Stellt Wireshark eine Bedrohung dar, wenn es auf einem Server in der DMZ installiert wird?

7

Wenn Sie Wireshark auf einem Webserver in der DMZ installieren, gibt es einen Hack, mit dem Backdoor-Zugang zu diesem Server erhalten kann, selbst wenn RDP deaktiviert ist? Ich versuche, das Kabel auf dem DMZ-Webserver zu überwachen, bekomme aber vom DMZ-Team den Pushback, dass es einen Back-Door-Hack ohne viele Details eröffnet

security dmz wireshark G33kKahuna
quelle

Antworten:

11

Eine ordnungsgemäße DMZ isoliert Hosts in der DMZ voneinander und verwaltet den Zugriff zwischen den Hosts und dem Internet / internen Netzwerk. Die DMZ-Umgebung bietet einen einzigen Choke-Point zum Durchsetzen von Sicherheits- und Zugriffsrichtlinien sowie einen einzigen Punkt zum Überwachen des Datenverkehrs in, aus und innerhalb der DMZ.

Eine DMZ ist nicht nur ein Netzwerk, das Zugang zum Internet und zum internen Netzwerk hat. Das nennt man Sicherheitsrisiko und schlechte Planung.

Es gibt potenzielle Pufferüberschreitungen und Sicherheitsrisiken bei jeder Anwendung, die Daten aus unkontrollierten Quellen bezieht, insbesondere wenn die Anwendung mit Root- / Superuser-Berechtigungen ausgeführt wird. Dies gilt für Wireshark, dies gilt für Sendmail, IIS, für alles .

Meines Wissens gibt es in Wireshark keine "RDP-Hintertüren".

Mein Punkt ist "Was ist, wenn es eine Hintertür öffnet?"

Eine richtige DMZ sollte

  1. Verhindern Sie, dass dieses gefährdete System mit etwas anderem interagiert, außer auf vordefinierte Weise (DNS zum DNS-Server, FTP zum FTP-Server, http zum http-Server, aber kein SSH zu irgendetwas, kein RDP von irgendetwas zu irgendetwas usw.).
  2. Stellen Sie fest, dass ein unzulässiger Datenverkehr versucht wird (ich habe gerade eine Warnung erhalten, dass der SQL Server RDP / VNC-Datenverkehr vom FTP-Server erhält!)
  3. Seien Sie einfach für alle anderen im Unternehmen zu verwenden. Wenn die DMZ die Sicherheit ordnungsgemäß erzwingt, ist es sicherer, "gefährliche" Dinge dort abzulegen als im Unternehmensnetzwerk. Hätte das DMZ-Team lieber eine Hintertür zum Unternehmensnetzwerk oder zur DMZ? Die Antwort sollte "DMZ, weil wir den Verkehr in und aus der DMZ überwachen und einschränken" lauten .
chris
quelle
1
+1 für die Erklärung der wahren Essenz einer DMZ, die in der Praxis stark übersehen wird
Squillman
1
+1 - Ich bin völlig einverstanden mit Squillman bezüglich der üblichen DMZ-Praktiken. Ich bin auf eine gute Anzahl von DMZs gestoßen, die der Rechnung eines "vom LAN getrennten gerouteten IP-Subnetzes mit uneingeschränktem Zugriff auf das LAN und das Internet, das an einer dedizierten Schnittstelle an einer Firewall hängt" entsprechen. > seufz <
Evan Anderson
@chris: Ich bin mit der Definition von DMZ hier nicht einverstanden. Im Allgemeinen ist die DMZ (De-Militarized Zone) ein Subnetz mit UNFILTERED-Zugriff auf / vom INTERNET. Daher der Begriff. Der Datenverkehr von der DMZ zum internen Netzwerk wird gefiltert. Das bedeutet nicht, dass das Internet nicht überwacht, sondern nicht gefiltert wird. Hosts in einer DMZ sind normalerweise gehärtet, weil sie sich verteidigen müssen. Das von Ihnen beschriebene Szenario (Schutz jedes DMZ-Hosts vor jedem anderen DMZ-Host) entspricht NICHT dem, was ich in der typischen DMZ erwarten würde. Klingt für mich eher nach Zugriffskontrolle zwischen VLANs.
paxos1977
@Evan Anderson: DMZ sollte keinen ungefilterten Zugriff auf das sichere interne Netzwerk haben ... Der gesamte Datenverkehr im sicheren internen Netzwerk sollte nach dem Prinzip der geringsten Berechtigung kommen und gehen.
paxos1977
@ceretullis: Ich habe meine Frustration darüber zum Ausdruck gebracht, wie viele DMZ-Netzwerke ungefilterten Zugriff auf das sichere LAN haben, wie Squillnan beobachtet hat. Zu viele DMZs sind wirklich nur kleine sichere LAN-Subnetze, die an einer dedizierten Firewall-Schnittstelle hängen, anstatt tatsächlich gute Filterregeln zu haben. FWIW, ich würde immer noch den Zugang vom / zum Internet in eine DMZ filtern. Eine weitere Sicherheitsebene tut nicht weh.
Evan Anderson
5

Ich bin mit den oben beschriebenen DMZ-Beschreibungen nicht ganz einverstanden. Die Sicherheitsexperten, die die DMZ betreiben, haben wahrscheinlich "paranoid" in ihren Stellenbeschreibungen, und die DMZ ist ein "Produktionsraum", sehen Sie es also von ihrem Standpunkt aus.

Viele der genannten Sicherheitslücken treten aufgrund von Fehlern in Paketdissektoren auf, die nur beim interaktiven Rendern von Traces verwendet werden. Für diesen interaktiven Zugriff sind nicht dieselben erhöhten Berechtigungen erforderlich, die für die Paketerfassung erforderlich sind.

Da Sie dies anscheinend für die Analyse der lokalen Paketerfassung vom Webserver benötigen, können Sie die Funktionen trennen. Führen Sie die Paketerfassung auf einem Host aus und führen Sie die Analyse (Aktualisierung der Dissektoren usw.) von einem anderen, eingeschränkteren Nichtproduktionssegment aus, nachdem Sie die Tracedateien abgerufen haben.

Sehen

Wireshark-Sicherheit: http://wiki.wireshark.org/Security

Plattformspezifische Informationen zu Erfassungsberechtigungen: http://wiki.wireshark.org/CaptureSetup/CapturePrivileges

und implementieren Sie die dort beschriebenen Praktiken.

Medina
quelle
+1 für Vulns in Paketsektoren
Josh Brower
3

Wireshark bietet keinen Netzwerkdienst an und öffnet keinen Port auf dem System, auf dem es ausgeführt wird. Dies ist also einfach nicht sinnvoll. Die Installation auf einem System stellt für sich genommen keine Sicherheitsbedrohung dar.

Das einzige potenzielle Risiko besteht darin, dass jemand, der es schafft, die Kontrolle über diesen Server zu übernehmen, mithilfe von Wireshark den Netzwerkverkehr in der DMZ untersuchen kann. Wenn jedoch jemand die volle Kontrolle über Ihren Server übernimmt, kann er auch jedes gewünschte Programm darauf installieren. Wenn er es nicht installiert, kann er ihn nicht davon abhalten, es zu installieren, wenn er möchte.

Ich kann wirklich kein Problem bei der Installation auf einem Server sehen.

Massimo
quelle
Wenn ich Wireshark auf einem System in der DMZ installiert habe, sollte ich in der Lage sein, meinen Verkehr und und meinen Verkehr allein zu sehen. Ansonsten ist die DMZ nicht wirklich gut gestaltet.
Chris
Massimo, touche ...
G33kKahuna
1

Wireshark hat unter seinem fairen Anteil an Sicherheitslücken durch Remote-Kompromisse gelitten [CVE-2010-1455, CVE-2010-0304, CVE-2009-4377 + 8, CVE-2009-4376] (CVE listet Hunderte auf). Wie jeder weiß, der sich an Defcon oder die Blackhat-Sicherheitskonventionen gewandt hat, ist das Ausführen von Paketsniffing-Software in einer sicheren Umgebung äußerst gefährlich. Ich würde vermuten, dass praktisch jedes in den letzten Jahren veröffentlichte Buch über Sicherheitsmetriken dringend davon abraten würde.

Eine ordnungsgemäße DMZ würde jedoch verhindern, dass ein Angreifer ohnehin eine Hebelwirkung erlangt. Sie müssen jedoch das Potenzial Ihrer IDS- oder Routing-Steuerungssoftware Ihrer Wahl abwägen, um die Nützlichkeit der Ausführung von WS zu beeinträchtigen.

ŹV -
quelle
Zephyr, danke. Die meisten CVE-Listen enthalten Pufferüberläufe und DOS, was auch bei IIS / Apache in der DMZ der Fall ist. Ich habe einige der CVEs recherchiert und sie listen aufgrund von Pufferüberläufen keine Hintertür auf, nur DOS. Ich muss Massimo unten zustimmen, wenn wireshark einen Dienst abhört, aber keinen Dienst hat, der den Zugriff auf einen bestimmten Port ermöglicht. Als Test habe ich IIS auf Port 80 gestoppt, während Wireshark Port 80 abhörte, und einen Online-Port-Scanner gestartet, um nach Port 80 zu suchen. Er wurde als blockiert zurückgegeben. Ich lasse den Scanner für alle Fälle an allen Ports laufen
G33kKahuna
Jeder Angriff vom Typ Pufferüberlauf, der zum Absturz eines Programms führt, kann möglicherweise auch ausgenutzt werden, um Zugriff auf das System zu erhalten. Es ist nicht einfach oder immer möglich, aber wenn Sie ein Programm zum Absturz bringen können, achten Sie darauf, dass möglicherweise jemand anderes das Programm veranlasst, ein Programm auszuführen, das nicht ausgeführt werden soll.
Chris
Denken Sie daran, dass aufgrund der Natur von Wireshark viele der gefährlichen Fehler keine Pufferüberläufe sind (die in der modernen Welt ziemlich leicht zu mindern sind), sondern Analysefehler wie nutzungsfreie Angriffe oder ungültige Zeiger, die durch Heap ausgenutzt werden können Sprühen (Anstatt den Heap mit Javascript zu besprühen, wie Sie es bei anderen clientseitigen Angriffen wie Webbrowsern tun würden, würden Sie dies natürlich mit Netzwerkverkehr tun)
ŹV -
1

Zunächst bin ich der Meinung, dass alles, was auf einem Computer in der DMZ installiert ist, ein potenzielles Sicherheitsrisiko darstellt. Ich arbeite nach dem Prinzip, dass alles in der DMZ ein Ziel ist und dort platziert wurde, um das Risiko durch Isolation zu minimieren. Eine solche Maschine sollte so behandelt werden, als wäre zu erwarten, dass sie kompromittiert wird.

Trotz des Vorstehenden während Wireshark könnte möglicherweise den Verkehr in der DMZ verwendet werden , die Realität zu sehen ist , dass, um es der Maschine zu verwenden , muss bereits compsomised werden, was bedeutet , konnte der Täter ebenso leicht selbst installieren , wenn sie wollten. Wenn Sie es bereits installiert haben, sparen Sie möglicherweise im schlimmsten Fall einige Sekunden Zeit.

John Gardeniers
quelle
1

Wireshark hatte in der Vergangenheit viele Schwachstellen und wird wahrscheinlich auch in Zukunft weitere entdecken. Sie liegen normalerweise in den Protokollanalysatoren. Wenn ein Angreifer speziell gestaltete Pakete sendet, kann es bei Wireshark zu einem Pufferüberlauf kommen, während diese Pakete analysiert und beliebiger Code ausgeführt werden. (RDP ist also irrelevant). Versuchen Sie es mit einem einfacheren Sniffer wie tcpdump und analysieren Sie die pcap-Dateien einfach an anderer Stelle. (Warum brauchen Sie eigentlich die GUI von Wireshark, wenn Sie nicht in die Box rDPen?) Beachten Sie außerdem, dass je nach Funktion dieses Webservers beim Aufspüren des Datenverkehrs möglicherweise Informationen angezeigt werden, die Sie nicht haben sollten.

PopularIsn'tRight
quelle