Egresser - это инструмент на основе Perl для перечисления правил брандмауэра исходящего трафика, разработанный для тестировщиков на проникновение, чтобы оценить адекватность исходящей фильтрации из корпоративной сети. Поочередно проверяя каждый TCP-порт, сервер Egresser ответит исходным IP-адресом и портом клиента, позволяя клиенту определить, разрешен ли исходящий порт (как на IPv4, так и на IPv6), и оценить, вероятно ли прохождение NAT.
Как это работает?
Серверный сценарий работает в сочетании с Iptables - перенаправляя весь TCP-трафик на порт 8080, где находится «настоящий» сервер. Сценарий на стороне сервера написан на Perl и представляет собой предварительный форк-сервер, использующий Net :: Server :: Prefork, прослушивающий как IPv4, так и IPv6, если они доступны. Любое TCP-соединение приводит к простому ответу, содержащему строку с завершающим нулем, состоящую из IP-адреса и порта подключающегося клиента. Не стесняйтесь использовать Telnet для взаимодействия со службой, если вы находитесь в ограниченной среде без доступа к клиенту Egresser (наш сервер Egresser можно найти по адресу egresser.labs.cyberis.co.uk, который вы можете использовать в законных целях).
Клиент также написан на Perl и имеет многопоточность для повышения скорости. По умолчанию он будет сканировать TCP-порты 1-1024, хотя это можно настроить в сценарии. Можно принудительно настроить IPv4 с помощью аргумента командной строки «-4» или IPv6 с помощью «-6»; по умолчанию он выберет протокол, предпочитаемый вашей операционной системой. Если вы хотите явно перечислить все открытые / закрытые порты, укажите подробный флаг (-v), поскольку обычный вывод представляет собой краткую сводку только разрешенных портов.
Зачем?
Рекомендуется ограничить правила исходящего брандмауэра в корпоративной среде, чтобы исключить возможность обхода контроля периметра. Например, неадекватная исходящая фильтрация внутри организации позволит злоумышленнику тривиально обойти веб-прокси, обеспечивающий фильтрацию / AV / ведение журнала, просто изменив настройки подключения браузера. Существует также множество других примеров - многие черви распространяются по протоколам SMB, вредоносные программы могут использовать многочисленные каналы для эксфильтрации данных, а потенциально несанкционированное программное обеспечение (например, торрент / P2P-файлы) может свободно работать, тратя ресурсы компании и значительно увеличивая вероятность заражения вредоносным кодом. внесены в окружающую среду.
Как правило, рекомендуется ограничить все исходящие протоколы, разрешив исключения от определенных хостов в каждом конкретном случае. Просмотр веб-страниц должен осуществляться только через выделенные веб-прокси, при этом любые попытки прямого подключения регистрируются межсетевым экраном периметра и исследуются по мере необходимости. Egresser - это простой в использовании инструмент, позволяющий тестеру на проникновение быстро перечислять разрешенные порты в корпоративной среде.
Как это работает?
Серверный сценарий работает в сочетании с Iptables - перенаправляя весь TCP-трафик на порт 8080, где находится «настоящий» сервер. Сценарий на стороне сервера написан на Perl и представляет собой предварительный форк-сервер, использующий Net :: Server :: Prefork, прослушивающий как IPv4, так и IPv6, если они доступны. Любое TCP-соединение приводит к простому ответу, содержащему строку с завершающим нулем, состоящую из IP-адреса и порта подключающегося клиента. Не стесняйтесь использовать Telnet для взаимодействия со службой, если вы находитесь в ограниченной среде без доступа к клиенту Egresser (наш сервер Egresser можно найти по адресу egresser.labs.cyberis.co.uk, который вы можете использовать в законных целях).
Клиент также написан на Perl и имеет многопоточность для повышения скорости. По умолчанию он будет сканировать TCP-порты 1-1024, хотя это можно настроить в сценарии. Можно принудительно настроить IPv4 с помощью аргумента командной строки «-4» или IPv6 с помощью «-6»; по умолчанию он выберет протокол, предпочитаемый вашей операционной системой. Если вы хотите явно перечислить все открытые / закрытые порты, укажите подробный флаг (-v), поскольку обычный вывод представляет собой краткую сводку только разрешенных портов.
Зачем?
Рекомендуется ограничить правила исходящего брандмауэра в корпоративной среде, чтобы исключить возможность обхода контроля периметра. Например, неадекватная исходящая фильтрация внутри организации позволит злоумышленнику тривиально обойти веб-прокси, обеспечивающий фильтрацию / AV / ведение журнала, просто изменив настройки подключения браузера. Существует также множество других примеров - многие черви распространяются по протоколам SMB, вредоносные программы могут использовать многочисленные каналы для эксфильтрации данных, а потенциально несанкционированное программное обеспечение (например, торрент / P2P-файлы) может свободно работать, тратя ресурсы компании и значительно увеличивая вероятность заражения вредоносным кодом. внесены в окружающую среду.
Как правило, рекомендуется ограничить все исходящие протоколы, разрешив исключения от определенных хостов в каждом конкретном случае. Просмотр веб-страниц должен осуществляться только через выделенные веб-прокси, при этом любые попытки прямого подключения регистрируются межсетевым экраном периметра и исследуются по мере необходимости. Egresser - это простой в использовании инструмент, позволяющий тестеру на проникновение быстро перечислять разрешенные порты в корпоративной среде.