יום ראשון, 8 בפברואר 2009

XP Firewall

לא פעם אני רואה שאנשים משתמשים ב - FW של XP כ - FW שמגן עליהם אל מול האינטרנט

ה - FW של XP נבנה עם חשיבה של רשת כך שמנהל הרשת יכול לנהל אותו בצורות שונות

כולל בעזרת SCRIPTS.

לאן אני חותר חישבו ונסו את הדבר הבא:

הפעילו את ה - FW והריצו את הפקודה הבא מ - CMD:

netsh firewall set opmode disable

מה קיבלתם FW סגור כלומר מ - CMD ניתן לכבות את ה - FW

עכשיו נסו את הדבר הבא:

netsh firewall set service remoteadmin enable

netsh firewall set service remotedesktop enable

אופס קיבלתם אפשרות שליטה ב - Remote desktop

עכשיו נניח שאתם רוצים לאפשר לתוכנה מסוימת לצאת החוצה:

netsh firewall add allowedprogram program="c:\windows\system32\calc.exe" name="calc" ENABLE scope=ALL profile=ALL

עכשיו שנו כיוון וחישבו בראש של התוקף. תוקף יכול לנצל פקודות אלו על מנת לשנות חוקים ב - FW ולאפשר לסוס הטוריאני שלו לצאת החוצה לכל מקום.

לא פעם הייתי צריך לנצל את הפקודות הנ"ל על מנת לאפשר עבודה יותר נוחה על המחשבים הניתקפים ו - MICROSOFT היו שם לעזור :)


5 תגובות:

איתן כספי אמר/ה...

פשוט אסור להשתמש ב-FW הזה. הוא לא רציני. מעבר לזה שהוא פשוט בפשוטים, הוא נועד רק להגנה מפני תקשורת נכנסת ולא יוצאת, כדי להקטין את הסיכוי להידבקות בתולעת במערכות של MS, שתדמית האבטחה של מוצרי MS לא תהיה כ"כ נמוכה.

גיא מזרחי אמר/ה...

אתה צריך להזכיר גם את WMIC כדי לסגור את המסלול ולהדליק מרחוק את השירותים האלה אם הם כבויים :)

רוני בכר אמר/ה...

גיא מסכים אבל שמרתי את הרעיון לנושא הנ"ל בפוסט אחר שבו אני ירחיב קצת על הנושא

תודה

אנונימי אמר/ה...

שלום רב,

בכל מערכת הפעלה ישנם כלי ניהול. זה שחברות לא יודעות לרכוש תוכנות שלא מחיבות Local Admin(או לפעמים זה פשוט יותר "נוח") - זה לא אומר שיצרן מערכת ההפעלה אשם (ראה Iptables).

בברכה,

יובל סיני

רוני בכר אמר/ה...

אני דיי מסכים איתך יובל הבעייה המרכזית היא שמרבית הארגונים עובדים בצורה שכולם Administrators ולפעמים אכן צריך את זה לעבודה אבל עדיין לא לכולם.
אני חושב שצריך להגדיר קבוצות שונות בארגון ולאט לאט להסיר את ההרשאות מבלי לפגוע בעבודה השוטפת.
אבל זה תהליך לא פשוט שמנהל אבטחת המידע או מנהל ה - SYSTEM צריך לקבל על עצמו לבצע ויש כאן לא מעט פוליטיקות שנכנסות לתוך התהליך.