Stellt Wireshark eine Bedrohung dar, wenn es auf einem Server in der DMZ installiert wird?

Wenn Sie Wireshark auf einem Webserver in der DMZ installieren, gibt es einen Hack, mit dem Backdoor-Zugang zu diesem Server erhalten kann, selbst wenn RDP deaktiviert ist? Ich versuche, das Kabel auf dem DMZ-Webserver zu überwachen, bekomme aber vom DMZ-Team den Pushback, dass es einen Back-Door-Hack ohne viele Details eröffnet

Eine ordnungsgemäße DMZ isoliert Hosts in der DMZ voneinander und verwaltet den Zugriff zwischen den Hosts und dem Internet / internen Netzwerk. Die DMZ-Umgebung bietet einen einzigen Choke-Point zum Durchsetzen von Sicherheits- und Zugriffsrichtlinien sowie einen einzigen Punkt zum Überwachen des Datenverkehrs in, aus und innerhalb der DMZ.

Eine DMZ ist nicht nur ein Netzwerk, das Zugang zum Internet und zum internen Netzwerk hat. Das nennt man Sicherheitsrisiko und schlechte Planung.

Es gibt potenzielle Pufferüberschreitungen und Sicherheitsrisiken bei jeder Anwendung, die Daten aus unkontrollierten Quellen bezieht, insbesondere wenn die Anwendung mit Root- / Superuser-Berechtigungen ausgeführt wird. Dies gilt für Wireshark, dies gilt für Sendmail, IIS, für alles .

Meines Wissens gibt es in Wireshark keine "RDP-Hintertüren".

Mein Punkt ist "Was ist, wenn es eine Hintertür öffnet?"

Eine richtige DMZ sollte

1. Verhindern Sie, dass dieses gefährdete System mit etwas anderem interagiert, außer auf vordefinierte Weise (DNS zum DNS-Server, FTP zum FTP-Server, http zum http-Server, aber kein SSH zu irgendetwas, kein RDP von irgendetwas zu irgendetwas usw.).
2. Stellen Sie fest, dass ein unzulässiger Datenverkehr versucht wird (ich habe gerade eine Warnung erhalten, dass der SQL Server RDP / VNC-Datenverkehr vom FTP-Server erhält!)
3. Seien Sie einfach für alle anderen im Unternehmen zu verwenden. Wenn die DMZ die Sicherheit ordnungsgemäß erzwingt, ist es sicherer, "gefährliche" Dinge dort abzulegen als im Unternehmensnetzwerk. Hätte das DMZ-Team lieber eine Hintertür zum Unternehmensnetzwerk oder zur DMZ? Die Antwort sollte "DMZ, weil wir den Verkehr in und aus der DMZ überwachen und einschränken" lauten .

Ich bin mit den oben beschriebenen DMZ-Beschreibungen nicht ganz einverstanden. Die Sicherheitsexperten, die die DMZ betreiben, haben wahrscheinlich "paranoid" in ihren Stellenbeschreibungen, und die DMZ ist ein "Produktionsraum", sehen Sie es also von ihrem Standpunkt aus.

Viele der genannten Sicherheitslücken treten aufgrund von Fehlern in Paketdissektoren auf, die nur beim interaktiven Rendern von Traces verwendet werden. Für diesen interaktiven Zugriff sind nicht dieselben erhöhten Berechtigungen erforderlich, die für die Paketerfassung erforderlich sind.

Da Sie dies anscheinend für die Analyse der lokalen Paketerfassung vom Webserver benötigen, können Sie die Funktionen trennen. Führen Sie die Paketerfassung auf einem Host aus und führen Sie die Analyse (Aktualisierung der Dissektoren usw.) von einem anderen, eingeschränkteren Nichtproduktionssegment aus, nachdem Sie die Tracedateien abgerufen haben.

Sehen

Wireshark-Sicherheit: http://wiki.wireshark.org/Security

Plattformspezifische Informationen zu Erfassungsberechtigungen: http://wiki.wireshark.org/CaptureSetup/CapturePrivileges

und implementieren Sie die dort beschriebenen Praktiken.

Wireshark bietet keinen Netzwerkdienst an und öffnet keinen Port auf dem System, auf dem es ausgeführt wird. Dies ist also einfach nicht sinnvoll. Die Installation auf einem System stellt für sich genommen keine Sicherheitsbedrohung dar.

Das einzige potenzielle Risiko besteht darin, dass jemand, der es schafft, die Kontrolle über diesen Server zu übernehmen, mithilfe von Wireshark den Netzwerkverkehr in der DMZ untersuchen kann. Wenn jedoch jemand die volle Kontrolle über Ihren Server übernimmt, kann er auch jedes gewünschte Programm darauf installieren. Wenn er es nicht installiert, kann er ihn nicht davon abhalten, es zu installieren, wenn er möchte.

Ich kann wirklich kein Problem bei der Installation auf einem Server sehen.

Wireshark hat unter seinem fairen Anteil an Sicherheitslücken durch Remote-Kompromisse gelitten [CVE-2010-1455, CVE-2010-0304, CVE-2009-4377 + 8, CVE-2009-4376] (CVE listet Hunderte auf). Wie jeder weiß, der sich an Defcon oder die Blackhat-Sicherheitskonventionen gewandt hat, ist das Ausführen von Paketsniffing-Software in einer sicheren Umgebung äußerst gefährlich. Ich würde vermuten, dass praktisch jedes in den letzten Jahren veröffentlichte Buch über Sicherheitsmetriken dringend davon abraten würde.

Eine ordnungsgemäße DMZ würde jedoch verhindern, dass ein Angreifer ohnehin eine Hebelwirkung erlangt. Sie müssen jedoch das Potenzial Ihrer IDS- oder Routing-Steuerungssoftware Ihrer Wahl abwägen, um die Nützlichkeit der Ausführung von WS zu beeinträchtigen.

Zunächst bin ich der Meinung, dass alles, was auf einem Computer in der DMZ installiert ist, ein potenzielles Sicherheitsrisiko darstellt. Ich arbeite nach dem Prinzip, dass alles in der DMZ ein Ziel ist und dort platziert wurde, um das Risiko durch Isolation zu minimieren. Eine solche Maschine sollte so behandelt werden, als wäre zu erwarten, dass sie kompromittiert wird.

Trotz des Vorstehenden während Wireshark könnte möglicherweise den Verkehr in der DMZ verwendet werden , die Realität zu sehen ist , dass, um es der Maschine zu verwenden , muss bereits compsomised werden, was bedeutet , konnte der Täter ebenso leicht selbst installieren , wenn sie wollten. Wenn Sie es bereits installiert haben, sparen Sie möglicherweise im schlimmsten Fall einige Sekunden Zeit.

Wireshark hatte in der Vergangenheit viele Schwachstellen und wird wahrscheinlich auch in Zukunft weitere entdecken. Sie liegen normalerweise in den Protokollanalysatoren. Wenn ein Angreifer speziell gestaltete Pakete sendet, kann es bei Wireshark zu einem Pufferüberlauf kommen, während diese Pakete analysiert und beliebiger Code ausgeführt werden. (RDP ist also irrelevant). Versuchen Sie es mit einem einfacheren Sniffer wie tcpdump und analysieren Sie die pcap-Dateien einfach an anderer Stelle. (Warum brauchen Sie eigentlich die GUI von Wireshark, wenn Sie nicht in die Box rDPen?) Beachten Sie außerdem, dass je nach Funktion dieses Webservers beim Aufspüren des Datenverkehrs möglicherweise Informationen angezeigt werden, die Sie nicht haben sollten.