Dit artikel biedt een diepgaande post-exploitatiegids om alle informatie te verzamelen over de Firewall en netwerkinstellingen van het slachtoffer.
- inhoudsopgave :
- Inleiding tot Firewall
- firewallregels
- Voordelen van de Firewall
- Typen firewall
- Belang van de firewall
- Inleiding tot netsh
- hoe de TCP-poort op een pc op afstand te blokkeren:
- Hoe meerdere TCP-poorten
- hoe firewallregels
- hoe firewallregels
- hoe een regel toe te voegen in Firewall
- Bekijk huidige profielstatus
- Firewall verder aanpassen
inhoudsopgave :
- Inleiding tot Firewall
- firewallregels
- voordelen van Firewall
- typen Firewall
- belang van firewall
- Inleiding tot netsh
- een TCP-poort op een externe PC blokkeren
- meerdere TCP-poorten blokkeren
- firewallregels bekijken
- firewallregels verwijderen
- firewallregels toevoegen
- huidige profielstatus weergeven
- de firewall verder wijzigen
Inleiding tot Firewall
firewall is een netwerkbeveiligingssysteem ontworpen om onbevoegde toegang tot of van een particulier netwerk te voorkomen. Firewalls kunnen worden geà mplementeerd in verschillende modi dat wil zeggen hardware, software, of een combinatie van beide. Er zijn vele soorten firewall zoals Proxy firewall, applicatie Firewall, Stateful firewall, Packet firewall, enz.
Firewalls zijn verbonden met het netwerk en worden vaak gebruikt om te voorkomen dat onbevoegde internetgebruikers toegang krijgen tot particuliere netwerken die met het Internet zijn verbonden, met name intranetten die de veiligheid garanderen. Alle berichten die het intranet binnenkomen of verlaten, gaan door een firewall, die elk bericht onderzoekt en berichten blokkeert die niet aan de opgegeven beveiligingscriteria voldoen.
firewallregels
Firewall is functioneel op twee regels die altijd worden omringd door binnenkomende en uitgaande regels:
Binnenkomende regels: Dit zijn de regels die het verkeer filteren dat van het netwerk naar de lokale computer gaat op basis van de filtervoorwaarden die in de regel zijn gespecificeerd.
Uitgaande regels: Dit zijn degenen die het verkeer van de lokale computer naar het netwerk filteren op basis van de filteromstandigheden die in de regel zijn opgegeven.
zowel binnenkomende als uitgaande regels kunnen worden geconfigureerd om verkeer toe te staan of te blokkeren indien nodig.
met andere woorden, We kunnen zeggen dat inkomende regels de regels zijn met betrekking tot verkeer dat uw computer binnenkomt. Als je een webserver draait op je computer dan moet je de Firewall vertellen dat buitenstaanders er verbinding mee mogen maken. Verder, Uitgaande regels categoriseren sommige programma ‘ s om het Internet te gebruiken nog blokkeren anderen als uitgaande regels zijn gerelateerd aan het verkeer dat wordt verzonden vanaf uw computer. U wilt laten uw webbrowser (Internet Explorer, Firefox, Safari, Chrome, Opera…) hebben de toegankelijkheid van het Internet, maar op hetzelfde moment met de hulp van uitgaande regel kunt u de gewenste websites te blokkeren, zodat een commando kan worden ingevoegd waarin wordt weergegeven dat Windows Firewall is toegestaan of niet toegestaan.
Voordelen van de Firewall
- Netwerk isolatie
- Netwerk flexibiliteit
- Geen malware bescherming is vereist
- Geen onderhoud
Typen firewall
- Packet filtering firewall
- Circuit hendel firewall
- Stateful inspection firewall
- Application-level firewall
- Next-gen firewalls
Belang van de firewall
Een firewall is nu uitgegroeid tot een belangrijk onderdeel van een netwerk. Firewall is belangrijk omdat :
- het beschermt uw computer tegen onbevoegde toegang op afstand
- het blokkeert het koppelen van uw berichten aan ongewenste inhoud
- het blokkeert onnodige en immorele inhoud
- het komt overeen met de details van datapakketten voor betrouwbare informatie.
- IP en domein kunnen ook worden Geblokkeerd of toegestaan.
Inleiding tot netsh
Netsh is een opdrachtregelprogramma waarmee u de configuratie van uw computernetwerk kunt weergeven tot de tijd of u kunt de netwerkconfiguratie van een computer die momenteel wordt uitgevoerd wijzigen. Netsh commando ’s kunnen worden uitgevoerd door het typen van commando’ s op de netsh prompt en ze kunnen worden gebruikt in batch bestanden of scripts. Externe computers en de lokale computer kunnen worden geconfigureerd met behulp van netsh-opdrachten. Netsh biedt ook een scripting-functie waarmee u een groep opdrachten in batchmodus kunt uitvoeren tegen een opgegeven computer. Met netsh kunt u een configuratiescript opslaan in een tekstbestand voor archiefdoeleinden of om u te helpen andere computers te configureren.
(referentie: https://docs.microsoft.com/en-us/windows-server/networking/technologies/netsh/netsh-contexts)
laten we nu aannemen dat de firewall van de PC van het slachtoffer is ingeschakeld:
dus om de firewall van het slachtoffer PC uit te schakelen, allereerst, krijg een sessie via meterpreter en neem vervolgens de beheerdersrechten van de externe PC. Ga naar de shell van remote PC en schrijf
netsh firewall set opmode mode=disable
en als dit, de firewall van remote PC zal worden uitgeschakeld.
hoe de TCP-poort op een pc op afstand te blokkeren:
we kunnen niet alleen de firewall uitschakelen of aanzetten via Metasploit, maar we kunnen ook toegang tot een bepaalde poort blokkeren en toestaan. Ja, dat betekent dat we Inbound en Outbound regels ook kunnen controleren. Opnieuw na het hebben van de sessie via meterpreter en het omzeilen van beheerdersrechten en het gaan naar de shell van de remote PC typ gewoon
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80 action=block
hier,
naam = de naam van de regel. (Kies iets beschrijvend)
Protocol = het protocol dat we gaan blokkeren (UDP of TCP voor de meeste gevallen)
Dir = de richting van het blok. Kan IN of uit
Remote Port = de poort van de remote host die geblokkeerd gaat worden
Action = kan Geblokkeerd of toegestaan worden. In ons geval willen we de verbinding blokkeren
zodra u de bovenstaande code uitvoert, worden alle uitgaande verzoeken naar een host op poort 80 geblokkeerd en wordt een ingang toegevoegd aan de Windows firewall:
en als u de eigenschappen controleert en op het tabblad ‘Protocollen en poorten’ klikt, kunt u het resultaat zien.
Hoe meerdere TCP-poorten
te blokkeren nu we weten hoe een poort in een externe PC te blokkeren, laten we wat dieper graven i.e We kunnen niet alleen een poort blokkeren, maar ook twee of meer dan twee. En om twee naar meer poort opnieuw te blokkeren, neemt u een meterpreter-sessie en beheerdersrechten van de externe PC en schrijft u gewoon
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80,443 action=block
zodra u de bovenstaande code uitvoert, worden alle uitgaande verzoeken naar een host op poort 80 geblokkeerd en wordt een ingang toegevoegd aan de Windows firewall:
en als u de eigenschappen controleert en op het tabblad ‘Protocollen en poorten’ klikt, zult u merken dat het nu zowel poort 80 als poort 443 heeft geblokkeerd:
nu, door het blokkeren van poorten 80 en 443 hebben we de HTTP-en HTTPS-diensten op de externe PC geblokkeerd en dus ons slachtoffer zal niet in staat zijn om toegang te krijgen tot een website. En de volgende fout wordt weergegeven :
hoe firewallregels
te bekijken nu zullen we leren hoe we inkomende en uitgaande regels van de firewall in remote PC kunnen bekijken, hoe we een regel kunnen verwijderen, hoe we de poort kunnen toestaan waarop onze payload in de toekomst zal werken, hoe we kunnen voorkomen dat uw remote PC ping wordt.
laten we allereerst aannemen dat er een geblokkeerde poort is in een uitgaande regel in onze externe PC:
om te weten welke regel is ingeschakeld en uitgeschakeld in onze externe PC, neem een sessie via meterpreter en omzeilen beheerdersrechten. Na het doen van dit type:
netsh advfirewall firewall show rule name=all
zodra dit commando is uitgevoerd, worden alle regels weergegeven :
hoe firewallregels
te verwijderen in de bovenstaande afbeelding kunnen we zien dat poort 80 en poort 443 geblokkeerd zijn onder de regelnaam “alle poorten blokkeren”. Dus om die regel te verwijderen in de remote PC type :
netsh advfirewall firewall delete rule name="Block Ports"
zodra dit commando is uitgevoerd, zal de genoemde regel worden verwijderd. En u kunt de opdracht
netsh advfirewall firewall show rule name=all
opnieuw uitvoeren om het resultaat te zien:
en we kunnen ook het resultaat zien in de firewall Uitgaande regels :
hoe een regel toe te voegen in Firewall
onze normale payload werkt op poort 4444. Nu, als we poort 4444 willen toestaan zodat we een payload kunnen uploaden die werkt op poort 4444, hoeven we alleen maar te typen :
netsh advfirewall firewall add rule name="Allow Port 4444" protocol=TCP dir=out remoteport=4444 action=allow
Zodra deze opdracht uitgevoerd, poort 4444 zal worden toegestaan op onze PC op afstand :
Nu te blokkeren, stoppen onze PC op afstand wordt gepingd we gewoon kan typen :
netsh advfirewall firewall add rule name="All ICMPV4" dir=in action=block protocol=icmpv4
Wanneer deze opdracht wordt uitgevoerd, een regel voor het blokkeren van ping naar onze PC op afstand zal worden gemaakt:
En de volgende zal het resultaat :
Bekijk huidige profielstatus
nu zullen we zien hoe we bepaalde IP-adressen kunnen blokkeren /toestaan in externe PC-Firewall en ook hoe we details kunnen bekijken van programma ‘ s die zijn toegevoegd aan de lijst met uitzonderingen/toegestaan en de details van de poort die zijn toegevoegd aan de lijst met uitzonderingen/toegestaan. Samen met deze, we zullen leren hoe de status van de belangrijkste instellingen van Firewall te zien en wat het huidige profiel, dat wil zeggen is of het aan of uit.
netsh advfirewall show currentprofile
na het kennen van het profiel van de firewall kunnen we zien welke programma ‘ s zijn toegestaan door de host van Remote PC. Voor dit, type:
netsh firewall show allowedprogram
ons volgende commando is om de status van de belangrijkste instellingen te zien. En om ze te zien, typ:
netsh firewall show config
vervolgens kunnen we ook de locatie zien van het bestand waarin alle firewall logs worden bewaard. En voor dit, type:
netsh firewall show logging
Firewall verder aanpassen
de firewall stelt ons ook in staat om een enkel IP-adres te blokkeren terwijl we anderen toestaan en vice versa. Om ons eerst te laten leren hoe we een enkel IP-adres hiervoor kunnen blokkeren, typ je:
netsh advfirewall firewall add rule name="IP Block" dir=in interface=any action=block remoteip=192.168.0.15/32
(in het bovenstaande commando” / 32 ” is een subnetmasker van IP.)
na het uitvoeren van de genoemde opdracht, kunnen we het volgende resultaat zien:
en we zien nu de eigenschappen van de IP Block rule we kunnen zien dat het IP: 192.168.0.15 is geblokkeerd
Nu, op dezelfde manier, om een bepaald IP Adres, type:
netsh advfirewall firewall add rule name="IP Allow" dir=in interface=any action=allow remoteip=192.168.0.15/32
(In het bovenstaande commando “/32” is een subnet masker van het IP)
Na het uitvoeren van de genoemde opdracht, u ziet het volgende resultaat:
En zien we nu de eigenschappen van de IP-Blok regel kunnen we zien dat de IP: 192.168.0.15 is Toegestaan :
Auteur: Yashika Dhir is een gepassioneerd Onderzoeker en Technisch Schrijver op het Hacken van de Artikelen. Ze is een hacker liefhebber. contact hier