Двойные прыжки и RDP /Double hops/jumps and RDP
В сегментированных сетях доступ к критичным серверам и сервисам предоставляется через терминальные сервера или с определенных рабочих станций. Через терминальные сервера доступ предоставляется через членство в определенных доменных группах, которым разрешен доступ.
А рабочим станциям доступ ограничивается пограничным файрволлом по IP-адресу. Клиентская операционная система не поддерживает одновременное подключение к одной рабочей станции нескольких пользователей. К счастью, Firewall Windows поддерживает функцию перенаправления портов (port forwarding). Можно создать правило на рабочей станции, которое будет перенаправлять трафик на необходимые адрес и порт. Для выполнения такой операции требуются привилегии локального администратора.
In segmented networks, access to critical servers and services is provided through terminal servers or from specific workstations. Through terminal servers, access is granted through membership in specific domain groups that are allowed access.
And to workstations, access is restricted by an edge firewall by IP address. The client operating system does not support multiple users connecting to the same workstation at the same time. Fortunately, Windows Firewall supports port forwarding. You can create a rule on the workstation that will forward traffic to the desired address and port. This operation requires local administrator privileges.
В качестве примера есть рабочая станция с адресами 10.10.10.5 и 192.168.20.10, а также сервер с адресом 192.168.20.100. Доступ к серверу контролирует пограничный файрволл. Задача получить доступ к серверу по протоколу RDP. Если есть права локального администратора на рабочей станции, то можно создать следующее правило перенаправления:
As an example, there is a workstation with addresses 10.10.10.10.5 and 192.168.20.10, and a server with address 192.168.20.100. Access to the server is controlled by a border firewall. The task is to get access to the server via RDP. If you have local administrator rights on the workstation, you can create the following redirection rule:
• Listenport – какой локальный порт будет слушаться;
• Listenaddress – на каком локальном IP адресе будет слушаться порт;
• Connectport – на какой порт будет перенаправляться трафик;
• Connectaddress – на какой IP адрес будет перенаправляться трафик.
- Listenport - which local port will be listened to;
- Listenaddress - on which local IP address the port will be listened to;
- Connectport - to which port the traffic will be redirected;
- Connectaddress - to which IP address the traffic will be forwarded.
Комбинации c версиями протоколов могут быть разные: v4tov4, v4tov6, v6tov4 и v6tov6
Возможно, потребуется создать правило на Windows Firewall, чтобы разрешить или даже ограничить подключение к новому порту:
Combinations with protocol versions can be different: v4tov4, v4tov6, v6tov4 and v6tov6
You may need to create a rule on Windows Firewall to allow or even restrict connections to the new port:
Проверить доступность порта с помощью Powershell
Check port availability using Powershell
Посмотреть созданные правила перенаправления:
View the redirection rules that have been created:
Удалить правило:
Delete rule:
Команды можно выполнять через:
• Invoke-Command
• PSSession
• WMI
• PSExec
Commands can be executed via:
- Invoke-Command
- PSSession
- WMI
- PSExec
В моей практике была ситуация, в которой доступ к серверу по протоколу RDP предоставлялся только по белому списку IP адресов с помощью локальных правил файрволла. Чтобы не менять сами правила было создано правило перенаправления трафика с локального порта 3390 на локальный порт 3389 так обошлись правила белого списка по IP адресам.
In my practice there was a situation in which access to the server via RDP protocol was provided only by a whitelist of IP addresses using local firewall rules. In order not to change the rules themselves, a rule was created to redirect traffic from local port 3390 to local port 3389 so that the IP address whitelist rules were bypassed.
Пример правила:
Example of a rule:
Source : CyberSecrets from cyb3r53cr3t5
(Канал о наступательной безопасности, Assumed Breach, Red Team, Purple Team)
В сегментированных сетях доступ к критичным серверам и сервисам предоставляется через терминальные сервера или с определенных рабочих станций. Через терминальные сервера доступ предоставляется через членство в определенных доменных группах, которым разрешен доступ.
А рабочим станциям доступ ограничивается пограничным файрволлом по IP-адресу. Клиентская операционная система не поддерживает одновременное подключение к одной рабочей станции нескольких пользователей. К счастью, Firewall Windows поддерживает функцию перенаправления портов (port forwarding). Можно создать правило на рабочей станции, которое будет перенаправлять трафик на необходимые адрес и порт. Для выполнения такой операции требуются привилегии локального администратора.
In segmented networks, access to critical servers and services is provided through terminal servers or from specific workstations. Through terminal servers, access is granted through membership in specific domain groups that are allowed access.
And to workstations, access is restricted by an edge firewall by IP address. The client operating system does not support multiple users connecting to the same workstation at the same time. Fortunately, Windows Firewall supports port forwarding. You can create a rule on the workstation that will forward traffic to the desired address and port. This operation requires local administrator privileges.
В качестве примера есть рабочая станция с адресами 10.10.10.5 и 192.168.20.10, а также сервер с адресом 192.168.20.100. Доступ к серверу контролирует пограничный файрволл. Задача получить доступ к серверу по протоколу RDP. Если есть права локального администратора на рабочей станции, то можно создать следующее правило перенаправления:
As an example, there is a workstation with addresses 10.10.10.10.5 and 192.168.20.10, and a server with address 192.168.20.100. Access to the server is controlled by a border firewall. The task is to get access to the server via RDP. If you have local administrator rights on the workstation, you can create the following redirection rule:
Код:
netsh interface portproxy add v4tov4 listenport=3390 listenaddress=10.10.10.5 connectport=3389 connectaddress=192.168.20.100• Listenport – какой локальный порт будет слушаться;
• Listenaddress – на каком локальном IP адресе будет слушаться порт;
• Connectport – на какой порт будет перенаправляться трафик;
• Connectaddress – на какой IP адрес будет перенаправляться трафик.
- Listenport - which local port will be listened to;
- Listenaddress - on which local IP address the port will be listened to;
- Connectport - to which port the traffic will be redirected;
- Connectaddress - to which IP address the traffic will be forwarded.
Комбинации c версиями протоколов могут быть разные: v4tov4, v4tov6, v6tov4 и v6tov6
Возможно, потребуется создать правило на Windows Firewall, чтобы разрешить или даже ограничить подключение к новому порту:
Combinations with protocol versions can be different: v4tov4, v4tov6, v6tov4 and v6tov6
You may need to create a rule on Windows Firewall to allow or even restrict connections to the new port:
Код:
netsh advfirewall firewall add rule name=”forwarded” protocol=TCP dir=in localip=10.10.10.5 localport=3390 action=allowПроверить доступность порта с помощью Powershell
Check port availability using Powershell
Код:
Test-NetConnection -ComputerName 10.10.10.5 -Port 3390Посмотреть созданные правила перенаправления:
View the redirection rules that have been created:
Код:
netsh interface portproxy show allУдалить правило:
Delete rule:
Код:
netsh interface portproxy delete v4tov4 listenport=3390 listenaddress=10.10.10.5Команды можно выполнять через:
• Invoke-Command
• PSSession
• WMI
• PSExec
Commands can be executed via:
- Invoke-Command
- PSSession
- WMI
- PSExec
В моей практике была ситуация, в которой доступ к серверу по протоколу RDP предоставлялся только по белому списку IP адресов с помощью локальных правил файрволла. Чтобы не менять сами правила было создано правило перенаправления трафика с локального порта 3390 на локальный порт 3389 так обошлись правила белого списка по IP адресам.
In my practice there was a situation in which access to the server via RDP protocol was provided only by a whitelist of IP addresses using local firewall rules. In order not to change the rules themselves, a rule was created to redirect traffic from local port 3390 to local port 3389 so that the IP address whitelist rules were bypassed.
Пример правила:
Example of a rule:
Код:
netsh interface portproxy add v4tov4 listenport=3390 listenaddress=10.10.10.5 connectport=3389 connectaddress=10.10.10.5Source : CyberSecrets from cyb3r53cr3t5
(Канал о наступательной безопасности, Assumed Breach, Red Team, Purple Team)