G33*_*una 7 security dmz wireshark
如果您在位于 DMZ 中的 Web 服务器上安装了 wireshark,即使 RDP 被禁用,是否有可以用来获得该服务器的后门入口的黑客?我正在尝试监控 DMZ 网络服务器上的线路,但从 DMZ 团队那里得到了反驳,说它打开了一个没有很多细节的后门黑客
chr*_*ris 11
除了管理主机与互联网/内部网络之间的访问之外,适当的 DMZ 还将 DMZ 上的主机彼此隔离。DMZ 环境提供了一个阻塞点来实施安全和访问策略,并提供一个单点来监控进出 DMZ 和进出 DMZ 的流量。
DMZ 不仅仅是可以访问 Internet 和内部网络的网络。这就是所谓的安全风险和糟糕的计划。
任何从不受控制的来源获取数据的应用程序都存在潜在的缓冲区溢出和安全风险,尤其是当应用程序以 root/超级用户权限运行时。对wireshark 如此,对sendmail、IIS 如此,对任何事物都如此。
据我所知,wireshark 中没有任何“RDP 后门”。
我的观点是“如果它确实打开了后门怎么办?”
一个适当的 DMZ 应该
我并不完全同意上述 DMZ 描述。操作 DMZ 的安全专业人员在他们的工作描述中可能有“偏执狂”,而 DMZ 是一个“生产”空间,所以从他们的角度来看。
引用的许多漏洞都是由于数据包解析器中的缺陷而发生的,这些数据包解析器仅在交互式渲染跟踪过程中使用。这种交互式访问不需要数据包捕获所需的相同提升权限。
既然您似乎需要它来分析来自 Web 服务器的本地数据包捕获,为什么不将功能分开?在一台主机上运行数据包捕获,并在检索跟踪文件后从另一个更受限制的非生产段进行分析(使解剖器保持最新等)。
看
Wireshark 安全:http : //wiki.wireshark.org/Security
有关捕获权限的特定于平台的信息:http : //wiki.wireshark.org/CaptureSetup/CapturePrivileges
并实施那里描述的做法。
| 归档时间: |
|
| 查看次数: |
9990 次 |
| 最近记录: |