网络简介
概述
网络使两台计算机能够相互通信。有多种topologies
(网状/树状/星形)、mediums
(以太网/光纤/同轴电缆/无线)和protocols
(TCP/UDP/IPX)可用于促进网络。作为安全专业人士,了解网络很重要,因为当网络出现故障时,错误可能是无声的,导致我们错过一些东西。
建立一个大而扁平的网络并不是非常困难,它可以是一个可靠的网络,至少在操作上是这样。但是,扁平网络就像在一块土地上建造房屋并认为它是安全的,因为它在门上有锁。通过创建许多较小的网络并让它们进行通信,我们可以添加防御层。围绕网络进行旋转并不困难,但快速而无声地进行操作很困难,并且会减慢攻击者的速度。回到房子场景,让我们来看看下面的例子:
示例 1
构建较小的网络并在其周围放置访问控制列表就像在物业边界周围设置围栏,创建特定的入口和出口点。是的,攻击者可以跳过栅栏,但这看起来很可疑并且并不常见,因此可以快速将其检测为恶意活动。为什么打印机网络通过 HTTP 与服务器通信?
示例 2
花时间绘制和记录每个网络的用途就像在物业周围放置灯光,确保可以看到所有活动。为什么打印机网络完全与 Internet 通信?
示例 3
窗户周围有灌木丛对试图打开窗户的人起到威慑作用。就像 Suricata 或 Snort 这样的入侵检测系统对运行网络扫描具有威慑作用。为什么端口扫描源自打印机网络?
这些示例可能听起来很愚蠢,阻止打印机执行上述所有操作是常识。但是,如果打印机位于“平面 /24 网络”并获得 DHCP 地址,则对它们设置这些类型的限制可能具有挑战性。
故事时间——渗透测试者的监督
大多数网络都使用/24
子网,以至于许多渗透测试人员会在不检查的情况下设置此子网掩码 (255.255.255.0)。只要 IP 地址的前三个八位字节相同(例如:192.168.1.xxx),/24 网络就允许计算机相互通信。将子网掩码设置为/25
将此范围一分为二,计算机将只能与“它的一半”上的计算机通信。我们已经看到渗透测试报告,其中评估者声称域控制器在现实中只是在不同的网络上时处于脱机状态。网络结构是这样的:
- 服务器网关:10.20.0.1/25
- 域控制器:10.20.0.10/25
- 客户端网关:10.20.0.129/25
- 客户端工作站:10.20.0.200/25
- Pentester IP:10.20.0.252/24(设置网关为10.20.0.1)
Pentester 与客户端工作站进行了沟通,并认为他们做得很好,因为他们设法通过 Impacket 窃取了工作站密码。然而,由于无法理解网络,他们从未设法脱离客户端网络并到达更多“高价值”目标,例如数据库服务器。希望如果这听起来让您感到困惑,您可以回到模块末尾的这句话并理解它!
基本信息
让我们看一下以下高级图表,说明在家工作设置如何工作。 ![[Pasted image 20221024202551.png]]