IP Tabanlı Güvenlik Duvarlarını ve Sınırlamalarını Anlamak
Ağ güvenliğinin saygıdeğer bekçileri olan IP tabanlı güvenlik duvarları, kaynak veya hedef IP adresine göre trafiğe izin verir veya reddeder. Ancak, bu metanetlerinin de kusurları vardır. Yalnızca beyaz listeye alınmış IP aralıklarından gelen isteklere izin verecek şekilde yapılandırılmış bir güvenlik duvarı, bir isteğin söz konusu güvenilir alandan kaynaklandığı izlenimi veriyorsa aşılabilir. "Proxy hilesi"nin özü budur: Dumas'ın ustaca entrikalarını anımsatan, hem zarif hem de yıkıcı bir yöntem.
Proxy Hilesi: Dahili Rölelerle IP Tabanlı Güvenlik Duvarlarını Atlatma
Proxy hilesi, özünde, trafiği aktarmak için genellikle güvenlik duvarının güvendiği aralıkta bulunan bir aracı makineden yararlanır. Bu proxy üzerinden istekleri dikkatlice düzenleyerek, harici bir aktör, güvenlik duvarının katı maskesini aşarak içeriden biri gibi davranabilir.
Kullanılan Proxy Türleri
| Proxy Türü | Tanım | Tipik Kullanım Durumu | Karmaşıklık | Gizlilik |
|---|---|---|---|---|
| SSH Tüneli | Yerel bağlantı noktalarını SSH aracılığıyla güvenli bir şekilde iletir | Yönetimsel erişim, test | Düşük | Yüksek |
| HTTP BAĞLANTISI | Rastgele TCP trafiğini tünellemek için HTTP CONNECT yöntemini kullanır | Web ve API erişimi | Orta | Orta |
| SOCKS Vekili | Genellikle SSH veya özel proxy sunucusu aracılığıyla TCP bağlantıları için genel röle | Web'de gezinme, veri sızdırma | Düşük | Yüksek |
| Ters Proxy | Trafiği harici istemcilerden dahili hizmetlere yönlendirir | Dahili web sunucularına erişim | Yüksek | Orta |
Adım Adım: SSH Tünelleme ile Proxy Hilesini Uygulama
Güvenlik duvarının içindeki bir atlama kutusu için kimlik bilgileriniz olduğunu varsayalım.
- Bir SSH Tüneli Oluşturun
vuruş
ssh -L 8080:dahili.hizmet.yerel:80 kullanıcı@jumpbox.corp.com
Bu komut, yerel makinenizdeki 8080 portunu, 80 numaralı porta bağlar. dahili.hizmet.yerel, aracılığıyla iletildi jumpbox.corp.com.
- Dahili Hizmete Erişim
Tarayıcınızda veya curl ile:
vuruş
curl http://localhost:8080/
İstek şuradan kaynaklanıyor gibi görünüyor: jumpbox.corp.comGüvenlik duvarının güvendiği.
Kaynak: SSH Port Yönlendirme Eğitimi
HTTP CONNECT Proxy'leri Oluşturma socat Ve ncat
Güvenlik duvarı giden HTTP/HTTPS'e izin veriyorsa, HTTP CONNECT yöntemi mükemmel bir araçtır. Güvenilir bir ana bilgisayara hafif bir proxy dağıtılabilir:
- Socat ile Proxy Dağıtma
Dahili ana bilgisayarda:
vuruş
socat TCP-LISTEN:3128,reuseaddr,fork TCP:target.internal:80
- İstemcinizi Yapılandırın
Tarayıcınızı veya aracınızı dahili ana bilgisayarı HTTP proxy (port 3128) olarak kullanacak şekilde yönlendirin.
Referans: Socat Belgeleri
SOCKS Proxy'leri: SSH'nin En Gizli Özelliği
SSH'nin dinamik yönlendirmesi oturumunuzu SOCKS proxy'sine dönüştürebilir:
ssh -D 1080 [email protected]
Uygulamanızı trafiği yönlendirecek şekilde yapılandırın yerel ana bilgisayar:1080Trafik, şifrelenip atlama kutusundan geçirildikten sonra, iç ağın kutsal alanına çıkar.
Kaynak: OpenSSH SOCKS Proxy Kılavuzu
Ters Proxy'ler: Güvenlik Duvarını Ters Yüz Etmek
Daha kalıcı veya karmaşık ihtiyaçlar için, aşağıdaki gibi ters bir proxy: ngrok veya frp Güvenilir bir dahili ana bilgisayara kurulabilir. Ters proxy, harici bir sunucuya giden bir tünel oluşturur ve ardından gelen bağlantıları dahili ağa geri iletir; böylece güvenlik duvarının yönlülüğü bozulur.
Örnek frp Yapılandırması (Dahili Ana Bilgisayarda)
[ortak] sunucu_adresi = harici.sunucu.com sunucu_bağlantı_noktası = 7000 [web] türü = http yerel_bağlantı_noktası = 80 özel_alan_adları = benimdahili.örnek.com
Karşılaştırma: Güvenlik Duvarı Atlatması için Proxy Yaklaşımları
| Yöntem | Dahili Ana Bilgisayarda Kurulum Gerekli | Harici Kontrol | Şifreleme | Denetim Kaçakçılığı | Uygun Olanlar |
|---|---|---|---|---|---|
| SSH Tüneli | SSH sunucusu | Evet | Evet | Ilıman | Ara sıra manuel erişim |
| HTTP BAĞLANTISI | HTTP proxy (örneğin, socat) | Evet | HAYIR | Düşük | Web/API trafiği |
| SOCKS Vekili | SSH sunucusu | Evet | Evet | Yüksek | Web, CLI araçları, otomasyon |
| Ters Proxy | Özel yazılım (ngrok, frp) | Evet | Değişir | Düşük | Kalıcı web erişimi |
Pratik Karşı Tedbirler
- Ağ Segmentasyonu: Mümkün olan her yerde dahili proxy sunucularının erişimini kısıtlayın.
- Çıkış Filtreleme: Dahili ana bilgisayarlardan gelen giden bağlantıları devre dışı bırakın veya sınırlayın.
- Proxy Algılama: Anormal proxy süreçlerini izleyin (örneğin,
socat,ncat, -L/-D bayraklarıyla SSH). - Sıfır Güven Modelleri: IP tabanlı güvenin ötesine geçin; istihdam edin karşılıklı TLS, kimliği doğrulanmış ters proxy'ler veya kullanıcı başına erişim kontrolleri.
Daha Fazla Okuma
- Pivot Sanatı: Proxy'lerle Post-Sömürü
- SSH Tünelleme Açıklaması
- Ters Proxy Modelleri ve Güvenlik
- FRP – Hızlı Ters Proxy
Örnek: Tam Kullanım İş Akışı
Bir web uygulamasına yalnızca dahili bir IP aralığından erişilebildiğini varsayalım. Aşağıdaki sıra, tipik bir istismarı göstermektedir:
- Güvenlik duvarının içindeki bir ana bilgisayarı tehlikeye atın (atlama kutusu).
- SSH SOCKS proxy'sini kurun:
vuruş
ssh -D 1080 saldı[email protected]
- Tarayıcı veya araç trafiğini proxy üzerinden yönlendirin.
- Yerel SOCKS proxy'si aracılığıyla dahili web uygulamasına erişin.
- İsteğe bağlı: Kalıcı erişim için ters bir proxy (frp, ngrok) dağıtın.
Özet Tablosu: Eyleme Geçirilebilir Adımlar ve Araçlar
| Adım | Araç/Komut Örneği | Amaç |
|---|---|---|
| Yerel port yönlendirme (SSH) | ssh -L 8080:hedef:80 kullanıcı@jumpbox |
Tek dahili hizmete erişim |
| Dinamik SOCKS proxy (SSH) | ssh -D 1080 kullanıcı@jumpbox |
Proxy keyfi trafiği |
| HTTP CONNECT proxy'si (socat/ncat) | socat TCP-LISTEN:3128,çatal TCP:hedef:80 |
Web/API proxy'si |
| Ters proxy (frp) | Yukarıdaki frp yapılandırmasına bakın | Kalıcı, dışarıdan içeriye erişim |
Ağ güvenliği alanında, proxy hilesi, Monte Kristo Kontu gibi, geçiş izni verilmeyen yerlerde geçiş arayanların yaratıcılığının bir kanıtıdır. Savunmacılar için ders: IP adresine güvenmeyin, çünkü bu, hem dost hem de düşman tarafından takılabilecek bir maskeden başka bir şey değildir.
Yorumlar (0)
Burada henüz yorum yok, ilk siz olabilirsiniz!