1. Location:
  2. / Computer learning >> Datamaskin læring >> cyber security >> nettverk >> Nettverksadministrasjon >>

Nettverkssikkerhet, leksjon 4: En gjennomgang av en attack

Vi antar her at angriperen er moderat dyktig og motivert til å bryte seg inn i nettverket ditt. Han har rettet deg på grunn av en bestemt motiv - kanskje du sparken ham eller ikke gir tilstrekkelig kundesupport. Forhåpentligvis vil dette hjelpe deg å finne ut hvor ditt nettverk kan bli angrepet, og hva en angriper kan gjøre når han er på innsiden.

Husk at angripere vil vanligvis velge den enkleste måten å komme inn i nettverket. Den minste motstands vei prinsippet gjelder alltid
Rekognosering og footprinting



Teknisk informasjon er en gullgruve.; ting som en webside for å hjelpe dine ansatte logger deg på fra hjemmet vil være uvurderlig informasjon til en angriper. Så vil også nyhetsgrupper ved IT-avdelingen spør hvordan du setter opp bestemt programvare, som han nå vet at du bruker denne programvaren med eventuelle sårbarheter som ligger i det.



Personlig informasjon om selskapet og selskapsstrukturen. Han vil ha informasjon om hodene av IT-avdelinger, administrerende direktør og andre mennesker som har mye makt. Han kan bruke denne informasjonen til å forfalske e-post eller sosiale ingeniør informasjon ut av underordnede.



Informasjon om dine partnere. Dette kan være nyttig informasjon for ham hvis han vet at du har noen form for nettverkstilkobling til en leverandør eller partner. Han kan da omfatte leverandørens systemer i sitt angrep og finne en måte å nettverket derfra.



Generelt nyheter. Dette kan være nyttig informasjon til en angriper også. Hvis ditt nettsted sier at det går ned for vedlikehold, fordi du endrer din webserver, kan det være en anelse om at det nye oppsettet vil være i sin teething etapper og administratoren kan ikke fullt ut har sikret den ennå. Administrator bærbare
Trenger du en rask gjennomgang? Her er de viktigste punktene: Angripere vil vanligvis velge den enkleste måten å komme inn i nettverket. Den minste motstands vei prinsippet gjelder alltid.
Angripere bruker offentlige informasjonen for å lære om dine systemer og hva de enkleste målene vil bli.
Når en angriper får inn nettverket ditt, vil han installere mange bakdører for å tillate ham fremtidig tilgang.
Angripere vil forsøke å få sikkerhetsklarering og finne sensitiv informasjon. Krypter denne eller lagre den uten tilkobling til nettverket.
Den beste måten å håndtere nettverkssikkerhet er å kjenne nettverks innvendig og utvendig.
bli en del av sikkerhetsmiljøet og følgende trender vil hjelpe deg å forstå og forhindre angrep.

Han vil også spørre whois databaser for å finne ut hva blokk med IP-adresser du eier. Dette vil gi ham en generell idé om hvor du skal begynne nettverksnivå skanninger. Etter dette hewill starte en rekke nettverks sonder. Den mest grunnleggende av disse vil avgjøre om du har en brannmur og hva det beskytter. Han vil prøve å identifisere alle systemer du har som er tilgjengelig fra Internett.

De viktigste målene vil være de som gir offentlige tjenester. Disse vil være:

Web-servere - Disse er vanligvis døra inn i nettverket. All Web server-programvare har noen feil i den, og hvis du kjører hjemmelagde CGI-skript, som for eksempel påloggingssider, kan de være sårbare for teknikker som SQL-injeksjon.



Mail servere - Sendmail er veldig populært og de fleste versjoner har minst én alvorlig sårbarhet. Mange IT-hoder liker ikke å ta ned postserveren for vedlikehold fordi du gjør uten at det er svært frustrerende for resten av selskapet (spesielt når konsernsjefen ikke får sin post).



DNS-servere - Mange implementeringer av BIND er sårbare for alvorlige angrep. DNS-serveren kan brukes som en base for andre angrep, for eksempel å omdirigere brukere til andre nettsteder.



Nettverk infrastruktur - Rutere og svitsjer kan ikke ha vært tilstrekkelig sikret og kan ha standardpassord eller en Web administrasjonsgrensesnitt kjører. Når kontrollert, kan de brukes til alt fra en enkel denial of service angrep for å kanalisere alle dine data gjennom angriperens maskin til en sniffer.



Database-servere - Mange databaseservere har standardsystemer administratorkontoen passord tomme og andre vanlige feilkonfigurasjoner. Disse er svært høyt profilerte mål fordi den kriminelle kan være ute etter å stjele noe fra din kundelisten til kredittkortnumre. Som en hovedregel bør en database server aldri være Internet vendt.

Jo mer naiv av mye (eller de som vet at sikkerhetslogger aldri sett på), kan kjøre en kommersiell sårbarhetsskanner som Nessus eller Retina over nettverket. Dette vil lette deres arbeid.

Utnyttelse fase
Etter å bestemme hvilke er gyldige mål og finne ut hva OS og versjon av programvaren du bruker (f.eks hvilken versjon av Apache eller IIS er webserveren kjører), kan angriperen se etter en utnytte målretting bestemt versjon. For eksempel, hvis han finner du kjører en utdatert versjon av Sendmail, vil han se etter en utnytte rettet mot den versjonen eller lavere.

Angripere vil først se i sin samling av bedriftene fordi de har testet disse. Hvis de ikke finner en, vil de se til offentlige repositories som http://www.packetstormsecurity.nl. De vil nok prøve å velge vanlige utnytter, da disse er mer sannsynlig å arbeide, og de kan sikkert teste dem i egne laboratorier. De vil kjøre disse bedriftene på målet (si webserveren), og hvis de fungerer, vil de ha en slags tilgang til nettverket.

Herfra angriperen har allerede vunnet halve spillet - han er bak brannmuren, og kan sannsynligvis se mye mer av det interne nettverket enn du noensinne ment for ham å. Mange nettverk har en tendens til å være svært vanskelig å trenge inn fra utsiden, men er sørgelig ubeskyttet internt. Denne hard utvendig med en grøtaktig interiør er en oppskrift på trøbbel - en angriper som penetrerer den første linjen i forsvaret vil ha full gjennomgang av nettverket.

Etter å ha fått inn, vil han trolig også installere bakdører på denne første kompromittert system for å gi ham med mange tilgangspunkter, i tilfelle hans opprinnelige hullet blir stengt ned. Dette er grunnen til at når du identifisere en maskin som har blitt delt inn i, bør det bygges opp igjen fra grunnen av. Det er ingen måte å vite hva slags bakdører kan være installert. Det kan være vanskelig å finne et program som styrer seg selv 02:00 til 04:00 hver kveld, og prøver å koble til angriperens maskin. Når angriperen har lykkes garantert hans tilgang, den harde delen av intrusjonen er vanligvis over.

Privilege opptrapping fase
Nå angriperen vil forsøke å øke sin sikkerhetsklarering på nettverket. Han vil vanligvis målrette administratorkontoer eller kanskje en administrerende direktør konto. Hvis han er fokusert på et bestemt mål (si din database server) han vil se etter legitimasjon av alle som har tilgang til denne ressursen. Han vil mest sannsynlig sette opp et nettverk sniffer å fange opp alle pakkene som de går gjennom nettverket.

Han vil også starte manuelt jakt rundt for dokumenter som vil gi ham noen interessante opplysninger eller innflytelse. Således bør eventuelle sensitive dokumenter krypteres eller lagres på systemer uten noen forbindelse til nettverket.

Angripere vil også se etter Windows-maskiner med fildeling aktivert og se hva de kan få ut av disse. Sjansene er hvis de ikke kommer inn med et bestemt mål i tankene (for eksempel stjele en database), vil de ta den informasjonen de anser for å være nyttig på noen måte.

Rydd opp fase
Nå angriperen har enten funnet det han leter etter, eller er fornøyd med nivået på tilgangs han tjente. Han sørget for at han har flere veier inn i nettverket i tilfelle du lukker det første hullet. Han vil nå forsøke å dekke opp noen spor av en forstyrrelse. Han vil manuelt redigere loggfiler for å fjerne oppføringer om sine handlinger, og vil sørge for å skjule eventuelle programmer han har installert i vanskelig å finne steder.

Husk at vi har å gjøre med en inntrenger som er moderat dyktig og er ikke bare interessert i defacing ditt nettsted. Han vet at den eneste måten å holde tilgang vil være hvis du aldri vet at noe er galt. I tilfelle at det er en logg han er i stand til å rydde opp, kan han risikere å forlate den der, eller flom loggen med falske angrep, noe som gjør det vanskelig for deg å skille ut den virkelige angrepet.

Hvor kan jeg finne mer informasjon?
En av den beste plassen for svar på spørsmål knyttet til denne artikkelen er i Firewall.cx fora. Sikkerhet /Brannmurer Forum er det beste stedet å gjøre dette - du kan spørre om noe fra de mest grunnleggende til de mest avanserte spørsmål om nettverkssikkerhet der. Mange vanlige spørsmål allerede er besvart i forumet, så vil du ganske sannsynlig finne svar på spørsmål som "? Hvilken brannmur bør jeg bruke "

Nettverkssikkerhet er et veldig stort felt, og det er tilsynelatende ubegrensede informasjon om emnet. Du vil aldri finne informasjon på såkalte hacker nettsteder fulle av programmer. Den beste måten å lære om nettverkssikkerhet er å forholde seg til det første ordet først - du bør være i stand til å snakke nettverk inn og ut, fra packet header til checksum, lag 1 til lag 7.

Når du ' har fått det ned, bør du begynne på sikkerheten aspektet. Start med å lese artikler på internett. Ta i det grunnleggende første, og sørg for at du holde lesing. Der det er mulig, prøv å eksperimentere med det du har lest. Hvis du ikke har et hjem lab, kan du bygge en nesten. Se innlegg i Firewall.cx Cool Programvare forum om VMware.

Også begynne å lese sikkerhetspostlister som Bugtraq og sikkerhets-grunnleggende. I utgangspunktet kan du finne deg selv i stand til å forstå mye av hva som skjer der, men de nyeste sårbarheter blir alltid annonsert på disse listene. Hvis du følger en sårbarhet fra tiden sin oppdaget når noen poster en utnytte for det, vil du få en veldig god ide om hvordan sikkerhetsmiljøet fungerer, og du vil også lære mye i prosessen.

Hvis du er seriøs om sikkerhet, er det viktig at du lærer et programmeringsspråk, eller i det minste er i stand til å forstå koden hvis ikke skrive din egen. De beste valgene er C og Assembly språk. Men vet PERL og Python er også verdifull kompetanse som du kan skrive programmer i disse språkene svært raskt.

For nå, her er noen linker som du kan følge for mer informasjon:

securityfocus.com En veldig god side med alle de siste nyhetene, en veldig god bibliotek og verktøy samling samt deler dedikert til grunnleggende, innbruddsdeteksjon, penetrasjonstesting etc. også hjemmet til epostlisten Bugtraq.

sans.org - Et område med gode ressurser i sin lesesal, folk som sender inn papirene der prøver for en sertifisering og som et resultat sin hovedsakelig originalt materiale og av meget høy kaliber.

security-portal.com - En god generell sikkerhet området.

firewall.cx - Et annet område med gode ressurser for nettverk og sikkerhet administratorer.

SearchSecurity.com - A Techtarget site - Jeg tror ikke de referansene kan bli mye bedre.

cert.org - CERT Coordination Center gir oppdateringer på de nyeste truslene og hvordan man skal håndtere dem. Også har svært gode beste praksis tips for administratorer.

securityfocus.com/archive/1 - Dette er en link til Bugtraq, den beste full avsløring sikkerhet postliste på nettet. Her er alle de nyeste sårbarheter blir diskutert måte før du ser dem bli utnyttet eller i pressen.

insecure.org - Den postlister delen har kopier av Bugtraq, full åpenhet, sikkerhet-basics, sikkerhet nyheter, etc. Også hjemmet til nmap, den fantastiske port scanner.

seclists.org - Dette er en direkte kobling til sikkerhetslister delen av insecure.org.

grc.com - For vinduer hjemmebrukere og newbies bare interessert i en ikke teknisk område. Området er hjem til Shields Up, som kan teste hjemme tilkobling for fildelingssårbarheter, gjør en port scan etc, alle på Internett. Det kan være en litt melodramatisk område til tider skjønt.

eeye.com - Hjem av Retina Security Scanner. Regnes industrileder. E-Eye-teamet fungerer også på en rekke av de nyeste sårbarheter for Windows-plattformen.

nessus.org - Åpen kildekode sårbarhetsskanner, og IMNSHO den beste går. Hvis du er en tiger lag penetrasjon tester, og du trenger ikke peke Nessus på et mål, du er enten veldig dårlig på jobben eller har en veldig stor ego. Hvis det er en sårbarhet i systemet, vil Nessus finne det.

zonelabs.com - Zonealarm personlig brannmur for Windows, regnes som den beste, og også markedsleder.

sygate.com - Sygate Personal Firewall, gir flere konfigurasjonsmuligheter enn Zonealarm, men er derfor vanskeligere å bruke.

secinf.net - Stort utvalg av artikler som er utgangspunktet vinduer sikkerhetsrelaterte.

antioffline.com - En veldig god bibliotekdelen på buffer overflow, etc.

packetstormsecurity.nl - Den største utvalg av verktøy og utnytter mulig.

Tapte leksjon en, to eller tre? Du finner dem her
:

Nettverkssikkerhet, leksjon en: Presentasjon av sikkerhet

Nettverkssikkerhet, leksjon to: Felles sikkerhetstiltak

Nettverkssikkerhet , leksjon tre: Penetration testing


Klikk over til Firewall.cx for flere artikler som denne. Du trenger ikke å registrere eller hoppe gjennom noen ringer. Alt du gjør er å få nettverk informasjonen du ønsker. Copyright 2004 Firewall.cx.
Her angriper vil prøve å samle så mye informasjon om din bedrift og nettverk som han kan uten å gjøre en støy. Han vil først bruke lovlige kanaler, som for eksempel Google og din bedrift nettside for å finne ut så mye om deg som han kan. Han vil se etter følgende informasjon:



Previous:
Next Page: