Brannmuren beskytter alt " bak " det fra alt i " foran " av det. Vanligvis " foran " av brannmuren er dens Internet vendt side, og " bak " er det interne nettverket. . Måten brannmurer er designet for å passe til forskjellige typer nettverk kalles brannmur topologi
Her er en link til detaljert forklaring av forskjellige brannmur topologier: http://www.firewall.cx/firewall_topologies.php
Du kan også få enheter kjent som personlige brannmurer, for eksempel Zonealarm (http://www.zonelabs.com), Sygate Personal Firewall (http://www.sygate.com) og Tiny Personal Firewall (http: //www.tinysoftware.com).
Dette er pakker ment for individuelle stasjonære og er ganske enkel å bruke. Det første de gjør er å gjøre maskinen usynlig for ping og andre nettverks sonder. De fleste av dem også la deg velge hvilke programmer som får lov til å få tilgang til Internett. Derfor kan du tillate nettleseren og e-post klienten din, men hvis du ser noen mistenkelige program prøver å få tilgang til nettverket, kan du forby det. Dette er en form for egress filtrering eller utgående trafikk filtrering og gir svært god beskyttelse mot trojanere og ormer.
Men brannmurer er ingen kur-all løsning til nettverkssikkerhets woes. En brannmur er bare så god som sin regelsett, og det er mange måter en angriper kan finne vanlige feilkonfigurasjoner og feil i reglene. For eksempel, hvis brannmuren blokkerer all trafikk unntatt trafikk som kommer fra port 53 (DNS), slik at alle kan løse navn, den angriper kan deretter bruke denne regelen til sin fordel. Ved å endre kildeport av hans angrep eller skanne til port 53, vil brannmuren tillate alle av sin trafikk gjennom, fordi det forutsetter at det er DNS-trafikk.
Omgå brannmurer er et helt studie i seg selv, og en som er veldig interessant (spesielt for de med en lidenskap for nettverk), fordi det innebærer normalt misbruke den måten TCP og IP er ment å fungere. Når det er sagt, brannmurer i dag er blitt svært sofistikert og et godt installert brannmur kan alvorlig hindre en potensiell angriperens planer.
Det er viktig å huske at brannmuren ikke ser inn i datadelen av pakken. Dermed, hvis du har en webserver som er sårbare for en CGI utnytte og brannmuren er satt til å tillate trafikk til det, er det ingen måte brannmuren kan stoppe en angriper fra å angripe webserveren. Det ser ikke på data inne i pakken. Det ville være jobben til en inntrenging-deteksjon system (dekket i del tre).
Antivirus systemer
Alle er kjent med skrivebordsversjonen av antivirus pakker som Norton Antivirus og McAfee. Måten disse fungerer er ganske enkel - når forskerne finne et nytt virus, finne de ut noen unike egenskap den har (kanskje en registernøkkel det skaper eller en fil den erstatter) og ut av dette de skriver viruset " signatur ".;
Det hele belastningen av underskrifter for hvilke antivirusprogrammet skanner er kjent som virus ". definisjoner " Dette er grunnen til at holde virusdefinisjonene up-to-date er svært viktig. Mange antivirus-pakker har en automatisk oppdatering for deg å laste ned de nyeste definisjonene. Søkemulighetene i programvaren er bare så god som dato for dine definisjoner. I bedriften, er det svært vanlig for administratorer å installere antivirusprogramvare på alle maskiner, men det er ingen politikk for regelmessige oppdateringer av definisjonene. Dette er meningsløst vern og tjener bare til å gi en falsk følelse av trygghet.
Med den nylige spredning av e-postvirus, antivirusprogrammer på e-postserveren blir stadig mer populært. E-postserveren vil automatisk skanne alle e-post den mottar for virus og karantene infeksjoner. Tanken er at siden all post går gjennom e-postserver, er dette den logiske poeng å søke etter virus. Gitt at de fleste e-postservere har en permanent tilkobling til Internett, kan de regelmessig laste ned de nyeste definisjonene. På nedsiden, kan disse bli unngått ganske enkelt. Hvis du zippe den infiserte filen eller trojaner, eller kryptere den, kan det antivirus systemet ikke være i stand til å skanne den.
Sluttbrukere må være lærte å svare på antivirus varsler. Dette gjelder spesielt i bedriften - en angriper trenger ikke å prøve og omgå festningslignende brannmur hvis alt han har å gjøre er e-post trojanere til mange mennesker i selskapet. Det tar bare ett uinformert brukeren til å åpne infiserte pakken slik at hacker en bakdør til det interne nettverket.
Det anbefales at IT-avdelingen gir en kort seminar om hvordan de skal håndtere e-post fra ukjente kilder og hvordan man skal håndtere vedlegg. Disse er svært vanlige angrepsvektorer, rett og slett fordi du kan herde et datasystem så mye du vil, men det svake punktet er fremdeles brukeren som driver det. Som kjeks si, " Mennesket er den minste motstands vei inn i nettverket "
Intrusion deteksjonssystemer
Det er i utgangspunktet to typer innbruddsdeteksjonssystemer (IDS).:
Host-basert IDS
Nettverksbasert IDS
Host-basert IDS: Disse systemene er installert på en spesiell viktig maskin (vanligvis en server eller noe viktig mål) og har til oppgave å sørge for at systemet staten samsvarer med et bestemt sett baseline. For eksempel er den populære fil-integritet brikke Tripwire kjøre på målmaskinen like etter at det har blitt installert. Det skaper en database av fil signaturer for systemet og regelmessig sjekker dagens systemfiler mot sine kjente trygge signaturer. Hvis en fil er endret, blir administrator varslet. Dette fungerer veldig bra, fordi de fleste angripere vil erstatte et felles system fil med en trojaned versjon for å gi dem bakdør tilgang
Nettverksbaserte IDS. Disse systemene er mer populære og ganske enkel å installere. I utgangspunktet består de av et vanlig nettverk sniffer kjører i promiskuøse modus. (I denne modusen, plukker nettverkskortet opp all trafikk, selv om det ikke er ment for det.) Den sniffer er festet til en database over kjente angrep signaturer, og IDS analyserer hver pakke som den plukker opp for å se etter kjente angrep. For eksempel kan en vanlig Web angrep inneholde strengen /system32/cmd.exe? i nettadressen. IDS vil ha en kamp for dette i databasen og vil varsle administratoren.
Nyere versjoner av IDS støtte aktiv forebygging av angrep. I stedet for bare å varsle en administrator, kan IDS dynamisk oppdatere brannmurregler for å forby trafikk fra motstanders IP-adresse for en viss mengde tid. Eller de IDS kan bruke " session sniping " å lure begge sider av forbindelsen til å stenge, slik at angrepet ikke kan fullføres.
Dessverre, IDS systemer genererer mange falske positiver. En falsk positiv er i utgangspunktet en falsk alarm, hvor IDS ser legitim trafikk og for noen grunn matcher det mot et angrepsmønsteret. Dette frister mange administratorer til å slå dem av eller enda verre - ikke plager å lese loggene. Dette kan resultere i en faktisk angrep blir savnet.
IDS unndragelser er heller ikke så vanskelig for en erfaren angriper. Signaturen er basert på noen unik funksjon i angrepet, og så angriper kan modifisere angrepet slik at signaturen ikke er matchet. For eksempel, de ovennevnte angrepet streng /system32/cmd.exe? kan bli omskrevet i heksadesimal å se omtrent slik ut:
'2f% 73% 79% 73% 74% 65% 6d% 33% 32% 2f% 63% 6d% 64% 2e% 65% 78% 65 % 3F 'Dette kan være helt savnet av IDS. Videre kan en angriper delt angrepet i mange pakker av fragmentering pakkene. Dette betyr at hver pakke vil bare inneholde en liten del av angrepet, og signaturen ville ikke samsvarer. Selv om IDS er i stand til å montere fragmenterte pakker, skaper dette en gang overhead og siden IDS har til å kjøre på nær sanntid status, har de en tendens til å slippe pakker mens de behandler. IDS unndragelser er et tema for et papir på egen hånd.
Fordelen med et nettverksbasert IDS er at det er svært vanskelig for en angriper å oppdage. IDS i seg selv ikke behøver å generere noen trafikk, og faktisk mange av dem har en ødelagt TCP /IP-stabel, slik at de ikke har en IP-adresse. Dermed angriper ikke vet om nettverket segmentet blir overvåket eller ikke.
Patching og oppdatering
Det er pinlig og trist at dette må være oppført som et sikkerhetstiltak. Til tross for å være en av de mest effektive måter å stoppe et angrep, det er et enormt laid-back holdning til regelmessig patching systemer. Det er ingen unnskyldning for ikke å gjøre dette, og likevel nivået på patching fortsatt sørgelig utilstrekkelig. Ta for eksempel den MSblaster orm som spres kaos nylig. Den utnytter ble kjent nesten en måned i forveien, og en patch hadde blitt løslatt. Likevel ble millioner av brukere og bedrifter infisert. Mens administratorer vet at å måtte lappe 500 maskiner er en arbeidskrevende oppgave, slik jeg ser på det er at jeg heller vil være å oppdatere mine systemer på en jevnlig basis for å vente på katastrofen til å streike og deretter kjører rundt prøver å lappe og rydde opp de . 500 systemer
I bedriften, er det ingen " lett " måte å lappe et stort antall maskiner, men det er patch distribusjonsmekanismer som tar mye av byrden bort. Ærlig talt, er det en del av en admin jobb å gjøre dette, og når et nettverk er forferdelig fouled av den siste ormen, det betyr bare at noen, et sted ikke gjør jobben sin godt nok. Nå som vi har konkludert med en kort innføring i hvilke typer trusler overfor i bedriften, er det på tide å ta en titt på noen av de verktøyene som angripere bruker.
Husk at mange av disse verktøyene har legitime formål og er svært nyttig for administratorer også. For eksempel kan jeg bruke et nettverk sniffer å diagnostisere et lavnivå nettverksproblem eller jeg kan bruke den til å samle inn passordet ditt. Det avhenger bare hvilken nyanse av hat jeg velger å bære.
Generell nettverksverktøy
Så overraskende som det kan høres, noen av de mest kraftige verktøy, spesielt i begynnelsen stadier av et angrep, er de vanlige nettverk verktøy tilgjengelig med de fleste operativsystemer. For eksempel vil en angriper vanligvis søke i " whois " databaser for informasjon på målet. Etter det, kan han bruke " nslookup " for å se om han kan overføre hele innholdet i DNS-sonen. Dette vil la ham identifisere høyprofilerte mål som webservere, mailservere, og DNS-servere. Han kan også være i stand til å finne hva ulike systemene basert på deres DNS-navn; for eksempel, ville sqlserver.victim.com mest sannsynlig være en databaseserver. Andre viktige verktøy inkluderer traceroute å kartlegge nettverk og ping å sjekke hvilke verter er i live. Du bør sørge for at brannmuren blokkerer pingforespørsler og traceroute pakker.
Port skannere
De fleste av dere vil vite hvilken port skannere er. Ethvert system som tilbyr TCP eller UDP tjenester vil ha en åpen port for denne tjenesten. For eksempel, hvis du serverer opp Web-sider, vil du sannsynligvis ha TCP port 80 åpen. FTP er TCP port 20/21, er Telnet TCP 23, er SNMP UDP port 161 og så videre.
En port scanner skanner en vert eller et utvalg av vertene å bestemme hvilke porter er åpne og hva tjenesten kjører på dem. Dette forteller angriperen hvilke systemer kan bli angrepet.
For eksempel, hvis jeg skanner en webserver og finner ut at port 80 kjører en gammel webserver, som IIS /4.0, jeg kan målrette dette systemet med samlingen min av exploits for IIS 4. Vanligvis port skanning vil bli gjennomført i starten av angrepet, for å finne ut hvilke vertene er interessant
Det er når angriperen er fortsatt footprinting nettverket -. følelsen hans vei rundt til få en idé om hva slags tjenester tilbys og hva operativsystemer er i bruk. En av de beste portskannere rundt er Nmap (http://www.insecure.org/nmap). Nmap kjører på omtrent alle operativsystem, er svært allsidig og har mange funksjoner, inkludert OS fingerprinting, service versjon skanning og stealth-skanning. En annen populær scanner er Superscan (http://www.foundstone.com), som er bare for Windows-plattformen.
Network sniffere
Et nettverk sniffer setter datamaskinens NIC (nettverkskort eller LAN-kort) i promiskuøse modus. I denne modusen, plukker NIC opp all trafikk på sin subnett, uavhengig av om det var ment for det eller ikke. Angripere satt opp sniffere, slik at de kan fange opp all nettverkstrafikk, og trekk ut pålogginger og passord. Den mest populære nettverk sniffer er tcpdump. Det kan kjøres fra kommandolinjen, som vanligvis tilgangsnivået en ekstern angriper vil få. Andre spennende sniffere er Iris og Ethereal.
Når målet nettverket er en svitsjet miljø (et nettverk som bruker Layer 2 brytere), en vanlig nettverksskanner vil ikke være til nytte. For slike tilfeller er slått nettverk sniffer Ettercap (http://ettercap.sourceforge.net) svært populære. Det gjør det mulig for en angriper å samle inn passord, kapre økter, endre pågående forbindelser og drepe tilkoblinger. Det kan også snuse sikret samtaler som SSL (Secure Sockets Layer, som brukes til sikre web-sider) og SSH1 (Secure Shell, en fjerntilgang tjeneste som telnet, men kryptert).
Det finnes også programmer som tillater en admin å oppdage om noen nettverkskort kjører i promiskuøse modus.
sikkerhetsproblemene skannere
En sårbarhetsskanner er som en port scanner på steroider. Når den har identifisert hvilke tjenester kjører, kontrollerer det systemet mot en stor database med kjente sårbarheter og deretter utarbeider en rapport om sikkerhetshull som er funnet. Programvaren kan oppdateres for å søke etter de nyeste sikkerhetshull. Disse verktøyene er svært enkel å bruke, så mange script kiddies peke dem på en målmaskinen å finne ut hva de kan angripe. De mest populære er Retina (http://www.eeye.com), Nessus (http://www.nessus.org) og GFI LanScan (http://www.gfi.com). Disse er svært nyttige verktøy for administratorer, også, fordi de kan skanne hele sitt nettverk og få en detaljert oversikt over de hullene som finnes.
Passord crackere
Når en angriper har fått et visst nivå av tilgang, han vanligvis går etter passordfilen på den aktuelle maskinen. I Unix-lignende systemer dette er /etc /passwd eller /etc /shadow-fil, og i Windows er det SAM-databasen. Når han får tak i denne filen, er det vanligvis ". Game over " Han vil kjøre det gjennom et passord cracker som vanligvis vil garantere ham ytterligere tilgang. Kjøre et passord cracker mot dine egne passordfiler kan være en skremmende og opplysende opplevelse. L0phtcrack sprakk min gamle passord, 5kK fR7x, etter å ha blitt forlatt på for bare én natt
Det er i hovedsak to metoder for passordknekking:!
Ordbok modus Bilde: I denne modusen, angriperen mater cracker et ord liste over vanlige passord som " abc123 " eller ". passord " Cracker vil prøve hver av disse passordene og legg merke til hvor det blir en kamp. Denne modusen er nyttig når angriperen vet noe om målet. Hvis jeg vet at passordene for servere i din bedrift er navnene på greske guder, kan jeg finne en ordbok liste over greske guden navn og kjøre det gjennom passord cracker.
De fleste angripere har en stor samling av ordlister. For eksempel, når jeg gjør penetration testing arbeid, jeg bruker vanligvis vanlige passord lister, indiske navnelister og et par av tilpassede lister basert på hva jeg vet om selskapet (vanligvis data jeg plukker opp fra deres selskap nettsted). Mange tror at å legge på et par tall på begynnelsen eller slutten av et passord (for eksempel " superman99 ") gjør passord svært vanskelig å knekke. Dette er en myte, fordi de fleste passord crackere har muligheten til å legge til numre til slutten av ord fra ordlista. Mens det kan ta angriperen 30 minutter mer å knekke passordet ditt, det gjør ikke det mye sikrere
Brute force-modus Bilde:. I denne modusen, passord cracker vil prøve alle mulige Kombinasjonen om passordet. Med andre ord, vil den prøve aaaaa, aaaab, aaaac, aaaad, etc. Denne metoden vil knekke alle mulige passord; det er bare et spørsmål om hvor lang tid det tar. Det kan slå opp overraskende resultater på grunn av kraften i moderne datamaskiner. En fem- eller seks tegn alfanumerisk passord er crackable i løpet av noen timer eller et par dager, avhengig av hastigheten på programvare og maskin. Kraftige crackers inkluderer L0phtCrack for vinduer passord og John the Ripper for Unix-stil passord.
En del fire av denne serien presenterer en mer detaljert liste over verktøy med beskrivelser og mulige bruksområder.
Klikk her for å Les første del av denne serien, " Nettverkssikkerhet, del en: Introduksjon "
Administrator bærbare
Trenger du en rask gjennomgang.? Her er de viktigste punktene:
En brannmur tillatelser eller benekter trafikk basert på et sett av regler. Det kan ikke se inni pakkene.
Antivirus verktøy sile ut trafikken i henhold til en liste med definisjoner. Oppdatere definisjoner er avgjørende, så er å utdanne brukerne om virus.
IDS skanner for å se etter brudd. Verts-baserte systemer kjører på en viktig maskin. Nettverksbaserte systemer bruker en sniffer i forbindelse med en database av angrep
Patching og oppdatere systemene er svært effektivt, men må gjøres vigilantly
Mange verktøy kan brukes til å hindre angrep..; disse inkluderer nettverksverktøy, portskannere, sniffere og sårbarhet skannere. Angripere kan også finne disse verktøyene nyttig.
Klikk over til Firewall.cx for flere artikler som denne. Du trenger ikke å registrere eller hoppe gjennom noen ringer. Alt du gjør er å få nettverk informasjonen du ønsker. Copyright 2004 Firewall.cx. Anmeldelser