分段和防火墙测试元模型

当防火墙已严重配置或泄漏出口流量过滤策略时,它们可以从逆口,数据exfiltration和其他形式的开发方式中打开网络。为了识别允许出站流量的开放端口,并验证出口过滤策略是否正确阻止流量,可以运行分段和防火墙测试元模型。

元模型对出口目标运行NMAP SYN扫描,以显示从内部主机打开的出站端口。它根据服务器接收的流量标识防火墙中端口的状态。如果服务器接收到流量,则元模型将端口标记为打开。如果防火墙阻止流量,则元模子将端口标记为过滤。元模块根据对连接的响应标记为未过滤或关闭的剩余端口。MetoModule完成运行后,它会生成一份报告,为您提供港口状态分布和未过滤端口的全面。

出口扫描目标

出口目标,egadz.metasploit.com,是由Rapid7托管的服务器,并已设置为所有65,535端口开放。每个端口被配置为响应一个单一的SYN-ACK包。在它的默认配置中,MetaModule使用Nmap默认的1000个最常用端口启动端口扫描;但是,如果需要包含其他端口,可以定义自定义端口范围。

端口状态

分段和防火墙测试元模块使用以下状态对端口进行分类。

  • 开放- 如果允许从网络流出并且EGADZ服务器接收它,则分配一个端口。打开状态表示存在主动接受TCP连接,UDP数据报或SCTP关联的应用程序。
  • 过滤后的—在EGADZ服务器上,如果一个端口在到达目标端口之前丢弃流量,则该端口被分配为过滤状态。它将不会收到来自EGADZ服务器的响应。通常,如果专用的防火墙设备、路由器规则或基于主机的防火墙软件成功地阻止端口发送流量,端口就会处于过滤状态。
  • 关闭—当端口允许流量通过,但没有绑定应用或服务时,端口被分配为关闭状态。一个关闭的端口可以用来确定一个主机是否在一个IP地址上。
  • unf- 如果允许流量通信到端口,则分配一个端口的流量,但无法确定端口是否打开或关闭。

设置出口测试服务器

防火墙出口测试元模块使用由Rapid7托管的外部服务器来识别来自内部主机的开放出站端口。在某些情况下,您可能需要设置和自己的出口测试服务器。例如,如果您想测试不同端点之间的出口,或者如果您不想将数据发送到Internet上的服务器,您可以设置一个自定义出口测试服务器。

为了帮助您设置自定义出口测试服务器,Metasploit Pro提供了一个可以在Ubuntu 12.04 LTS服务器上运行的脚本。该脚本可以从项目页。

出口测试服务器需求

要设置出口测试服务器,您需要执行以下任务:

  1. 使用您喜欢的分发设置Linux机器。
  2. 向Linux机器添加两个网络接口或网络适配器。每个网络接口都应该有一个IP地址。

有关在虚拟机上设置网络接口的详细信息,请访问虚拟化软件的文档。

  1. 将一个IP地址分配为管理界面。此接口将用于控制出口测试服务器。它应该被分配给eth0接口。
  2. 将第二个IP地址分配为出口测试服务器。该接口应分配给ETH1接口。
  3. 下载并运行出口测试服务器脚本。

设置自定义出口目标

要设置一个自定义出口目标,你需要一个配置了两个IP地址的Ubuntu 12.04机器。以下接口需要配置两个IP地址:

  • 管理界面- 这通常在ETH0接口上找到,将用于控制出口服务器。
  • 出口服务器—通常在eth1或eth0:1等虚拟接口上发现。这是你将从防火墙和分段测试元模块扫描的IP地址。

使用两个地址设置框后,执行以下步骤:

  1. 登录Metasploit Pro web界面。
  2. 单击分割目标设置脚本按钮,位于“全局工具”下。

下载过程将自动启动。

如果您的浏览器没有配置为自动下载文件,将出现一个对话框窗口,并提示您保存文件。你需要把文件保存到电脑里。

  1. 请按照手册中提供的说明进行操作create-egadz.sh脚本来设置出口目标。
  2. 验证您能够使用说明设置出口目标。

设置好出口目标后,就可以运行分割和防火墙测试元模块了。

运行分段和防火墙测试元模型

  1. 在项目内部,选择模块> MetaModules
  2. 找到分割和防火墙测试元模块,然后点击发射按钮。

分割和防火墙测试将出现“配置”窗口。3.从扫描配置选项卡,选择以下扫描目标选项之一:

  • 使用默认出口目标—MetaModule在Metasploit为测试出站流量而设置的出口服务器上运行。
  • 使用自定义出口目标—MetaModule在您为测试出站流量而设置的服务器上运行。可以指定IP或完全限定域名。要了解如何设置自定义出口目标,请访问全球的工具位于项目网页下载分割目标设置脚本。您可以按照脚本中提供的说明创建自定义出口服务器。
  1. 扫描配置选项卡,选择下列端口范围选项之一:
  • 使用默认的nmap端口集-扫描Nmap的1000个最常用端口。
  • 使用自定义端口范围选项- 扫描您定义的端口范围。
  1. 单击生成报告选项卡。出现Report配置表单。
  2. 在。中输入报告的名称报名名称字段,如果您想使用自定义报表名称。否则,MetaModule将使用默认的报告名称。
  1. 部分区域,取消选择不希望包含在报告中的任何部分。如果希望生成所有报告部分,请跳过此步骤。
  2. 选择电子邮件报告选项如果要在生成后通过电子邮件发送报表。如果启用此选项,则需要提供逗号分隔的电子邮件地址列表。

如果要通过电子邮件发送报告,必须设置Metasploit Pro要使用的本地邮件服务器或电子邮件中继服务。要定义邮件服务器设置,请选择管理>全局设置> SMTP设置

  1. 单击发射按钮。