este artigo fornecerá um guia detalhado de pós-exploração para coletar todas as informações sobre o Firewall e as configurações de rede da vítima.
- tabela de conteúdo :
- Introdução ao firewall
- Regras de firewall
- > Vantagens de Firewall
- Tipos de firewall
- a Importância do firewall
- Introdução ao netsh
- Como Bloquear a Porta TCP em um PC Remoto:
- Como Bloquear Várias Portas TCP
- Como exibir Regras de Firewall
- Como excluir regras de Firewall
- Como adicionar uma regra no Firewall
- Ver Perfil Atual Estado
- modificando o Firewall ainda
tabela de conteúdo :
- Introdução ao Firewall
- Regras de Firewall
- > Vantagens de Firewall
- Tipos de Firewall
- a Importância do firewall
- Introdução à netsh
- Como bloquear uma Porta TCP em um PC remoto
- Como bloquear várias portas TCP
- Como exibir regras de firewall
- Como excluir regras de firewall
- Como adicionar regras de firewall
- Ver perfil atual estado
- Modificar o firewall mais
Introdução ao firewall
Firewall é um sistema de segurança de rede projetado para impedir o acesso não autorizado de ou para uma rede privada. Os Firewalls podem ser implementados em modos variados, ou seja, hardware, software ou uma combinação de ambos. Existem muitos tipos de firewall, como Firewall Proxy, Firewall de aplicativos, firewall com estado, Firewall de pacotes, etc.Os Firewalls estão conectados à rede e são freqüentemente usados para impedir que usuários não autorizados da Internet acessem redes privadas conectadas à Internet, especialmente intranets garantindo segurança. Todas as mensagens que entram ou saem da intranet passam por um firewall, que examina cada mensagem e bloqueia aquelas que não atendem aos critérios de segurança especificados.
Regras de firewall
Firewall é funcional em duas regras que são sempre cercado por regras de Entrada e saída:
regras de Entrada: Estas são as únicas que o filtro de passagem de tráfego da rede para o computador local, baseados na filtragem condições especificadas na regra.
regras de saída: Estes são os que filtram o tráfego que passa do computador local para a rede com base nas condições de filtragem especificadas na regra.
as regras de entrada e saída podem ser configuradas para permitir ou bloquear o tráfego Conforme necessário.
em outras palavras, podemos dizer que as regras de entrada são as regras relacionadas ao tráfego que entra no seu computador. Se você estiver executando um servidor Web em seu computador, precisará informar ao Firewall que pessoas de fora podem se conectar a ele. Além disso, as regras de saída categorizam Alguns programas para usar a Internet, mas bloqueiam outros, pois as regras de saída estão relacionadas ao tráfego enviado do seu computador. Você vai querer deixar seu navegador da Web (Internet Explorer, Firefox, Safari, Chrome, Opera…) ter acessibilidade à Internet, mas ao mesmo tempo com a ajuda da regra de saída você pode bloquear sites desejados, para que um comando possa ser inserido que exibe que o Firewall do Windows é permitido ou não permitido.
> Vantagens de Firewall
- isolamento de Rede
- flexibilidade de Rede
- Nenhuma proteção contra malware é necessário
- manutenção
Tipos de firewall
- firewall de filtragem de Pacotes
- Circuito alavanca de firewall
- Stateful inspection firewall
- firewall de nível de Aplicativo
- Next-gen firewalls
a Importância do firewall
Um firewall agora se tornou uma parte importante de uma rede. Firewall é importante porque :
- ele protege seu computador contra acesso remoto não autorizado
- ele bloqueia a vinculação de suas mensagens a conteúdo indesejado
- ele bloqueará conteúdo desnecessário e imoral
- ele corresponde aos detalhes dos pacotes de dados para obter informações confiáveis.
- IP e domínio também podem ser bloqueados ou permitidos.
Introdução ao netsh
Netsh é um utilitário de linha de comando que permite exibir a configuração da sua rede de computadores até o momento ou você pode alterar a configuração de rede de um computador que está em execução no momento. Os comandos Netsh podem ser executados digitando comandos no prompt do netsh e podem ser usados em arquivos ou scripts em lote. Computadores remotos e o computador local podem ser configurados usando comandos netsh. O Netsh também fornece um recurso de script que permite executar um grupo de comandos no modo batch em um computador especificado. Com o netsh, você pode salvar um script de configuração em um arquivo de texto para fins de arquivamento ou para ajudá-lo a configurar outros computadores.
(referência: https://docs.microsoft.com/en-us/windows-server/networking/technologies/netsh/netsh-contexts)
agora vamos supor que o firewall do PC da vítima esteja ativado:
Para desativar o firewall do PC da vítima, em primeiro lugar, obter uma sessão através do meterpreter e, em seguida, tirar os privilégios de administrador do computador remoto. Passe para o shell do PC remoto e escreva
netsh firewall set opmode mode=disable
e assim, o firewall do PC remoto será desativado.
Como Bloquear a Porta TCP em um PC Remoto:
Nós não só pode ativar ou desativar o firewall através do Metasploit, mas também podemos bloquear e permitir o acesso a qualquer porta específica. Sim, isso significa que também podemos controlar as regras de entrada e saída. Novamente depois de ter a sessão através meterpreter e ignorando privilégios administrativos e indo para o shell do PC remoto Basta digitar
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80 action=block
aqui,
Name = o nome da regra. (Escolha algo descritivo)
protocolo = o protocolo que vamos bloquear (UDP ou TCP para a maioria dos casos)
Dir = a direção do bloco. Pode estar dentro ou fora
porta remota = a porta do host remoto que será bloqueada
Action = pode ser bloqueada ou permitida. No nosso caso, queremos bloquear a conexão
uma Vez que você executar o código acima, todos os pedidos de saída para qualquer host na porta 80 será bloqueado, e ele adiciona uma entrada para o firewall do Windows:
E se você verificar suas propriedades e clique em “Protocolos e Portas’ guia, em seguida, você pode ver o resultado.
Como Bloquear Várias Portas TCP
Agora que temos como bloquear uma porta no PC remoto, vamos cavar um pouco mais eu.e podemos não apenas bloquear uma porta, mas também duas ou mais de duas. E para o bloco de dois ou mais porta mais uma sessão meterpreter bem como privilégios de administrador do computador remoto e escrever
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80,443 action=block
uma Vez que você executar o código acima, todos os pedidos de saída para qualquer host na porta 80 será bloqueado, e ele adiciona uma entrada para o firewall do Windows:
E se você verificar suas propriedades e clique em “Protocolos e Portas’ guia, em seguida, você vai descobrir que agora ele bloqueou a porta 80 e 443:
agora, ao bloquear as portas 80 e 443, bloqueamos os serviços HTTP e HTTPS no PC remoto e, portanto, nossa vítima não poderá acessar nenhum site. E o seguinte erro é exibido :
Como exibir Regras de Firewall
Agora vamos aprender como exibir regras de entrada e saída do firewall no PC remoto, como para apagar uma regra, como para permitir que a porta em que a nossa carga de trabalho será de, no futuro, como para deixar seu PC remoto está sendo ping.
Primeiro de tudo, deixe-nos supor que há uma porta bloqueada em uma regra de saída no nosso PC remoto:
Para saber qual a regra é activada e desactivada em nosso PC remoto, dê uma sessão através do meterpreter e ignorar privilégios de administrador. Depois de fazer isso, digite:
netsh advfirewall firewall show rule name=all
uma Vez que este comando é executado, todas as regras serão exibidos :
Como excluir regras de Firewall
Na imagem acima, podemos ver que a Porta 80 e a Porta 443 é bloqueado sob o nome de regra de “Bloquear Todas as Portas”. Portanto, para excluir essa regra no tipo de PC remoto :
netsh advfirewall firewall delete rule name="Block Ports"
assim que este comando for executado, a referida regra será excluída. E você pode executar o
netsh advfirewall firewall show rule name=all
Comando novamente para ver o resultado :
E também podemos ver o resultado na saída do firewall regras :
Como adicionar uma regra no Firewall
Nossa carga útil normal funciona na porta 4444. Agora, se quisermos permitir a porta 4444 para que possamos fazer upload de uma carga útil que funcione na porta 4444, basta digitar :
netsh advfirewall firewall add rule name="Allow Port 4444" protocol=TCP dir=out remoteport=4444 action=allow
uma Vez que este comando executado, porta 4444 será permitido no nosso PC remoto :
Agora para bloquear parar o nosso PC remoto a partir de solicitações de ping podemos simplesmente digite :
netsh advfirewall firewall add rule name="All ICMPV4" dir=in action=block protocol=icmpv4
Quando este comando será executado, uma regra de bloqueio de ping para o nosso PC remoto será criado:
E o seguinte será o resultado :
Ver Perfil Atual Estado
Agora vamos ver como bloquear /permitir que determinado Endereço IP no PC remoto Firewall e também saiba como ver detalhes dos programas adicionados à exceção/lista de permitidos e os detalhes de porta adicionado à exceção/lista de permitidos. Junto com isso, aprenderemos como ver o status das principais configurações do Firewall e qual é o seu perfil atual, ou seja, se está ligado ou desligado.
netsh advfirewall show currentprofile
Depois de conhecer o perfil do firewall podemos ver que programas estão autorizados pelo anfitrião do PC Remoto. Para isso, digite:
netsh firewall show allowedprogram
nosso próximo comando é ver o status das configurações principais. E para vê-los, digite:
netsh firewall show config
em seguida, também podemos ver a localização do arquivo no qual todos os logs do firewall são mantidos. E para isso, digite:
netsh firewall show logging
modificando o Firewall ainda
o firewall também nos permite bloquear um único endereço IP, permitindo que outros e vice-versa. Então, Primeiro, vamos aprender como podemos bloquear um único IP para isso, digite:
netsh advfirewall firewall add rule name="IP Block" dir=in interface=any action=block remoteip=192.168.0.15/32
(no comando acima “/32” é uma máscara de sub-rede de IP.)
Depois de executar o referido comando, podemos ver o seguinte resultado:
E vamos agora ver as propriedades de bloqueios de IP de regra, podemos ver que o IP: 192.168.0.15 é bloqueado
Agora, da mesma forma, para permitir que um determinado Endereço IP, tipo de:
netsh advfirewall firewall add rule name="IP Allow" dir=in interface=any action=allow remoteip=192.168.0.15/32
(No comando acima “/32” é uma máscara de sub-rede de IP)
Depois de executar o referido comando, você pode ver o seguinte resultado:
E vamos agora ver as propriedades de bloqueios de IP de regra, podemos ver que o IP: 192.168.0.15 é Permitido :
Autor: Yashika Dhir é um apaixonado Investigador e Escritor Técnico em Hacking Artigos. Ela é uma entusiasta de hackers. entre em contato aqui
