作者:by降龙 i春秋社区 引言 在一些针对外网到内网环境的测试场景中,我们经常会遇到一些诸如下图中类似尴尬的情况: 上面两图,我来解释一下。第一幅图是拿到一台服务器的网站应用的命令执行权限,并使用中国菜刀查看了目标系统的端口开放情况;第二幅图是我们用扫描器对目标系统进行RDP 服务3389端口扫描,结果.....没扫到。 表哥们初次遇到类似这种情况,肯定会自问:“Why?为什么会这样?这Tm连不上?有毒?白弄了几天?我@%#^!@*&&!@#&@#...............”,其实到这里,有些细心的表哥就会想到,目标是不是内网操作系统?是不是没有做端口映射?其实我要写的情况不是这个问题: 233333,这就是本机搭建的环境,所以说这种尴尬的事情,即使是DMZ了的内网系统,有的时候也不是内网环境导致的问题。 OK,我们现在就把这个问题延伸到现实场景,我们一起看一下这种配置的原理! IP安全策略 前面我们使用的配置,得益于windows本地安全策略中的IP安全策略。 “IP安全策略是一个给予通讯分析的策略,它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合,然后决定是允许还是拒绝通讯的传输,它弥补了传统TCP/IP设计上的'随意信任'重大安全漏洞,可以实现更仔细更精确的TCP/IP安全,也就是说,当我们配置好IP安全策略后,就相当于拥有了一个免费,但功能完善的个人防火墙。” ——百度百科 个人理解,IP安全策略与windows的防火墙的不同,在于它提供了一个更底层的TCP/IP访问策略,可以更有效的对操作系统与外界系统间的网络联系进行控制。举个例子: Windows防火墙侧重于对应用程序的网络访问策略: IP安全策略只在乎操作系统的网络数据流的访问策略: 相比之下,IP安全策略对于网络的限制是绝对的,比windows防火墙更为绝对,而且,启用该策略,无需开启防火墙,也就不用考虑防火墙对其他应用程序的网络限制和其导致的意外配置错误。 下面我们看一下刚才我们对IP安全策略的配置情况。 首先打开IP安全策略的界面。 开始 > 控制面板 > 管理工具 > 本地安全策略 > IP安全策略 我们设置的策略是,在策略内建立一个名称为3389的IP筛选器,筛选器的行为为阻止连接,筛选器列表只有一条网络配置:任意IP访问到本机系统的3389端口,阻止。 所以刚才我们在扫描本机的局域网地址192.168.1.111 的3389端口时,没有像预期开放的一样被检测出来,也在一定程度上防止了进一步的黑客攻击,并且在实际的安全防护当中,IP安全策略的应用可以说是十分重要的存在。 攻守道 讲了这么多,让我们回归现实吧。 攻 如果遇到像文章开头这种配置,例如,禁止了外网对3389端口的访问,但在非交互式命令行中,我们无法直接操作目标系统的桌面。而我们刚才的配置是在可视化界面进行的操作,那我们该如何对3389的访问权限进行开放呢? 下面到了windows的一个极其NB的命令登场的时刻! NETSH 我们使用netsh命令中的 ipsec 功能,ipsec就是我们上文提到的IP安全策略。 当我键入 netsh ipsec static delete all 后,该条命令会删除所有的保存的IP安全策略,那么,目标系统对3389的封锁已被gg: 守 如果想快速的利用IP安全策略对自己的操作系统进行访问权限限制,图形化速度操作过于慢,命令行操作是不二之选,一键完成安全策略部署。 下面再介绍一些命令行中的netsh ipsec的配置方法,请认真阅读下面的策略配置说明: netsh ipsec static add policy name = bim 添加一个名为bim的安全策略 netsh ipsec static add filteraction name = Permit action = permit 添加一个名为Permit,行为为允许连接的筛选器操作 netsh ipsec static add filteraction name = Block action = block 添加一个名为Block,行为为阻止连接的筛选器操作 netsh ipsec static add filterlist name = AllAccess 添加一个名为AllAccess的筛选器列表 netsh ipsec static add filter filterlist = AllAccess srcaddr= Me dstaddr = Any 向AllAccess的筛选器列表中添加一条:源地址为本机地址,目标地址为任意地址的条目 netsh ipsec static add rule name = BlockAllAccess policy = bim filterlist = AllAccess filteraction = Block 添加一条名为BlockAllAccess的规则,安全策略为bim,筛选器列表为AllAccess,筛选器操作为阻止连接。总而言之,就是将上面的配置组合到一起。 netsh ipsec static set policy name = bim assign = y 激活bim安全策略 所以,当我们需要对本机的一些特殊端口添加仅允许访问的白名单时,我们可以先阻止本机特殊目标流量向任意网络位置传输数据,再让我们允许的白名单内成员拥有访问本机特殊端口的策略,我们通过思路,组装上述命令,得到: netsh ipsec static add policy name=bim 将白名单IP地址进行修改后,保存为 .bat格式 批处理文件,即可进行本机IP安全策略的快速配置! 思考 诚然,IP安全策略对于操作系统安全性至关重要,但给正在做网络运维的表哥们提个醒,只靠IP安全策略是不能根本解决所有安全问题的,例如上述 攻 方面所言。边缘化漏洞同样是威胁系统安全的帮凶,千里之堤毁于蚁穴。 只有定期对安全问题进行排查,养成勤查勤补的习惯,才能做到防微杜渐,才能让本文所述IP安全策略在其需要的应用范围内发挥的更为出色! 编辑:咕嘟嘟 责任编辑:MAD小郭 校对:小林龙马、山雾草野、小南瓜 |
|
来自: 昵称27086148 > 《IT》