretné őket, írja be:
netsh firewall show config
ezután láthatjuk annak a fájlnak a helyét is, amelyben az összes tűzfalnaplót tárolják. Ehhez írja be:
netsh firewall show logging
a tűzfal további módosítása
a tűzfal lehetővé teszi számunkra, hogy egyetlen IP-címet Blokkoljunk, miközben másokat is engedélyezünk, és fordítva. Tehát először hadd megtanulják, hogyan tudjuk blokkolni egy IP erre, típus:
netsh advfirewall firewall add rule name="IP Block" dir=in interface=any action=block remoteip=192.168.0.15/32
(a fenti parancsban a “/ 32 ” Az IP alhálózati maszkja.)
az említett parancs végrehajtása után a következő eredményt láthatjuk:
és most látjuk a tulajdonságait az IP blokk szabály láthatjuk, hogy az IP: 192.168.0.15 blokkolva
most hasonlóan egy adott IP-cím engedélyezéséhez írja be:
netsh advfirewall firewall add rule name="IP Allow" dir=in interface=any action=allow remoteip=192.168.0.15/32
(a fenti parancsban a” /32 ” Az IP alhálózati maszkja)
az említett parancs végrehajtása után a következő eredményt láthatja:
most pedig látjuk az IP Blokkszabály tulajdonságait láthatjuk, hogy az IP: 192.168.0.15 megengedett :
szerző: Yashika Dhir szenvedélyes kutató és műszaki író a Hacking Articles-ben. Ő egy hacker rajongó. kapcsolat itt
