acest articol este va oferi un ghid în profunzime post exploatare pentru a aduna toate informațiile despre firewall-ul victimei și setările de rețea.
- cuprins :
- introducere în firewall
- reguli de firewall
- avantajele Firewall-ului
- tipuri de firewall
- importanța firewall-ului
- Introducere în netsh
- cum se blochează portul TCP pe computerul de la distanță:
- Cum de a bloca mai multe porturi TCP
- cum să vizualizați regulile Firewall
- cum să ștergeți regulile Firewall
- cum se adaugă o regulă în Firewall
- Vizualizați starea curentă a profilului
- modificarea Firewall-ului în continuare
cuprins :
- Introducere în Firewall
- reguli de Firewall
- avantajele Firewall
- tipuri de Firewall
- importanța firewall
- Introducere în netsh
- cum de a bloca un port TCP pe PC la distanță
- cum să blocați mai multe porturi TCP
- cum să vizualizați regulile firewall
- cum să ștergeți regulile firewall
- cum să adăugați reguli firewall
- Vizualizați starea profilului curent
- modificarea firewall-ului în continuare
introducere în firewall
firewall este un sistem de securitate a rețelei conceput pentru a preveni accesul neautorizat la sau dintr-o rețea privată. Firewall-urile pot fi implementate în moduri variate, adică hardware, software sau o combinație a ambelor. Există multe tipuri de firewall, cum ar fi firewall Proxy, Firewall pentru aplicații, firewall Stateful, firewall pentru pachete etc.
firewall-urile sunt conectate la rețea și sunt frecvent utilizate pentru a împiedica utilizatorii neautorizați de Internet să acceseze rețele private conectate la Internet, în special intranet-urile care asigură securitatea. Toate mesajele care intră sau ies din intranet trec printr-un firewall, care examinează fiecare mesaj și le blochează pe cele care nu îndeplinesc criteriile de securitate specificate.
reguli de firewall
Firewall este funcțional pe două reguli care sunt întotdeauna înconjurate de reguli de intrare și de ieșire:
reguli de intrare: acestea sunt cele care filtrează traficul care trece de la rețea la computerul local pe baza condițiilor de filtrare specificate în regulă.
reguli de ieșire: Acestea sunt cele care filtrează traficul care trece de la computerul local la rețea pe baza condițiilor de filtrare specificate în regulă.
atât regulile de intrare, cât și cele de ieșire pot fi configurate pentru a permite sau a bloca traficul după cum este necesar.
cu alte cuvinte, putem spune că regulile de intrare sunt regulile legate de traficul care intră pe computer. Dacă executați un Server Web pe computer, atunci va trebui să spuneți Firewall-ului că persoanele din afară au voie să se conecteze la acesta. Mai mult, regulile de ieșire clasifică unele programe pentru a utiliza Internetul, dar blochează altele, deoarece regulile de ieșire sunt legate de traficul trimis de pe computer. Veți dori să lăsați browserul dvs. Web (Internet Explorer, Firefox, Safari, Chrome, Opera…) să aibă acces la Internet, dar în același timp cu ajutorul regulii de ieșire puteți bloca site-urile web dorite, astfel încât poate fi introdusă o comandă care afișează că paravanul de protecție Windows este permis sau interzis.
avantajele Firewall-ului
- izolarea rețelei
- flexibilitatea rețelei
- nu este necesară protecția împotriva malware-ului
- fără întreținere
tipuri de firewall
- firewall de filtrare a pachetelor
- firewall cu pârghie de circuit
- Firewall de inspecție Stateful
- firewall la nivel de aplicație
- firewall-uri de ultimă generație
importanța firewall-ului
un firewall a devenit acum o parte importantă a unei rețele. Firewall-ul este important deoarece :
- vă protejează computerul de accesul neautorizat la distanță
- blochează conectarea mesajelor dvs. la conținut nedorit
- va bloca conținutul inutil și imoral
- se potrivește cu detaliile pachetelor de date pentru informații fiabile.
- IP-ul și Domeniul pot fi, de asemenea, blocate sau permise.
Introducere în netsh
Netsh este un utilitar de linie de comandă care vă permite să afișați configurația rețelei computerului până la timp sau puteți modifica configurația de rețea a unui computer care rulează în prezent. Comenzile Netsh pot fi rulate tastând comenzi la promptul netsh și pot fi utilizate în fișiere batch sau scripturi. Computerele de la distanță și computerul local pot fi configurate utilizând comenzi netsh. Netsh oferă, de asemenea, o caracteristică de scriptare care vă permite să rulați un grup de comenzi în modul lot împotriva unui computer specificat. Cu netsh, puteți salva un script de configurare într-un fișier text în scopuri de arhivare sau pentru a vă ajuta să configurați alte computere.
(referință: https://docs.microsoft.com/en-us/windows-server/networking/technologies/netsh/netsh-contexts)
acum, să presupunem că firewall-ul PC-ului victimei este activat:
deci, pentru a opri firewall-ul PC-ului victimei, în primul rând, obțineți o sesiune prin meterpreter și apoi luați privilegiile de administrator ale PC-ului la distanță. Treceți la shell-ul PC-ului la distanță și scrieți
netsh firewall set opmode mode=disable
și astfel, firewall-ul PC-ului la distanță va fi dezactivat.
cum se blochează portul TCP pe computerul de la distanță:
nu numai că putem opri sau activa firewall-ul prin Metasploit, dar putem bloca și permite accesul la orice port anume. Da, asta înseamnă că putem controla regulile de intrare și de ieșire. Din nou, după ce sesiunea prin meterpreter și ocolind privilegiile administrative și mergând la shell-ul PC-ului la distanță, tastați
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80 action=block
aici,
Name = numele regulii. (Alegeți ceva descriptiv)
Protocol = protocolul pe care îl vom bloca (UDP sau TCP pentru majoritatea cazurilor)
Dir = direcția blocului. Poate fi IN sau OUT
Port la distanță = portul gazdei la distanță care va fi blocat
acțiune = ar putea fi blocat sau permis. În cazul nostru, dorim să blocăm conexiunea
odată ce executați codul de mai sus, toate cererile de ieșire către orice gazdă de pe portul 80 vor fi blocate și adaugă o intrare la paravanul de protecție Windows:
și dacă verificați proprietățile sale și faceți clic pe fila’ protocoale și porturi’, atunci puteți vedea rezultatul.
Cum de a bloca mai multe porturi TCP
acum, că avem cum de a bloca un port în PC la distanță, să ne sape un pic mai adânc i.e nu putem bloca doar un port, ci și două sau mai mult de două. Și pentru a bloca două la mai multe porturi, luați din nou o sesiune meterpreter, precum și privilegii de administrator ale PC-ului la distanță și doar scrieți
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80,443 action=block
odată ce executați codul de mai sus, toate cererile de ieșire către orice gazdă de pe portul 80 vor fi blocate și adaugă o intrare la paravanul de protecție Windows:
și dacă verificați proprietățile sale și faceți clic pe fila ‘protocoale și porturi’, atunci veți găsi că acum a blocat atât portul 80, cât și portul 443:
acum, prin blocarea porturilor 80 și 443 am blocat serviciile HTTP și HTTPS de pe computerul de la distanță și astfel victima noastră nu va putea accesa niciun site web. Și este afișată următoarea eroare :
cum să vizualizați regulile Firewall
acum vom învăța cum să vizualizați regulile de intrare și ieșire ale firewall-ului în PC-ul de la distanță, cum să ștergeți o regulă, cum să permiteți portul pe care va funcționa sarcina noastră utilă în viitor, cum să opriți computerul de la distanță să nu fie ping.
În primul rând, să presupunem că există un port blocat într-o regulă de ieșire în PC-ul nostru la distanță:
pentru a ști ce regulă este activată și dezactivată în computerul nostru la distanță, faceți o sesiune prin meterpreter și bypass privilegii de administrator. După ce faceți acest lucru, tastați:
netsh advfirewall firewall show rule name=all
odată ce această comandă este executată, toate regulile vor fi afișate :
cum să ștergeți regulile Firewall
în imaginea de mai sus, putem vedea că portul 80 și portul 443 sunt blocate sub numele de regulă „Blocați toate porturile”. Deci, pentru a șterge această regulă în tipul de PC la distanță :
netsh advfirewall firewall delete rule name="Block Ports"
odată executată această comandă, regula menționată va fi ștearsă. Și puteți rula
netsh advfirewall firewall show rule name=all
comanda din nou pentru a vedea rezultatul :
și putem vedea, de asemenea, rezultatul în regulile de ieșire firewall :
cum se adaugă o regulă în Firewall
sarcina noastră utilă normală funcționează pe portul 4444. Acum, dacă vrem să permitem portul 4444, astfel încât să putem încărca o sarcină utilă care funcționează pe portul 4444, trebuie doar să tastăm :
netsh advfirewall firewall add rule name="Allow Port 4444" protocol=TCP dir=out remoteport=4444 action=allow
odată executată această comandă, portul 4444 va fi permis pe computerul nostru la distanță:
acum, pentru a bloca opri PC-ul nostru la distanță de a fi pinged putem doar de tip :
netsh advfirewall firewall add rule name="All ICMPV4" dir=in action=block protocol=icmpv4
când această comandă va fi executată, va fi creată o regulă care blochează ping-ul pe computerul nostru la distanță:
și următoarele vor fi rezultatul :
Vizualizați starea curentă a profilului
acum vom vedea cum să blocăm /să permitem o anumită adresă IP în Firewall-ul PC-ului la distanță și, de asemenea, să învățăm cum să vizualizăm detaliile programelor adăugate la lista de excepții/permise și detaliile portului adăugate la lista de excepții/permise. Odată cu aceasta, vom învăța cum să vedem starea setărilor principale ale Firewall-ului și care este profilul său actual, adică dacă este activat sau dezactivat.
netsh advfirewall show currentprofile
după cunoașterea profilului firewall-ului, putem vedea ce programe sunt permise de gazda PC-ului la distanță. Pentru aceasta, tastați:
netsh firewall show allowedprogram
următoarea noastră comandă este să vedem starea setărilor principale. Și pentru a le vedea, tastați:
netsh firewall show config
în continuare, putem vedea și locația fișierului în care sunt păstrate toate jurnalele firewall. Și pentru asta, tastați:
netsh firewall show logging
modificarea Firewall-ului în continuare
firewall-ul ne permite, de asemenea, să blocăm o singură adresă IP, permițând în același timp altora și invers. Deci, mai întâi să ne învețe cum putem bloca un singur IP pentru acest tip:
netsh advfirewall firewall add rule name="IP Block" dir=in interface=any action=block remoteip=192.168.0.15/32
(în comanda de mai sus” /32 ” este o mască de subrețea a IP.)
după executarea comenzii menționate, putem vedea următorul rezultat:
și acum vedem proprietățile regulii blocului IP putem vedea că IP: 192.168.0.15 este blocat
acum, în mod similar, pentru a permite o anumită adresă IP, tastați:
netsh advfirewall firewall add rule name="IP Allow" dir=in interface=any action=allow remoteip=192.168.0.15/32
(în comanda de mai sus „/32 ” este o mască de subrețea a IP)
după executarea comenzii menționate, puteți vedea următorul rezultat:
și acum vedem proprietățile regulii blocului IP putem vedea că IP: 192.168.0.15 este permis :
autor: Yashika Dhir este un cercetător pasionat și scriitor tehnic la Hacking articole. Ea este un pasionat de hacking. contact aici
