Представляет ли Wireshark угрозу при установке на сервере в демилитаризованной зоне?

Правильная DMZ изолирует хосты в DMZ друг от друга в дополнение к управлению доступом между хостами и Интернетом / внутренней сетью. Среда DMZ обеспечивает единую точку доступа для обеспечения безопасности и политик доступа, а также предоставляет единую точку для мониторинга трафика в, из и внутри DMZ.

DMZ - это не просто сеть, имеющая доступ к Интернету и внутренней сети. Это называется угрозой безопасности и плохим планированием.

Существуют потенциальные переполнения буфера и риски безопасности для любого приложения, которое берет данные из неконтролируемых источников, особенно если приложение работает с привилегиями root / суперпользователя. Это верно для wirehark, это верно для sendmail, IIS, верно для что-нибудь.

Насколько мне известно, в wirehark нет никаких «задних дверей RDP».

Я хочу сказать: «А что, если это откроет черный ход?»

Правильная DMZ должна

1. предотвратить взаимодействие этой скомпрометированной системы с чем-либо еще, кроме предопределенного способа (DNS на DNS-сервер, ftp на FTP-сервер, http на http-сервер, но без ssh ни с чем, без rdp ни с чем ни с чем и т. д.)
2. Определите, что пытается иметь место неправильный трафик (я только что получил предупреждение о том, что SQL-сервер получает трафик RDP / VNC с FTP-сервера!)
3. Будьте просты в использовании для всех на предприятии. Если DMZ должным образом обеспечивает безопасность, безопаснее размещать «опасные» вещи там, чем в корпоративной сети. Будет ли команда DMZ иметь лазейку в корпоративной сети или в DMZ? Ответ должен быть "DMZ, потому что мы отслеживаем и ограничиваем трафик в и из DMZ ".

Я не полностью согласен с описанием DMZ, описанным выше. Специалисты по безопасности, которые управляют DMZ, вероятно, имеют в своих должностных инструкциях «параноик», а DMZ - это «производственное» пространство, так что смотрите на это с их точки зрения.

Многие из указанных уязвимостей возникают из-за недостатков в анализаторах пакетов, которые используются только во время интерактивного рендеринга трассировок. Этот интерактивный доступ не требует тех же повышенных привилегий, которые требуются для захвата пакетов.

Поскольку вам кажется, что это нужно для анализа локального захвата пакетов с веб-сервера, почему бы не разделить функции? Запустите захват пакетов на одном хосте и проведите анализ (поддержание диссекторов в актуальном состоянии и т. Д.) Из другого, более ограниченного, непроизводственного сегмента после получения файлов трассировки.

Видеть

Wireshark Security: http://wiki.wireshark.org/Security

Специфическая для платформы информация о привилегиях захвата: http://wiki.wireshark.org/CaptureSetup/CapturePrivileges

и внедрить описанные там практики.

Wireshark не предлагает никаких сетевых служб и не открывает ни одного порта в системе, в которой он работает, так что это просто не имеет смысла. Его установка в системе сама по себе не представляет угрозы безопасности.

Единственный потенциальный риск здесь заключается в том, что если кому-то удастся взять под контроль этот сервер, он сможет использовать Wireshark для проверки сетевого трафика в DMZ. Но если кто-то получит полный контроль над вашим сервером, он также может установить на нем любую программу, которую захочет ... поэтому ее отсутствие не помешает ему установить ее, если он захочет.

Я действительно не вижу проблем в установке его на сервере.

Wireshark часто страдает от уязвимостей удаленного взлома [CVE-2010-1455, CVE-2010-0304, CVE-2009-4377 + 8, CVE-2009-4376] (CVE перечисляет сотни). Любой, кто перешел на Defcon или Blackhat, знает, что запуск любого программного обеспечения для перехвата пакетов крайне опасно, если вы находитесь в безопасной среде. Я предполагаю, что практически каждая книга по метрикам безопасности, опубликованная за последние несколько лет, настоятельно рекомендовала бы отказаться от этого.

Тем не менее, надлежащая DMZ в любом случае помешает злоумышленнику получить какие-либо рычаги воздействия, однако вам необходимо взвесить потенциал вашей IDS или выбранного программного обеспечения для управления маршрутизацией, которое может быть скомпрометировано полезностью запуска WS.

Во-первых, я считаю, что все постороннее, установленное на любом компьютере в демилитаризованной зоне, представляет собой потенциальную угрозу безопасности. Я работаю по принципу, что все, что находится в демилитаризованной зоне, является целью и было размещено там, чтобы попытаться минимизировать риск путем изоляции. С такой машиной следует обращаться так, как если бы можно было ожидать ее взлома.

Несмотря на вышесказанное, в то время как Wireshark мог потенциально может использоваться для наблюдения за трафиком в демилитаризованной зоне, но реальность такова, что для его использования машина уже должна быть дополнена, а это означает, что злоумышленник может так же легко установить ее самостоятельно, если захочет. Если он уже установлен, в худшем случае вы сэкономите им несколько секунд времени.

У Wireshark было множество уязвимостей в прошлом, и, вероятно, в будущем будет обнаруживаться еще больше. Обычно они лежат в анализаторах протокола. Если злоумышленник отправляет специально созданные пакеты, Wireshark может иметь переполнение буфера при анализе этих пакетов и выполнении произвольного кода. (Так что RDP не имеет значения). Попробуйте использовать более простой сниффер, например tcpdump, и просто проанализируйте файлы pcap в другом месте. (Зачем вам действительно нужен графический интерфейс Wireshark, если вы не используете RDP в коробке?) Еще одна вещь, о которой следует помнить, - это то, что в зависимости от того, что делает этот веб-сервер, анализ трафика может выявить информацию, которой вы не должны обладать.