O Wireshark representa uma ameaça quando instalado em um servidor na DMZ?

Uma DMZ adequada isolará os hosts na DMZ uns dos outros, além de gerenciar o acesso entre os hosts e a Internet / rede interna. O ambiente DMZ fornece um único ponto de estrangulamento para reforçar as políticas de segurança e acesso e fornece um único ponto para monitorar o tráfego para dentro, fora e dentro da DMZ.

A DMZ não é apenas uma rede que tem acesso à internet e à rede interna. Isso é chamado de risco de segurança e planejamento ruim.

Há possíveis saturações de buffer e riscos de segurança em qualquer aplicativo que esteja tirando dados de fontes não controladas, especialmente se o aplicativo estiver sendo executado com privilégios de root / superusuário. Isto é verdade para o wireshark, isto é verdade para o sendmail, IIS, verdadeiro de qualquer coisa .

No meu conhecimento, não há nenhuma "porta traseira RDP" no wireshark.

Meu ponto é "E se abrir uma porta dos fundos?"

Uma DMZ adequada deve

1. impede que o sistema comprometido interaja com qualquer outra coisa, exceto na forma predefinida (DNS para o servidor DNS, ftp para o servidor FTP, http para o servidor http, mas sem ssh para nada, nenhum rdp para nada, etc. )
2. Identifique que o tráfego inadequado está tentando ocorrer (acabei de receber um alerta de que o servidor SQL está recebendo tráfego RDP / VNC do servidor FTP!)
3. Seja fácil de usar para todos os outros funcionários da empresa. Se o DMZ aplicar corretamente a segurança, é mais seguro colocar coisas "perigosas" lá do que na rede corporativa. A equipe da DMZ preferiria ter uma porta traseira na rede da empresa ou na DMZ? A resposta deve ser "DMZ, porque monitoramos e restringimos o tráfego em e fora da DMZ."

Não estou completamente de acordo com as descrições da DMZ descritas acima. Os profissionais de segurança que operam a DMZ provavelmente têm "paranóico" em suas descrições de trabalho e a DMZ é um espaço de "produção", portanto, veja-a a partir de seu ponto de vista.

Muitas das vulnerabilidades citadas ocorrem devido a falhas nos dissecadores de pacotes, que são usados apenas durante a renderização interativa de rastreios. Esse acesso interativo não requer os mesmos privilégios elevados necessários para a captura de pacotes.

Como o que você parece precisar é analisar a captura local de pacotes do servidor web, por que não separar as funções? Execute a captura de pacotes em um host e faça a análise (mantendo os dissecadores atualizados, etc) de outro segmento de não produção mais restrito depois de recuperar os arquivos de rastreio.

Veja

Wireshark Security: http://wiki.wireshark.org/Security

Platform-Specific information about capture privileges: http://wiki.wireshark.org/CaptureSetup/CapturePrivileges

e implementar as práticas descritas lá.

O Wireshark não oferece nenhum serviço de rede e não abre nenhuma porta no sistema em que está funcionando, então isso não faz sentido. Instalá-lo em um sistema não representa qualquer ameaça à segurança por conta própria.

O único risco potencial aqui é, se alguém conseguir assumir o controle desse servidor, ele pode usar o Wireshark para examinar o tráfego de rede na DMZ. Mas, se alguém assumir o controle total do seu servidor, ele também pode instalar qualquer programa que quiser nele ... então, não tê-lo instalado não o impediria de instalá-lo, se ele quiser.

Eu realmente não vejo nenhum problema em instalá-lo em um servidor.

O Wireshark sofreu com o seu quinhão de vulnerabilidades de comprometimento remoto [CVE-2010-1455, CVE-2010-0304, CVE-2009-4377 + 8, CVE-2009-4376] (CVE lista centenas). Como qualquer um que tenha ido às convenções de segurança Defcon ou Blackhat sabe, executar qualquer tipo de software de detecção de pacotes é muito perigoso se você estiver em um ambiente seguro. Eu acho que praticamente todos os livros da Security Metrics publicados nos últimos anos recomendariam strongmente contra isso.

Dito isso, uma DMZ adequada impediria que um invasor obtivesse qualquer alavancagem, no entanto, você precisa avaliar o potencial de seu IDS ou software de controle de roteamento de sua escolha para ficar comprometido com a utilidade da execução de WS.

Apesar do precedente, embora o Wireshark possa ser usado para assistir ao tráfego na DMZ, a realidade é que, para usá-lo, a máquina já deve ser composta, o que significa que o autor poderia facilmente instalá-lo se quisessem. Ao tê-lo instalado, você pode, na pior das hipóteses, salvá-lo por alguns segundos.

O Wireshark teve muitas vulnerabilidades no passado e provavelmente continuará a ter mais descobertas no futuro. Eles geralmente estão nos analisadores de protocolo. Se um invasor enviar pacotes especialmente criados, o wireshark poderá ter um estouro de buffer ao analisar esses pacotes e executar um código arbitrário. (Então RDP é irrelevante). Tente usar um sniffer mais simples como o tcpdump e apenas analise os arquivos pcap em outro lugar. (Por que você realmente precisa da GUI do Wireshark, de qualquer forma, se você não está usando o RDP?) Outra coisa a ter em mente é que, dependendo do que este servidor faz, farejar o tráfego pode revelar informações que você não deveria ter. / p>