Egresser是一个基于Perl的工具,用于枚举出站防火墙规则,专为渗透测试人员设计,用于评估出口过滤是否适用于公司网络。依次探测每个TCP端口,Egresser服务器将使用客户端的源IP地址和端口进行响应,允许客户端确定是否允许出站端口(在IPv4和IPv6上)以及评估NAT遍历是否可能正在发生。
这个怎么运作服务器端脚本与Iptables结合使用 - 将所有TCP流量重定向到“真实”服务器所在的端口8080。服务器端脚本是用Perl编写的,是一个利用Net :: Server :: Prefork的预分叉服务器,如果可用的话,同时监听IPv4和IPv6。任何TCP连接都会产生一个简单的响应,其中包含由连接客户端的IP和端口组成的空终止字符串。如果您在没有访问Egresser客户端的受限环境中,请随意使用Telnet与服务进行交互(我们的Egresser服务器可以在egresser.labs.cyberis.co.uk找到,您可以将其用于合法目的)。
客户端也是用Perl编写的,并且具有高速度。默认情况下,它将扫描TCP端口1-1024,尽管这可以在脚本中进行配置。可以使用'-4'命令行参数强制IPv4,或使用'-6'强制IPv6; 默认情况下,它将选择操作系统首选的协议。如果要显式列出所有打开/关闭端口,请指定详细标志(-v),因为正常输出仅是允许端口的简明摘要。
为什么?建议在企业环境中限制出站防火墙规则,以确保不容易规避边界控制。例如,组织内不充分的出口过滤将允许恶意用户通过更改浏览器的连接设置,轻松绕过提供过滤日志记录的Web代理。还存在许多其他示例 - 许多蠕虫分布在SMB协议上,恶意软件可以使用多种渠道来泄露数据,并且可能未经授权的软件(例如,torrent / P2P文件共享)可以自由运行,浪费公司资源并显着增加恶意代码的可能性引入环境。
通常,建议应限制所有出站协议,并根据具体情况允许来自特定主机的异常。Web浏览应仅通过专用Web代理进行,任何尝试的直接连接都由外围防火墙记录并根据需要进行调查。Egresser是一个简单易用的工具,允许渗透测试人员快速枚举企业环境中允许的端口。
文章来源:http://www.effecthacking.com/201 ... firewall-rules.html
你可能喜欢