Penetratie testen(jarg. pentest) - een methode om de veiligheid van computersystemen of netwerken te beoordelen door middel van het simuleren van een aanval door een aanvaller. Het proces omvat het actief analyseren van het systeem op potentiële kwetsbaarheden die ervoor kunnen zorgen dat het doelsysteem niet goed functioneert of een volledige denial-of-service veroorzaakt. De analyse wordt uitgevoerd vanuit het perspectief van een potentiële aanvaller en kan actieve exploitatie van systeemkwetsbaarheden omvatten.

Het testobject kan individuele informatiesystemen zijn, bijvoorbeeld: CMS (contentmanagementsysteem), CRM (klantrelatiebeheersysteem), internetbank, of de gehele infrastructuur als geheel: netwerkperimeter, draadloze netwerken, interne of zakelijke netwerken. netwerk, maar ook de buitenste perimeter.

Penetratietest-uitdaging- zoeken naar alle mogelijke bekende softwarekwetsbaarheden, tekortkomingen in het wachtwoordbeleid, tekortkomingen en subtiliteiten van de IS-configuratie-instellingen. Tijdens zo’n test lanceert een tester een pseudo-aanval op een bedrijfsnetwerk, waarbij de acties van echte aanvallers of een aanval door kwaadaardige software worden gesimuleerd zonder directe deelname van de tester zelf. Het doel van deze tests is het identificeren van zwakke punten in de bescherming van een bedrijfsnetwerk tegen dergelijke aanvallen en het elimineren van kwetsbaarheden die tijdens pseudo-aanvallen worden aangetroffen.

Penetratietesten worden doorgaans onderverdeeld in BlackBox, WhiteBox en GreyBox:

BlackBox- “zwarte doos”. De specialist beschikt alleen over openbaar beschikbare informatie over het doel van het onderzoek, het netwerk en de parameters ervan. Deze optie benadert de werkelijke situatie zo dicht mogelijk. Als initiële testgegevens krijgt de contractant alleen de naam van het bedrijf of zijn website, en zal de contractant alle andere informatie moeten achterhalen, zoals de door het bedrijf gebruikte IP-adressen, websites, toegangspunten van de kantoren en filialen met internet.

Witte Box– het complete tegenovergestelde van BlackBox. In dit geval krijgt de specialist de maximale informatie die hij nodig heeft, inclusief administratieve toegang tot elke server. Met deze methode kunt u een zo volledig mogelijk onderzoek naar de kwetsbaarheid van een object verkrijgen. Met WhiteBox hoeft de uitvoerder geen tijd te verspillen aan het verzamelen van informatie, het opstellen van een netwerkkaart en andere acties voordat hij met testen begint, en zal hij ook de tijd voor het testen zelf verkorten, omdat Sommige controles hoeven simpelweg niet te worden uitgevoerd. Het voordeel van deze methode is een completere en geïntegreerdere benadering van onderzoek. Het nadeel is dat dit minder dicht in de buurt komt van de situatie van een echte aanval door een aanvaller.

GrayBox– dit is een tussenoptie tussen WhiteBox en BlackBox, waarbij de uitvoerder handelt volgens de BlackBox-optie en periodiek informatie opvraagt ​​over het geteste systeem om de onderzoekstijd te verkorten of zijn inspanningen efficiënter toe te passen. Deze optie is het populairst, omdat het testen mogelijk maakt zonder extra tijd te verspillen aan het verzamelen van informatie en het zoeken naar kwetsbaarheden, terwijl deze optie redelijk dicht bij de werkelijke situatie van de acties van een aanvaller blijft.

1. EIGENSCHAPPEN VAN PENETRATIE VAN EEN AFSTANDSCOMPUTERSYSTEEM.

Elke objectieve en volledige penetratietest heeft een aantal kenmerken en moet worden uitgevoerd met inachtneming van de aanbevelingen en regels.

De regels en het raamwerk voor het testen van informatiepenetratie worden gepresenteerd in de OSSTMM- en OWASP-methodologieën. Vervolgens kunnen de verkregen gegevens eenvoudig worden aangepast om conformiteitsbeoordelingen uit te voeren met alle industriële standaarden en ‘world best practices’, zoals Cobit, ISO/IEC 2700x-seriestandaarden, CIS/SANS/NIST/etc-aanbevelingen en PCI DSS-standaard.

Om een ​​dergelijke beoordeling volledig uit te voeren, zullen technologische gegevens alleen niet voldoende zijn. Voor een volledige beoordeling zijn interviews nodig met medewerkers van verschillende afdelingen van het bedrijf dat wordt beoordeeld, analyse van administratieve documentatie, verschillende informatietechnologie (IT) en informatiebeveiligingsprocessen (IS), en nog veel meer.

Wat betreft penetratietesten in overeenstemming met de vereisten van de Payment Card Industry Information Security Standard, verschilt deze niet veel van conventionele tests die worden uitgevoerd met behulp van OSSTMM- en OWASP-methoden. Bovendien beveelt de PCI DSS-standaard aan om de OWASP-regels te volgen bij het uitvoeren van zowel een pentest (AsV) als een audit (QSA).

De belangrijkste verschillen tussen PCI DSS-testen en penetratietesten in de brede zin van het woord zijn als volgt:

• De standaard reguleert geen aanvallen met behulp van social engineering (en vereist daarom ook geen aanvallen).
• Alle uitgevoerde tests moeten de dreiging van Denial of Service (DoS) zoveel mogelijk minimaliseren. Daarom moeten tests worden uitgevoerd volgens de “grijze doos”-methode met verplichte waarschuwing aan de beheerders van de relevante systemen.
• Het belangrijkste doel van dergelijke tests is om te proberen deze te implementeren
  ongeautoriseerde toegang tot betaalkaartgegevens (PAN, naam van de kaarthouder, enz.).

Met de GrayBox-methode kunt u het risico op Denial of Service verkleinen wanneer u dergelijke werkzaamheden uitvoert met betrekking tot informatiebronnen die 24/7 actief zijn.

Over het algemeen moeten PCI-penetratietesten aan de volgende criteria voldoen:

• clausule 11.1(b) – Beveiligingsanalyse van draadloze netwerken
• artikel 11.2 – Scannen van het informatienetwerk op kwetsbaarheden (AsV)
• clausule 11.3.1 – Controles uitvoeren op netwerkniveau (Network-layer
  penetratietesten)
• clausule 11.3.2 – Penetratietests op de applicatielaag

Het bepalen van de grenzen van het onderzoek dat wordt uitgevoerd. Allereerst is het noodzakelijk om de grenzen van penetratietests te identificeren, de volgorde van de uit te voeren acties te bepalen en overeen te komen. In het beste geval kan de afdeling informatiebeveiliging een netwerkkaart verkrijgen, die schematisch laat zien hoe het verwerkingscentrum samenwerkt met de algemene infrastructuur. In het ergste geval zult u moeten communiceren met een systeembeheerder die zijn eigen tekortkomingen kent, en het verkrijgen van uitgebreide gegevens over het informatiesysteem zal moeilijk zijn vanwege zijn onwil om zijn informatie over het IP-adres te delen. Om een ​​PCI DSS-pentest uit te voeren, moet u op de een of andere manier op zijn minst de volgende informatie verkrijgen:

• netwerksegmentatie (gebruiker, technologisch, DMZ, verwerking, enz.);
• firewalling op subnetgrenzen (ACL/ITU);
• gebruikte webapplicaties en DBMS (zowel test- als productief);
• draadloze netwerken gebruikt;
• eventuele beveiligingsdetails waarmee tijdens het onderzoek rekening moet worden gehouden (bijvoorbeeld het blokkeren van accounts na N pogingen tot onjuiste authenticatie), infrastructuurkenmerken en algemene wensen bij het uitvoeren van tests.

2. STAPPEN VOOR PENETRATIETESTS

Laten we eens kijken naar de mogelijke stadia van penetratietesten. Afhankelijk van de beschikbare informatie (BlackBox/WhiteBox/GreyBox) kan de volgorde van de acties verschillen: gegevensverzameling, netwerkscannen, systeemhacking, malware, social engineering.

2.1 Gegevensverzameling.

Verzameling van gegevens uit open informatiebronnen. Open bronnen zijn informatiebronnen die legaal en legaal toegankelijk zijn. Het zoeken naar noodzakelijke informatie met behulp van open bronnen is overgenomen door veel civiele en militaire structuren die werkzaam zijn op het gebied van inlichtingen en industriële spionage.

Toegang tot de benodigde informatie op internet kan op verschillende manieren worden bereikt. Dit kunt u doen door op hyperlinks te klikken, te zoeken in verschillende mappen (sites, blogs, etc.), u kunt zoekresultaten bekijken. Voor bepaalde doeleinden is het onmogelijk om te doen zonder te zoeken in gespecialiseerde databases.

Informatie kan ook worden verstrekt via interne website-URL's, e-mailadressen, telefoonnummers, faxen, DNS-server, IP-adresbereik en routeringsinformatie.

Met de ontwikkeling van internet zijn WHOIS-diensten wijdverbreid geworden. Whois (van het Engelse “wie is” - “wie is”) is een netwerkprotocol gebaseerd op het TCP-protocol. Het belangrijkste doel is om informatie te verkrijgen over de “registrant” (domeineigenaar) en “registrar” (de organisatie die het domein heeft geregistreerd), DNS-servernamen, registratiedatum en vervaldatum. Records over IP-adressen zijn gegroepeerd op bereik (bijvoorbeeld 8.8.8.0 - 8.8.8.255) en bevatten gegevens over de organisatie waaraan dit bereik is gedelegeerd.

2.2 Netwerkscannen.

Netwerkscannen kan worden onderverdeeld in componenten:

1. Een reeks IP-adressen scannen om “live” hosts te bepalen

2. Poortscannen

3. Ontdekking van services en hun versies

4. Scan om het besturingssysteem te bepalen

5. Scannen op kwetsbaarheden

1. Een reeks IP-adressen scannen.

Een fundamentele taak bij het verkennen van een netwerk is het reduceren van de reeks IP-bereiken tot een lijst met actieve hosts. Het scannen van elke poort van elk IP-adres is traag en onnodig. De interesse in het bestuderen van bepaalde hosts wordt grotendeels bepaald door de doeleinden van het scannen. Aan de doelstellingen van beheerders om draaiende hosts op een netwerk te ontdekken, kan worden voldaan door eenvoudige ICMP-pings, maar mensen die testen of een netwerk in staat is om externe aanvallen te weerstaan, moeten een verscheidenheid aan querysets gebruiken om de firewall te omzeilen.

De taak van het ontdekken van hosts wordt soms een ping-scan genoemd, maar deze is veel beter dan de gebruikelijke ICMP-verzoeken die verband houden met de alomtegenwoordige ping-hulpprogramma's. Het verdient de voorkeur om het netwerk te scannen met behulp van willekeurige combinaties van multiport TCP SYN/ACK-, UDP- en ICMP-verzoeken. Het doel van al deze verzoeken is om antwoorden te verkrijgen die aangeven dat het IP-adres momenteel actief is (in gebruik door de host of het netwerkapparaat). Op de meeste netwerken is slechts een klein percentage van de IP-adressen tegelijkertijd actief. Dit geldt vooral voor adresruimten zoals 10.0.0.0/8. Dergelijke netwerken hebben 16 miljoen IP-adressen, maar er zijn gevallen waarin ze worden gebruikt door bedrijven met niet meer dan duizend machines. Host Discovery kan deze machines vinden in deze enorme zee van IP-adressen.

2. Poortscannen.

Er zijn veel verschillende poortscantechnieken en voor een specifieke taak wordt de juiste (of een combinatie van meerdere) geselecteerd. Laten we eens kijken naar de meest populaire scantechnieken:

TCP SYN-scan
SYN is het standaard en populairste scantype. Het kan snel worden gestart, kan duizenden poorten per seconde scannen via een snelle verbinding en wordt niet gehinderd door beperkende firewalls.

Verschillende soorten UDP-scannen
Hoewel de meeste internetdiensten het TCP-protocol gebruiken, zijn UDP-diensten ook wijdverspreid. De drie meest populaire zijn DNS, SNMP en DHCP (gebruik poort 53, 161/162 en 67/68). Omdat UDP-scannen is over het algemeen langzamer en complexer dan TCP-scannen, waardoor veel beveiligingsprofessionals deze poorten negeren. Dit is een fout omdat Er zijn UDP-services die door aanvallers worden gebruikt.

TCP NULL-, FIN- en Kerstscans
Deze drie typen scans maken gebruik van een subtiele maas in de TCP RFC om onderscheid te maken tussen open en gesloten poorten.\

TCP ACK-scannen
Dit type scan verschilt sterk van alle andere, omdat het geen open poort kan detecteren. Het wordt gebruikt om firewallregels te identificeren, te bepalen of ze stateful zijn of niet, en om te bepalen welke poorten ze filteren.

3. Ontdekking van services en hun versies.

Bij het scannen van een extern systeem kan blijken dat de poorten 25/tcp, 80/tcp en 53/udp open zijn. Aan de hand van de informatie kunt u erachter komen dat deze poorten waarschijnlijk overeenkomen met respectievelijk de mailserver (SMTP), de webserver (HTTP) en de domeinnaamserver (DNS). Deze informatie is meestal correct omdat... de overgrote meerderheid van de diensten die TCP-poort 25 gebruiken, zijn in feite mailservers. U moet echter niet volledig op deze informatie vertrouwen. Mensen kunnen diensten uitvoeren via niet-standaardpoorten, en dat doen ze ook.

Nadat eventuele TCP- en/of UDP-poorten zijn gedetecteerd, vindt er een procedure plaats om deze te identificeren om te bepalen welke applicaties (services) deze gebruiken. Met behulp van een database met verzoeken voor het aanroepen van verschillende diensten en bijbehorende uitdrukkingen om de antwoorden te herkennen en te analyseren, is het mogelijk om de serviceprotocollen (bijv. FTP, SSH, Telnet, HTTP), applicatienaam (bijv. ISC BIND, Apache httpd, Solaris telnetd) te bepalen ), versienummer, hostnaam, apparaattype (bijv. printer, router), OS-familie (bijv. Windows, Linux) en soms verschillende details zoals of het mogelijk is om verbinding te maken met de X-server, SSH-protocolversie of gebruikersnaam.

4. Scan om het besturingssysteem te bepalen.

Het is mogelijk om het besturingssysteem op een extern systeem te bepalen op basis van analyse van de TCP/IP-stack. Er wordt een reeks TCP- en UDP-pakketten naar de externe host verzonden en vrijwel elk bit in de antwoorden wordt onderzocht. Na het uitvoeren van vele tests, zoals TCP ISN-sampling, TCP-ondersteuningsopties, IP ID-sampling en het analyseren van de duur van de initialisatieprocedure, worden de resultaten vergeleken met een database met bekende reeksen typische resultaten voor verschillende besturingssystemen en, als er overeenkomsten worden gevonden, er kan een conclusie worden getrokken over het geïnstalleerde besturingssysteem.

5. Scannen op kwetsbaarheden.

Kwetsbaarheidsscannen is een geheel of gedeeltelijk geautomatiseerd proces waarbij informatie wordt verzameld over de beschikbaarheid van een netwerkknooppunt van een informatienetwerk (personal computers, servers, telecommunicatieapparatuur), netwerkdiensten en applicaties die op dit knooppunt worden gebruikt en hun identificatie, poorten die door deze diensten worden gebruikt en applicaties, om bestaande of mogelijke kwetsbaarheden vast te stellen.

2.3 Het systeem hacken.

Het succes van het in de praktijk implementeren van een bepaald hackalgoritme hangt grotendeels af van de architectuur en configuratie van het specifieke besturingssysteem dat het doelwit is van deze hack.

Er zijn echter benaderingen die op vrijwel elk besturingssysteem kunnen worden toegepast:

1. Wachtwoord diefstal.
2. Het monitoren van de gebruiker terwijl hij een wachtwoord invoert dat hem het recht geeft om met het besturingssysteem te werken.
3. Een wachtwoord ophalen uit het bestand waarin het wachtwoord door de gebruiker is opgeslagen.
4. Zoek naar een wachtwoord, dat gebruikers vaak op papier noteren.
5. Diefstal van een extern opslagmedium voor wachtwoordinformatie (floppy disk of elektronische sleutel waarop het wachtwoord van de gebruiker is opgeslagen om toegang te krijgen tot het besturingssysteem).
6. Volledig zoeken naar alle mogelijke wachtwoordopties.
7. Selectie van een wachtwoord op basis van de frequentie van voorkomen van symbolen en bigrams, met behulp van persoonlijke woordenboeken en de meest gebruikte wachtwoorden.
8. Harde schijven van computers scannen.
9. Afvalinzameling.
10. Overschrijding van autoriteit (door misbruik te maken van fouten in de software of in het beheer van het besturingssysteem verkrijgt de onderzoeker autoriteit die verder gaat dan de autoriteit die hem op grond van het huidige beveiligingsbeleid is toegekend).
11. Een programma uitvoeren als gebruiker met de benodigde rechten, of als systeemprogramma (stuurprogramma, service, daemon, enz.).
12. Het vervangen van een dynamisch geladen bibliotheek die wordt gebruikt door systeemprogramma's of het wijzigen van omgevingsvariabelen die het pad naar dergelijke bibliotheken beschrijven.
13. Wijziging van de code of gegevens van het beveiligingssubsysteem van het besturingssysteem zelf.
14. Denial of service (het doel van deze aanval is het besturingssysteem geheel of gedeeltelijk uit te schakelen).
15. Bronnen vastleggen (het gecontroleerde programma legt alle bronnen vast die beschikbaar zijn in het besturingssysteem en komt vervolgens in een eindeloze lus terecht).
16. Bombardement met verzoeken (een gecontroleerd programma verzendt voortdurend verzoeken naar het besturingssysteem, waarvoor de reactie de betrokkenheid van aanzienlijke computerbronnen vereist).
17. Het misbruiken van bugs in software of administratie.

2.4 Schadelijke software.

Heel vaak wordt malware gebruikt om toegang te krijgen tot een geïnfecteerd systeem. Typisch malware die de functionaliteit heeft achterdeur gepost op een bron voor het delen van bestanden onder het mom van een legitiem programma.

Schadelijke software is software die is ontwikkeld om ongeoorloofde toegang te verkrijgen tot computerbronnen en tot de gegevens die daarop zijn opgeslagen. Dergelijke programma's zijn bedoeld om schade toe te brengen aan de eigenaar van informatie of aan een computer door informatie te kopiëren, te vervormen, te verwijderen of te vervangen.

Trojaanse paarden zijn kwaadaardige programma's die acties uitvoeren die niet door de gebruiker zijn geautoriseerd. Dergelijke acties kunnen het volgende omvatten:

1. Gegevens verwijderen
2. Gegevensblokkering
3. Gegevens wijzigen
4. Gegevens kopiëren
5. Vertraging van computers en computernetwerken.

Trojaanse paarden worden geclassificeerd op basis van het soort acties dat ze op een computer uitvoeren.

1. Achterdeuren. Met het backdoor Trojan-programma kunnen aanvallers geïnfecteerde computers op afstand besturen. Met dergelijke programma's kan de auteur alle acties uitvoeren op de geïnfecteerde computer, inclusief het verzenden, ontvangen, openen en verwijderen van bestanden, het weergeven van gegevens en het opnieuw opstarten van de computer. Backdoor Trojans worden vaak gebruikt om een ​​groep slachtoffercomputers te verenigen in een botnet- of zombienetwerk voor crimineel gebruik.
2. Exploitaties. Exploits zijn programma's die gegevens of code bevatten en misbruik maken van een kwetsbaarheid in applicaties die op een computer draaien.
3. Rootkits . Rootkits zijn programma's die zijn ontworpen om bepaalde objecten of acties op een systeem te verbergen. Vaak is hun hoofddoel het voorkomen dat antivirussoftware malware detecteert, om zo de werkingsduur van deze programma's op de geïnfecteerde computer te verlengen.

2.5 Sociale engineering.

Om ervoor te zorgen dat malware op het aangevallen IP-adres terechtkomt, wordt gebruik gemaakt van social engineering. Social engineering is een methode voor ongeoorloofde toegang tot informatiebronnen, gebaseerd op de kenmerken van de menselijke psychologie. Het belangrijkste doel van social engineers is om toegang te krijgen tot beveiligde systemen om informatie, wachtwoorden, creditcardgegevens, enz. te stelen. Het is niet de machine die als doelwit van de aanval wordt gekozen, maar de operator ervan. Daarom zijn alle methoden en technieken van social engineers gebaseerd op het exploiteren van de zwakheden van de menselijke factor.

Er zijn verschillende veelgebruikte technieken en soorten aanvallen die social engineers gebruiken. Maar het gemeenschappelijke kenmerk van al deze methoden is misleidend, met als doel iemand te dwingen een actie uit te voeren die hem niet ten goede komt en die noodzakelijk is voor de social engineer. Om het gewenste resultaat te bereiken, gebruikt de social engineer een aantal verschillende tactieken: zich voordoen als een andere persoon, de aandacht afleiden, psychologische spanning opblazen, enz. De uiteindelijke doelen van bedrog kunnen ook zeer divers zijn.

Social engineering-technieken:

• Voortesten. Pretexting is een reeks acties die worden uitgevoerd volgens een specifiek, vooraf voorbereid scenario (pretext).
• Phishing. Phishing (Engelse phishing, van vissen - vissen, vissen) is een vorm van internetfraude, met als doel toegang te krijgen tot vertrouwelijke gebruikersgegevens - logins en wachtwoorden. Het doel van phishing is het illegaal verkrijgen van vertrouwelijke informatie.
• Quid pro quo. Quid over quo (lat. Quid pro quo- "dit voor dat") - in het Engels wordt deze uitdrukking meestal gebruikt in de betekenis van "quid pro quo." Vaak stelt een social engineer zich voor als medewerker technische ondersteuning, die technische problemen op de werkplek van de medewerker meldt en hulp biedt bij het oplossen ervan.

Uit een onderzoek naar informatiebeveiliging uit 2003 bleek dat 90% van de kantoormedewerkers bereid zou zijn vertrouwelijke informatie vrij te geven, zoals hun wachtwoorden, in ruil voor een gunst of beloning.

• Trojaans paard. Een Trojaans paard is een kwaadaardig programma dat door aanvallers wordt gebruikt om informatie te verzamelen, vernietigen of wijzigen, de computerprestaties te verstoren of gebruikersbronnen voor hun eigen doeleinden te gebruiken. Deze techniek maakt vaak gebruik van de nieuwsgierigheid en andere emoties van het doelwit.

Organisatie van een pseudo-aanval.

Om een ​​pseudo-aanval op een computersysteem te organiseren, gebruiken wij software Toolkit voor sociale engineering(SET) en Metasploit Kader(MFS). Deze hulpprogramma's zijn standaard opgenomen in de Backtrack 5-distributie, ontworpen om de mogelijkheid van systeem- en netwerkhacking te testen. Daarnaast maken wij gebruik van twee virtuele machines met de volgende besturingssystemen:Ramen7 en Terugslag 5.

Achterdeur generatie. We zullen SET gebruiken om een ​​omgekeerde TCP-achterdeur te creëren, en MFS om een ​​handler te creëren om pakketten van de gecreëerde achterdeur te verwerken, die een communicatiekanaal in stand zal houden tussen een potentiële aanvaller en het systeem waarop de achterdeur zal worden gelanceerd.

Alle acties worden uitgevoerd in consolemodus op Backtrack 5 OS. Het maken van payloads wordt bereikt via het SET-hulpprogramma, stap 4 Creëren A Laadvermogen En Lijster

Het aanmaken van een payload met reverse TCP (om feedback tot stand te brengen) doet u door stap 2 te selecteren Ramen Achteruit— TCP Meterpreter en dan punt 16 Achterdeur Uitvoerbaar. Met deze bewerking is het maken van de achterdeur voltooid. Bij het aanmaken wordt ook het poortnummer aangegeven via welke feedback zal plaatsvinden. In een map / pentest/ exploits/ SET msf.exe wordt gegenereerd op basis van de opties die we hebben geselecteerd.

Het opzetten van de exploit. De exploit is ontworpen om TCP-verzoeken van een gecreëerde achterdeur te ontvangen. De configuratie wordt gedaan door MFS te starten en de handler-exploit (listener) te selecteren: gebruik exploit/multi/handler.

Als gevolg hiervan schakelt MFS over naar de context van de exploithandler. De volgende taak is het configureren van de payload voor deze exploit. Omdat de achterdeur is georiënteerd (gemaakt) met Revers_TCP Meterpretor, wordt informatie uitgewisseld via een TCP-verbinding: set/ lading ramen/ meterpreter/ achteruit_ TCP. Daarnaast is het noodzakelijk om Local Host (het IP-adres van een potentiële aanvaller) op te geven in de opties.

Running handler brengt je in de meterpretor-context, waar sessies worden gepresenteerd waarmee je verbinding kunt maken. Het verschijnen van een sessie zal plaatsvinden nadat de achterdeur op een externe machine is gelanceerd, wat in sommige gevallen in de praktijk wordt bereikt via social engineering.

Om dit proces te simuleren wordt de achterdeur gelanceerd op een tweede virtuele machine. Hierna zal een sessie met dit systeem beschikbaar zijn in meterpretor, dat wil zeggen dat onze achterdeur een communicatiekanaal biedt en dat we controle krijgen over de geïnfecteerde machine.

Internetbeveiliging

Elke gebruiker, of het nu een individu of een onderneming is, beschikt noodzakelijkerwijs over informatie die uniek is vanuit zijn gezichtspunt. Een onderneming kan een commerciële structuur zijn, of een staats-, gemeentelijke of begrotingsinstelling, maar in alle gevallen worden haar activiteiten op de een of andere manier ondersteund door een computernetwerk. En de noodzaak om de informatiebeveiliging van een computernetwerk te garanderen staat buiten twijfel.

Bronnen van bedreigingen en mogelijke gevolgen

Bronnen van bedreigingen voor het netwerk kunnen zowel extern als intern zijn. De voor de hand liggende externe bron is internet. Zelfs als lokale netwerkgebruikers geen directe toegang tot internet hebben, kunnen ze e-maildiensten gebruiken en informatie van buitenaf ontvangen, waarvan de veiligheid niet gegarandeerd is. Strikt genomen is internet geen bron van dreiging, maar een medium waarmee kwaadaardige informatie het lokale netwerk binnendringt. De initiatiefnemers van bedreigingen kunnen gewetenloze partners zijn, criminelen of, integendeel, wetshandhavingsinstanties, hackers en zelfs technisch personeel van de aanbieder. Intern gevaar bestaat uit de doelbewuste introductie, of het creëren van voorwaarden voor de introductie van kwaadaardige software door werknemers van het bedrijf. Het hiërarchische niveau van de medewerker heeft hier vrijwel geen betekenis. Lage kwaliteit of verouderde hardware- en software-informatieverwerkingstools moeten worden beschouwd als een interne potentiële bron van bedreiging; de kwetsbaarheid van deze componenten kan de veiligheid van een computernetwerk tenietdoen.

De gevolgen van onvoldoende gegevensbescherming op het netwerk zijn talrijk: diefstal, vernietiging of verspreiding van vertrouwelijke informatie (bedrijfsgeheimen), persoonlijke gegevens, vervanging van informatie, het blokkeren van de toegang daartoe, beperkte functionaliteit of volledige sluiting van het bedrijfsnetwerk. Dit laatste leidt tot een daadwerkelijke stopzetting van bedrijfsprocessen.

Beschermingsopties

Het beveiligen van computernetwerken is absoluut essentieel. U moet begrijpen dat er altijd een veiligheidsdreiging van een of andere omvang bestaat. Of het al dan niet zal worden geïmplementeerd, hangt af van hoe het netwerk is georganiseerd en welke methoden voor de bescherming van het lokale netwerk worden gebruikt. Een LAN-beveiligingssysteem wordt betrouwbaar wanneer het gebruik maakt van hardware met voldoende prestaties en hoogwaardige software met transparant beheer - de gebruiker moet begrijpen wat hij doet en waarom. In het geval van een bedrijfsnetwerk is een hardwarefirewall een adequate oplossing. Samen met het geïnstalleerde Internet Control Server (ICS)-programma wordt een uitgebreide tegenmaatregel tegen externe en interne bedreigingen geïmplementeerd. Verkeer (inclusief intern verkeer) dat door de netwerkgateway gaat, wordt voortdurend geanalyseerd door ingebouwde beveiligingshulpmiddelen voor computernetwerken. De DLP-module filtert mogelijke informatielekken en de streaming-antivirus detecteert malware voordat deze netwerkcomputers binnendringt. De aanvalsdetector van Suricata detecteert potentieel kwaadaardige activiteiten op het netwerk. De verbindingsmonitor toont verkeersstromen van elke client. Veel netwerkbeveiligingscomponenten zijn eenvoudig te configureren, hun werking is zelfs voor een niet-specialist duidelijk en een dergelijk programma is eenvoudig te beheren.

Het is het hoge beveiligingsniveau van het lokale netwerk dat van veel op elkaar inwerkende computers een werkomgeving maakt, waardoor de onderneming normaal kan functioneren. Een netwerkbeveiligingsprogramma moet intern complex en modern zijn, maar eenvoudig en begrijpelijk op het niveau van gebruikersinteractie.

Wat is ICS?

3. Middelen om computernetwerken te beschermen

Computernetwerkbeveiliging betekent: nomenclatuur, status, interconnectie

Volgens deskundigen moet een beschermingsbeleid in ieder geval rekening houden met de volgende aspecten:

• autorisatie van toegang tot computersystemen, identificatie en authenticatie van de gebruiker;
• controle van toegangsrechten;
• beschermingsmonitoring en statistische analyse;
• systeemconfiguratie en testen;
• veiligheidstraining;
• fysieke beveiliging;
• netwerkbeveiliging.

Het eerste van de genoemde punten is een buitenpost waar criteria worden geformuleerd die alleen die gebruikers toestaan ​​die in aanmerking komen om verbinding te maken met het systeem, en alle anderen zullen niet eens de kans krijgen om te proberen zich te registreren. Het standaardmiddel voor het implementeren van deze functie zijn speciale bestanden of lijsten met hosts waarvan extern inloggen is toegestaan. Toegegeven, de ontwikkelaars van dit apparaat zorgen altijd voor verleidingen voor beheerders (om de een of andere reden is er altijd een "knop" die de toegang voor iedereen opent). Waarschijnlijk heeft het wegnemen van de controle in sommige gevallen zijn eigen verklaringen - ze verwijzen meestal naar de betrouwbaarheid van andere middelen, het gebrek aan directe input, maar het is moeilijk om alle mogelijke situaties te voorzien bij het werken met netwerken. Daarom moet u nog steeds de toegangsautorisatie configureren zonder gebruik te maken van de standaardinstellingen.
Zoals de praktijk laat zien, kan dit type bescherming de kans op penetratie niet significant verminderen. Echte waarde zijn (definiërende centrale rol) is anders: bij de registratie en accounting van netwerkgebruikers die proberen in te loggen op het systeem.

Centrale rol In moderne beveiligingssystemen wordt dit toevertrouwd aan identificatie- en authenticatieprocedures. Er zijn drie basismanieren om ze te implementeren:

• het gebruik van een wachtwoord of voorwaardelijke zin die bekend is bij de gebruiker;
• het gebruik van een persoonlijk apparaat/document dat alleen de gebruiker bezit: een smartcard, een pocketauthenticator of eenvoudigweg een speciaal gemaakte identiteitskaart (er wordt aangenomen dat de authenticator nooit met iemand zal worden gedeeld);
• door authenticatie van de gebruiker zelf - door vingerafdrukken, stem, netvliespatroon, enz. Deze identificatiemethoden worden ontwikkeld in het kader van de biometrie.

De meest betrouwbare authenticatieschema's zijn gebouwd als een combinatie van deze methoden, en de eerste blijft het meest wijdverspreidsymbolisch . Het is niet verrassend dat hackers goed zijn toegerust om inlognamen en wachtwoorden te bemachtigen. Als ze erin slagen het wachtwoordbestand naar hun machine te kopiëren, wordt een gokprogramma gestart, waarbij doorgaans gebruik wordt gemaakt van een grote zoekopdracht in het woordenboek. Dergelijke programma's werken snel, zelfs op zwakke computers, en als het beveiligingssysteem de methoden voor het genereren van wachtwoorden niet controleert, is de kans groot dat u er minstens één raadt. Vervolgens volgt een poging om geprivilegieerde rechten te verkrijgen op basis van de bekendgemaakte accountnaam - en de klus is geklaard.
Bijzonder gevaarlijk, en niet alleen voor henzelf, zijn machines met uitgeschakelde beschermingsmechanismen of helemaal niet. Beheerders beschikken over de hedendaagse tools om vertrouwensrelaties tussen hosts tot stand te brengen met behulp van de hosts.equiv, xhost-bestanden. Als de configuratie mislukt, kan een aanvaller inloggen op een onbeveiligde machine en, zonder enige identificatie, transitief toegang krijgen tot alle hosts op het bedrijfsnetwerk.

Veelgestelde vragen 1 Veelgestelde vragen 2

Het volgende punt van het beveiligingsbeleid - de controle van de toegangsrechten - is bedoeld om ervoor te zorgen dat na succesvolle afronding van de authenticatieprocedure slechts een subset van bestanden en systeemdiensten, bepaald op persoonlijke basis, beschikbaar komt voor de gebruiker. Dankzij dit mechanisme kunnen gebruikers bijvoorbeeld uitsluitend hun e-mails lezen die zij hebben ontvangen via e-mail , maar geen brieven van een buurman. Meestal worden toegangsrechten door gebruikers zelf ingesteld: de eigenaar van de gegevens kan iemand anders ermee laten werken, net zoals een systeembeheerder de toegangsrechten tot systeem- en configuratiebestanden beheert. Het is alleen van belang dat de eigenaar altijd persoonlijk verantwoordelijk is voor zijn eigendom.
De differentiatie van rechten beperkt zich niet alleen tot gegevens; parallel daaraan worden subsets van toegestane bewerkingen aan gebruikers toegewezen. Neem bijvoorbeeld het geautomatiseerde ticketverkoopsysteem. De kassier moet zeker verbinding kunnen maken met een centrale database om de beschikbaarheid op te vragen en de verkoop te verwerken. Maar zijn rechten moeten zo beperkt worden dat hij de lopende rekeningen van de organisatie niet kan wijzigen of zijn salaris kan verhogen.
In toepassingen voor meerdere gebruikers wordt de afbakening doorgaans uitgevoerd via discretionaire toegangscontroles (Discretionary Access Controls), en in besturingssystemen - op basis van bestandskenmerken en procesidentificaties EUID, GLJID. Het ordelijke beeld wordt doorbroken door de SUID- en SGID-bits, waarmee u de toegangsrechten van processen programmatisch kunt wijzigen. Scripts met de setuid-functie, vooral setuid root, vormen een potentieel veiligheidsrisico. Ze mogen helemaal niet worden gemaakt, of ze moeten zelf op betrouwbare wijze worden beschermd.
Het is onmogelijk om veiligheid te bereiken als u de orde niet handhaaft in de ongeorganiseerde infrastructuur van de onderneming. Configuratiemanagement is een geheel van technologieën die de status van software, hardware, gebruikers en netwerken monitoren. Normaal gesproken is de configuratie van een computersysteem en de componenten ervan duidelijk gedefinieerd op het moment van implementatie, maar na verloop van tijd gaat de controle steeds meer verloren. Configuratiebeheertools zijn ontworpen om alle wijzigingen die in het systeem plaatsvinden te formaliseren en te detailleren.
Bij kwaliteitsmanagement moet in de eerste plaats een strikte procedure voor het doorvoeren van wijzigingen, inclusief de documentatie ervan, worden doordacht en gedefinieerd. Ten tweede moeten alle veranderingen worden beoordeeld vanuit het perspectief van het algehele veiligheidsbeleid. Hoewel het mogelijk is dat dit beleid wordt aangepast, is het belangrijk dat de consistentie van beslissingen voor iedereen in elke fase van de levenscyclus behouden blijft. zelfs verouderde systemen die in het netwerk blijven zitten - anders worden ze die zeer “zwakke schakel”.
Alle bovengenoemde aspecten van bescherming zijn op de een of andere manier afhankelijk van softwaretechnologieën, maar er zijn uiterst belangrijke kwesties die deze cirkel te boven gaan. Het bedrijfsnetwerk omvat de echte wereld: gebruikers, fysieke apparaten, opslagmedia, enz., wat ook problemen kan veroorzaken. Onze gebruikers behandelen, blijkbaar vanwege historische tradities, kwesties van geheimhouding ironisch. In de context van netwerkwerk moet deze houding dringend worden veranderd, waardoor bewustzijn ontstaat over de basisprincipes van bescherming. Dit is de eerste fase, waarna je door kunt gaan naar de volgende: technische training, en niet alleen gebruikers, maar ook professionals moeten deze doorlopen. Naarmate de specificaties voor het beveiligingsbeleid worden ontwikkeld, moeten systeem- en databasebeheerders er voldoende vertrouwd mee raken om ze in specifieke softwareoplossingen te kunnen vertalen.
Een typische maas in de wet voor crackers is ‘zwak’, dat wil zeggen, gemakkelijk te onthullen wachtwoorden. De situatie kan worden gecorrigeerd door gebruikers te trainen bewust te zijn van toegangscontrole: verander periodiek wachtwoorden en vorm ze correct. Verrassend genoeg is een veelgemaakte fout, zelfs in een gekwalificeerde omgeving, een wachtwoord dat bestaat uit een inlognaam en een naam aan het einde. Hoewel de fysieke veiligheid afneemt naarmate de technologie voortschrijdt, is het nog steeds een belangrijk onderdeel van het totale beleid. Als een aanvaller toegang kan krijgen tot de fysieke onderdelen van het netwerk, kan hij doorgaans zonder toestemming inloggen op het systeem. Bovendien vergroot het feit dat gebruikers fysiek toegang hebben tot kritieke systeemcomponenten de kans op onbedoelde servicestoringen. Vandaar, Direct contact met vitale computer- en netwerkapparatuur moet worden beperkt een zo klein mogelijk bereik van personeel: systeembeheerders en ingenieurs. Dit betekent geen exclusief vertrouwen in hen, het verkleint eenvoudigweg de kans op ongelukken en als er toch iets gebeurt, wordt de diagnose zekerder. Verwijzend naar mijn eigen ervaring kan ik het nut van eenvoudige organisatorische maatregelen bevestigen: plaats geen waardevolle apparatuur op een doorgangsterrein.
Terwijl je op het beste hoopt, is het een goed idee om op de slechte opties te anticiperen. Het kan geen kwaad om een ​​noodplan te hebben voor het geval de stroom uitvalt of andere rampen, waaronder kwaadwillige inbraak. Als er toch een hack plaatsvindt, moet u erop voorbereid zijn om zeer snel te reageren, voordat de aanvallers de tijd hebben om ernstige schade aan het systeem aan te richten of beheerderswachtwoorden te vervangen.
Netwerkbeveiligingsvraagstukken moeten in de algemene context van een beveiligingsbeleid betrekking hebben op verschillende soorten toegang:

Dienovereenkomstig worden twee soorten mechanismen gebruikt: intern en mechanismen die zich aan de rand van het bedrijfsnetwerk bevinden - waar externe verbindingen plaatsvinden.
Voor de interne netwerkbeveiliging is het belangrijk om te zorgen voor de juiste configuratie van hardware en software door het opzetten van configuratiebeheer. Externe netwerkbeveiliging omvat het definiëren van duidelijke netwerkgrenzen en het installeren van firewalls op kritieke locaties.

Beveiligingsrisicobeoordeling

Het beveiligingsbeleid is geïmplementeerd - u kunt ontspannen, maar het is beter om niet te wachten tot hackers arriveren, maar zelf te zien hoe goed uw systeem in staat is externe aanvallen te weerstaan. Het doel is om het bereikte beveiligingsniveau te beoordelen en sterke en zwakke punten van bescherming te identificeren. U kunt de beoordelingsprocedure zelf uitvoeren, maar het kan gemakkelijker zijn om een ​​beroep te doen op de diensten van een bedrijf dat gespecialiseerd is in dergelijke activiteiten. Interne specialisten zullen met extra problemen te maken krijgen: ze zullen lastige vragen moeten stellen aan hun collega's en conclusies moeten trekken waar sommigen misschien niet zo blij mee zijn.

Beoordeling en testen van beveiligingsbeleid
De eerste stap is het vergelijken van wat in het veiligheidsbeleid is gepland met wat er daadwerkelijk gebeurt. Om dit te doen, moet u antwoorden vinden op ongeveer de volgende vragen.

• Wie bepaalt wat vertrouwelijk is?
• Zijn er procedures voor het omgaan met vertrouwelijke informatie?
• Wie bepaalt welke vertrouwelijke informatie aan het personeel wordt meegedeeld bij de uitvoering van hun functie?
• Wie beheert het beveiligingssysteem en op welke basis?

Het verkrijgen van dergelijke informatie is niet altijd eenvoudig. De beste optie is het verzamelen en lezen van gepubliceerde formele documenten met beveiligingsbeleid, bedrijfsprocedures, architectuurdiagrammen, enzovoort. In de meeste organisaties bestaan ​​dergelijke documenten echter helemaal niet, en als ze er wel zijn, worden ze praktisch genegeerd. Om vervolgens de werkelijke stand van zaken in kaart te brengen, zal het nodig zijn veldobservaties van werkplekken uit te voeren, waarbij tegelijkertijd moet worden bepaald of het überhaupt mogelijk is om manifestaties van enig uniform beleid op te merken.
Het verschil tussen geschreven regels en standaardpraktijken van het personeel kan erg groot zijn. Een gepubliceerd beleid kan bijvoorbeeld bepalen dat wachtwoorden onder geen enkele omstandigheid zijn toegestaan. kan door meerdere medewerkers gebruikt worden. En blijkbaar zijn er veel organisaties waarin dit strikt wordt nageleefd, maar nog meer van hen lijden onder de scheiding van wachtwoorden.
Sommige zwakheden in de bedrijfscultuur kunnen alleen ontdekt worden via geheime inlichtingenoperaties. Het bedrijfsbeleid kan bijvoorbeeld bepalen dat wachtwoorden geheim zijn en nergens mogen worden opgeschreven, maar een korte wandeling door het pand zal aantonen dat ze rechtstreeks op het toetsenbord of de monitor worden geschreven. Een andere effectieve techniek is het ondervragen van gebruikers over de regels voor het werken met informatie. Uit dergelijke interviews kunt u achterhalen welke informatie het meest waardevol is voor de medewerker en hoe deze wordt gepresenteerd binnen het bedrijfsnetwerk en daarbuiten.

Open bronnen bestuderen
Kennis is macht. Volgens dit motto kan een aanvaller een behoorlijke hoeveelheid van de in wezen privé-interne informatie van een bedrijf ontfutselen door zich te verdiepen in open, openbaar beschikbare materialen. De tweede stap van de veiligheidsbeoordeling is om erachter te komen hoeveel een buitenstaander over het bedrijf kan leren. “Nuttige” informatie die doordringende kracht biedt, kan zijn: soorten gebruikte besturingssystemen, geïnstalleerde patches, canoniekerden, interne IP-adressen of namen van privéhosts en servers.
Er kunnen (en moeten) stappen worden ondernomen om de hoeveelheid informatie die hackers en crackers kunnen verzamelen te verminderen, maar dit vereist inzicht in wat er al is gelekt en inzicht in de manier waarop dit is gelekt. De studie van materialen gepubliceerd door medewerkers in Internet . Er is een geval bekend waarbij een bedrijf op zijn pagina een fragment van de broncode van een beveiligingskritieke applicatie presenteerde. Soortgelijke botsingen kunnen voorkomen in materiaal dat in kranten, tijdschriften en andere bronnen wordt gepubliceerd.
De resultaten van het bestuderen van open materialen moeten de basis worden voor aanpassingen in de regels voor het maken van open publicaties.

Beveiligingsbeoordeling van hostsystemen
Centrale verwerkingssystemen (hostsystemen) zien er vanuit veiligheidsoogpunt in de regel beter uit dan alle andere. Om een ​​simpele reden: hostsystemen zijn volwassener, hun besturingssystemen en beveiligingssoftware zijn beter ontwikkeld en beheerst. Enkele van de meest populaire beveiligingsproducten voor mainframe- en midrange-computers zijn tientallen jaren oud.
Dit betekent uiteraard niet dat uw hostsysteem a priori veilig is. De oude host kan bijvoorbeeld de zwakste schakel blijken te zijn als deze in de ‘prehistorische’ tijd is ontstaan, toen niemand aan lokaal of mondiaal dacht. Het is noodzakelijk om het beveiligingsschema en de implementatie ervan op het hostsysteem vanuit een nieuw perspectief te evalueren, om te bepalen hoe consistent de applicatiesoftware, de beveiligingsmechanismen van het besturingssysteem en het netwerk samenwerken. Aangezien er minstens twee groepen specialisten betrokken zijn bij de organisatie van berekeningen – in het besturingssysteem en in applicaties – is het mogelijk dat elk van hen beveiligingsproblemen aan zijn collega’s toewijst, en dat het totale resultaat nul kan zijn..

Analyse van serverbeveiliging
In tegenstelling tot hostsystemen zijn bestands-, applicatie- en databaseservers jonger en relatief minder getest; voor veel daarvan is het beveiligingsapparaat nog maar een paar jaar oud. De meeste van deze tools ondergaan voortdurend updates en patches. Het serverbeheer wordt vaak uitgevoerd door specialisten met weinig ervaring, waardoor de beveiliging van deze klasse systemen doorgaans veel te wensen overlaat. De situatie wordt verergerd door het feit dat per definitie een volledig divers publiek toegang heeft tot de servers via telefoonlijnen of communicatielijnen op afstand. Daarom vereist het beoordelen van de beveiliging van servers meer aandacht. Hiervoor zijn een aantal tools beschikbaar, waaronder Kane Analyst (Novell en NT). Dit soort producten onderzoeken servers (die gebruik maken van geprivilegieerde toegang) en rapporteren over de configuratie, beveiligingsbeheerpraktijken en gebruikerspopulatie. Het is zinvol om geautomatiseerde tools te gebruiken; een enkele scan kan problemen aan het licht brengen die zelfs vele uren handmatige analyse waarschijnlijk niet zullen detecteren. Scannen kan bijvoorbeeld snel het percentage gebruikers onthullen dat te veel rechten heeft of lid is van te veel groepen.
In het volgende gedeelte worden nog twee fasen besproken: het analyseren van de beveiliging van netwerkverbindingen.

Gesimuleerde gecontroleerde toegang
Blijkbaar is een van de beste manieren om de sterkte van uw beveiliging te testen het inhuren van een ervaren hacker en hem zijn prestaties op uw netwerk laten demonstreren. Dit type beoordeling wordt gecontroleerde penetratietesten genoemd.
Bij het voorbereiden van een dergelijke test is het niet schadelijk om afspraken te maken over beperkingen op de omvang van de aanval en het type ervan - dit is tenslotte slechts een test, die in geen geval mag leiden tot verstoringen van de normale bedrijfstoestand. Op basis van bepaalde ‘gevechts’-regels worden vervolgens de soorten tests geselecteerd.
Er zijn hier twee benaderingen. In het eerste geval wordt er getest alsof het door een echte kraker wordt uitgevoerd. Deze aanpak wordt blinde penetratie genoemd. Het onderscheidende kenmerk is dat de persoon die de tests uitvoert, wordt geïnformeerd over bijvoorbeeld URL , maar interne informatie - extra toegangspunten in Internet , directe verbindingen met het netwerk - niet bekendgemaakt.
Bij de tweede benadering – ‘geïnformeerde penetratie’ – beschikt het hackteam over enige informatie over de structuur van het netwerk vóór de aanval. Deze aanpak vereist dat bepaalde componenten worden doorgegeven. Als er bijvoorbeeld een firewall op een systeem is geïnstalleerd, moet de set regels die daarin wordt gebruikt afzonderlijk worden getest.
Veel tests kunnen in twee groepen worden verdeeld: penetratie van Internet en penetratie van telefoonlijnen.

Scannen van internetverbinding
Normaal gesproken wordt de meeste hoop op bescherming gevestigd op firewalls tussen het interne bedrijfsnetwerk en het internet. Houd er echter rekening mee dat een firewall slechts zo goed is als de installatie ervan: hij moet op de juiste locatie en op een betrouwbaar besturingssysteem worden geïnstalleerd. Anders zal het eenvoudigweg een bron van valse veiligheid zijn.
Om firewalls en vergelijkbare systemen te testen, worden scan- en penetratietests uitgevoerd die een aanval simuleren gericht op het systeem waarvandaan wordt getest Internet . Er zijn veel softwaretools voor het testen, bijvoorbeeld twee populaire: ISS-scanner (commercieel product) en SATAN (vrij verspreid; ca.. is sinds 1995 niet meer bijgewerkt). U kunt voor de ene of de andere scanner kiezen, maar de tests hebben alleen zin als aan drie voorwaarden is voldaan: u moet de juiste werking van de scanner beheersen, de scanresultaten moeten zorgvuldig worden geanalyseerd en het maximaal mogelijke deel van de infrastructuur moet gescand.
De belangrijkste ‘doelen’ van deze groep tests zijn open internetserviceservers ( WWW, SMTR FTP enz.). Het is gemakkelijk om deze servers zelf te bereiken - hun namen zijn bekend, toegang is gratis. En dan zal de aanvaller proberen de relevante gegevens te achterhalen. Er zijn verschillende hacktechnieken die u rechtstreeks tegen de server kunt proberen te gebruiken. Bovendien kan op basis van het IP-adres van de server een scan worden gestart in een poging andere hosts in hetzelfde adresbereik te identificeren. Als er iets wordt opgemerkt, wordt voor elk betrokken IP-adres een poortpeiling gestart om te bepalen welke services op de host draaien. Wanneer u probeert verbinding te maken of een dienst te gebruiken, is het in veel gevallen mogelijk om informatie te verkrijgen zoals het serverplatform, de versie van het besturingssysteem en zelfs de dienstversie (bijvoorbeeld verzendmail 8.6).
Gewapend met deze informatie kan een aanvaller een reeks aanvallen uitvoeren op bekende kwetsbaarheden in de host. De ervaring heeft geleerd dat het in de meeste situaties mogelijk is om, door voldoende informatie te verzamelen, een zekere mate van ongeautoriseerde toegang te verkrijgen.

Aanval via telefoonnummers
De afgelopen tien jaar hebben modems een revolutie teweeggebracht in de computercommunicatie. Deze zelfde modems vormen echter, als ze op netwerkcomputers zijn geïnstalleerd en in de automatische antwoordmodus worden gelaten, de meest kwetsbare punten. Aanval via telefoonnummers ( oorlog bellen ) is een zoektocht naar alle combinaties om het modemgeluidssignaal te vinden.
Een actief programma in de automatische modus is in staat om 's nachts een groot aantal telefoonnummers te doorlopen en gedetecteerde modems te registreren. Een hacker ontvangt tijdens een kop koffie in de ochtend een tekstbestand met modemadressen en kan deze aanvallen. Wat dit soort aanvallen bijzonder gevaarlijk maakt, is dat veel bedrijven zichzelf toestaan ​​ongecontroleerde of ongeautoriseerde communicatielijnen in stand te houden die firewalls omzeilen met Internet en bieden directe toegang tot het interne netwerk.
Dezelfde aanval kan worden uitgevoerd in de testmodus - de resultaten laten zien op hoeveel modems u daadwerkelijk kunt worden gehackt. Dit soort testen is vrij eenvoudig. Bij een blinde test vindt het penetratieteam de telefooncentrales van het bedrijf (uit verschillende openbare bronnen, waaronder een webpagina), en als de test niet blind is, wordt deze informatie aan hen gerapporteerd. In schakelaars wordt automatisch een reeks telefoonnummers gebeld om te bepalen op welke nummers modems zijn aangesloten. Moderne aanvalsmethoden kunnen afhankelijk zijn van terminalprogramma's zoals Hyperterminal en programma's voor beheer van externe toegang, zoals PC Anyware . Opnieuw is het doel om een ​​bepaald niveau van toegang tot het interne netwerkapparaat te verkrijgen. Als de verbinding en het succesvol inloggen tot stand komen, begint een nieuw spel.

Uit alles wat er is gezegd, kunnen we blijkbaar het volgende opmakenconclusie: Netwerkbeveiliging kan zelf worden onderhouden, maar het moet een zeer professionele activiteit zijn en geen eenmalig bedrijf. Een netwerk op bedrijfsschaal is bijna altijd een groot systeem en kan niet alle beveiligingsproblemen in één keer oplossen.

Afgezien van de staatswetten en -standaarden op het gebied van computerbeveiliging kunnen we drie soorten informatiebronnen aanbevelen die het meest nuttig en noodzakelijk zijn bij praktische activiteiten:

• relevante documentatiesecties voor besturingssystemen en applicaties;

Webpagina's van software- en besturingssysteemfabrikanten, waar berichten over nieuwe versies met bugfixes en patches worden gepubliceerd;

• Er zijn minstens twee organisaties: CERT (Computer Emergency Response Team) en C1AC (Computer Incident Advisory Capability), die informatie over hacks verzamelen en verspreiden, advies geven over hoe de gevolgen ervan kunnen worden geëlimineerd en geïdentificeerde softwarefouten rapporteren waarmee aanvallers kunnen binnendringen. computers.

Een even noodzakelijke voorwaarde voor betrouwbare bescherming is consistentie, en elk systeem heeft zijn eigen levenscyclus. Voor een beveiligingssysteem is dit: ontwerp - implementatie - evaluatie - update.

Het beschermen van een bedrijfsnetwerk tegen malware is een uitdagende taak vanwege het feit dat malware voortdurend wordt aangepast en verbeterd om bestaande beveiligingssystemen te omzeilen. In dit artikel worden de belangrijkste manieren besproken waarop malware een netwerk binnendringt en de bijbehorende beveiligingstechnieken. Bij het overwegen van beveiligingsmethoden wordt ervan uitgegaan dat het netwerk wordt beschermd door een firewall en dat de toegang tot computers op het netwerk van buitenaf wordt geblokkeerd.

E-mail

E-mail blijft een van de belangrijkste bronnen van malwarepenetratie in bedrijfsnetwerken. Er zijn verschillende manieren waarop u e-mail kunt gebruiken als middel om malware te transporteren:

• het verzenden van malware “in zijn pure vorm” - in dit geval is de malware een bijlage bij de brief en wordt deze niet automatisch gestart. Het kwaadaardige programma wordt door de gebruiker zelf gelanceerd, waarbij in de brief vaak elementen van social engineering worden gebruikt. Bijgevoegde malware is niet noodzakelijkerwijs een uitvoerbaar bestand. Kwaadaardige scripts, zoals Worm.Win32.Feebs, worden vaak verzonden als HTA-bestanden die een gecodeerd script bevatten dat een uitvoerbaar bestand van internet downloadt;
• een kwaadaardig programma met een gewijzigde extensie - deze methode verschilt van de vorige doordat het uitvoerbare bestand dat bij de brief is gevoegd een dubbele extensie heeft, bijvoorbeeld Document.doc .pif. In dit geval worden spaties gebruikt om de echte bestandsextensie te maskeren en hun aantal kan variëren van 10-15 tot honderden. Een originelere vermommingsmethode is het gebruik van de extensie *.com. Als gevolg hiervan kan het bijgevoegde bestand door de gebruiker ten onrechte worden beschouwd als een link naar een site. De gebruiker zal bijvoorbeeld www.playboy.com hoogstwaarschijnlijk beschouwen als een link naar de site, en niet een bijgevoegd bestand genaamd www.playboy en extensie *.com;
• kwaadaardig programma in het archief - archivering is een extra beschermingsniveau tegen antivirusscanners, en het archief kan opzettelijk worden beschadigd (maar niet zozeer dat er geen kwaadaardig bestand uit kan worden gehaald) of worden gecodeerd met een wachtwoord. Als het archief is beveiligd met een wachtwoord, wordt dit laatste in de vorm van tekst of een afbeelding in de hoofdtekst van de brief geplaatst - een vergelijkbare techniek werd bijvoorbeeld gebruikt in de Bagle-mailworm. In dit geval is het starten van een kwaadaardig programma uitsluitend mogelijk vanwege de nieuwsgierigheid van de gebruiker, die handmatig een wachtwoord moet invoeren en vervolgens het uitgepakte bestand moet uitvoeren;
• een e-mail in HTML-formaat met een exploit om een ​​bijgevoegd kwaadaardig programma te starten - tegenwoordig zijn dergelijke e-mailvirussen zeldzaam, maar in 2001-2003 waren ze wijdverspreid (typische voorbeelden zijn Email-Worm.Win32.Avron, Email-Worm.Win32. BadtransII, Net-Worm.Win32.Nimda);
• een brief met een link naar een kwaadaardig object.

E-mails met een link naar een kwaadaardig object zijn de laatste tijd wijdverspreid, dus deze methode verdient een meer gedetailleerde overweging. Het is gebaseerd op het feit dat de brief geen kwaadaardige code bevat en daarom kan de mail-antivirus deze niet detecteren en het doorsturen van de brief blokkeren. De tekst van de brief is opgesteld met behulp van social engineering-methoden en is bedoeld om de gebruiker ervan te overtuigen de link in de hoofdtekst van de brief te openen. Typische voorbeelden zijn vermomd als een wenskaart (Fig. 1).

Rijst. 1. "Wenskaart"

De foto toont een zeer grove namaak: het is duidelijk zichtbaar dat de brief afkomstig is van een onbekend adres, en een link met een IP-adres in plaats van een sitenaam wekt geen vertrouwen. Volgens de statistieken van de auteur worden duizenden gebruikers echter door dergelijke brieven ‘gepakt’. Een betere versie van een nep-wenskaartbericht wordt getoond in Fig. 2.

Rijst. 2. Valse ansichtkaart van betere kwaliteit

In dit geval is het herkennen van een vervalsing veel moeilijker: visueel gezien kwam de brief eigenlijk van de dienst postkaart.ru en de link naar de ansichtkaartpagina leidt naar deze site. In dit geval is de misleiding gebaseerd op het feit dat de brief in html-formaat is en de link wordt gemaakt met een standaardtag . Zoals u weet, ziet het ontwerp van een link met deze tag er als volgt uit:

tekstbeschrijving

De tekstbeschrijving kan willekeurig zijn, omdat deze niets te maken heeft met de URL die wordt geopend. Daarom is de tekstbeschrijving van de link in deze brief www.postcard.ru/card.php?4295358104, en de echte link verwijst naar een heel andere bron. Deze techniek is eenvoudig geïmplementeerd en misleidt de gebruiker gemakkelijk.

• de link leidt rechtstreeks naar het uitvoerbare bestand van het schadelijke programma - dit is het eenvoudigste geval. Bij het openen van deze link wordt de gebruiker gevraagd wat hij met het bestand op deze link moet doen: opslaan of uitvoeren. Als u “uitvoeren” selecteert, wordt de schadelijke code uitgevoerd en wordt de pc beschadigd. De praktijk leert dat gebruikers meestal niet nadenken over het gevaar. Het meest recente voorbeeld is het kwaadaardige programma Virus.VBS.Agent.c, dat bestanden op de schijf vernietigt (hierdoor wordt het in feite geclassificeerd als een virus) en zichzelf verspreidt door “wenskaarten” per e-mail te verzenden met een link naar het uitvoerbare bestand, een bestand dat rechtstreeks op de website van de virusontwikkelaar is geplaatst. Het grote aantal gebruikers dat door dit virus wordt getroffen, is een duidelijk voorbeeld van de effectiviteit van deze methode;
• een link naar een website vermomd als een legitieme programmawebsite. Een typisch voorbeeld zijn programma's voor het “hacken” van mobiele providers en mailboxen, die vaak een startpagina, geloofwaardige documentatie en een installatiepakket hebben;
• de link leidt naar een html-pagina met de exploit. Dit is een gebruikelijke optie (op het moment dat het artikel werd geschreven, registreerde de auteur een echte epidemie van dergelijke brieven), en het is gevaarlijker dan een directe link naar een uitvoerbaar bestand, omdat een dergelijke link erg moeilijk te detecteren is met behulp van proxy serverprotocollen en blokkeren. Indien succesvol, downloadt de exploit kwaadaardige code, wat ertoe kan leiden dat er meer dan tien kwaadaardige programma's op de getroffen computer worden geïnstalleerd. De gebruikelijke set: e-mailwormen, een Trojaans programma voor het stelen van wachtwoorden, een reeks Trojaanse programma's van de klassen Trojan-Spy en Trojan-Proxy.

Maatregelen ter bescherming tegen malware die via e-mail wordt verspreid, liggen voor de hand. U moet op zijn minst een antivirusprogramma op uw mailserver installeren (of let bij het kiezen van een host op de antivirus-mailbescherming die deze biedt). Daarnaast is het de moeite waard om een ​​aantal andere activiteiten uit te voeren:

• Leg gebruikers uit wat de gevaren zijn van het openen van programma's die zijn gekoppeld aan brieven en links die daarin zijn opgenomen. Het is erg handig om gebruikers te leren de echte URL van links te bepalen;
• blokkeer, indien technisch mogelijk, het verzenden en ontvangen van e-mails met bijgevoegde uitvoerbare bestanden en gecodeerde archieven. In Smolenskenergo is een dergelijke blokkering bijvoorbeeld al lange tijd van kracht en is zeer effectief gebleken (in dit geval worden geblokkeerde brieven in quarantaine geplaatst en kunnen ze door de beheerder worden opgehaald);
• installeer filters om e-mails op basis van inhoud te blokkeren en up-to-date te houden. Dergelijke filters zijn effectief tegen e-mails die links naar malware bevatten; ze zijn meestal eenvoudig te filteren met trefwoorden als Animatiekaart of ansichtkaart. Een neveneffect is het blokkeren van echte wenskaarten en soortgelijke brieven; een compromisoplossing is het installeren van een dergelijk filter in antispamsystemen en het markeren van de brieven als spam.

Internet

Op basis van het aantal onderzochte incidenten is internet ook een van de belangrijkste bronnen van malware-penetratie in het netwerk. Er zijn verschillende hoofdmethoden die veel worden gebruikt door aanvallers:

• allerlei soorten cracks en serienummergeneratoren - statistieken tonen aan dat bij het zoeken naar een sleutel of crack op hackersites de kans dat uw computer wordt beschadigd door malware zeer groot is. Bovendien kan een dergelijk programma met crack in een archief worden gedownload of tijdens het werken met de site worden verkregen als gevolg van exploits en kwaadaardige scripts op hackersites. Tegenmaatregelen - het blokkeren van de toegang tot hackersites op proxyserverniveau en het verbieden van het bezoeken ervan op het niveau van het beveiligingsbeleid van het bedrijf en andere bestuursdocumenten;
• legitieme sites gehackt - volgens statistieken komen site-hacks de laatste tijd steeds vaker voor en worden ze uitgevoerd volgens standaardpatronen. Er wordt een kleine code ingevoegd in de html-code van de pagina's van de geïnfecteerde site - meestal een IFRAME-tag die naar de pagina met de exploit leidt of een gecodeerd script dat de gebruiker op de een of andere manier doorverwijst naar de geïnfecteerde site (dynamische invoeging van een IFRAME-tag in de hoofdtekst van de pagina, doorverwijzing naar de exploitpagina, enz. is mogelijk p.). Het grootste gevaar is dat het hacken van websites niet kan worden voorspeld en dat het daarom erg moeilijk is om de gebruiker ertegen te beschermen (Fig. 3).

Rijst. 3. Exploitcode toegevoegd aan het einde van de HTML-pagina
gehackte site

Zoals u in de afbeelding kunt zien, wordt de exploitcode automatisch aan het einde van de HTML-pagina toegevoegd en is het een gecodeerd script. Scriptversleuteling is een maatregel ter bescherming tegen onderzoek, maar het voornaamste doel ervan is bescherming tegen handtekeningdetectie. In complexere gevallen kunnen hackerinserts in de paginacode worden geplaatst, waardoor deze moeilijk te detecteren zijn.

Bescherming tegen exploits op webpagina's komt neer op het snel installeren van besturingssysteem- en browserupdates. Bovendien geeft het draaien van de browser met de laagst mogelijke privileges goede resultaten, waardoor de schade bij een exploit aanzienlijk kan worden beperkt.

Flash-media

Media van dit type worden momenteel op grote schaal gebruikt: dit zijn flashdrives en flashkaarten, HDD-drives met een USB-interface, mobiele telefoons, camera's, voicerecorders. De verspreiding van deze apparaten leidt tot een toename van het aantal kwaadaardige programma's die deze media als transmissiemiddel gebruiken. Er zijn drie basismanieren om een ​​flashdrive te infecteren:

• het maken van een autorun.inf-bestand in de hoofdmap van de schijf om een ​​kwaadaardig programma te starten en dit ergens op de schijf te plaatsen (niet noodzakelijkerwijs in de hoofdmap van de schijf). De werking van autorun.inf op een flashdrive is identiek aan de werking van een soortgelijk bestand op een CD-ROM. Wanneer u de schijf aansluit of opent in Explorer, wordt er een kwaadaardig programma gestart;
• het maken van bestanden in de hoofdmap van de schijf of in mappen op de schijf die qua naam en pictogrammen op bestanden of mappen lijken. De auteur voerde een experiment uit: een onschadelijk uitvoerbaar bestand met een pictogram dat visueel niet te onderscheiden was van het mappictogram en met de naam MP3 werd op de flashdrives van de gebruikers die aan het experiment deelnamen geplaatst. De ervaring heeft geleerd dat gebruikers onmiddellijk interesse toonden in de nieuwe map en besloten de inhoud ervan te bekijken door te dubbelklikken op de “map”, wat leidde tot de lancering van het uitvoerbare bestand;
• met behulp van het ‘companion virus’-principe. In wezen is deze methode identiek aan de vorige, maar in dit geval maakt het kwaadaardige programma veel kopieën van zichzelf, en hun namen komen overeen met de namen van bestanden of mappen op de flashdrive.

Methoden voor bescherming tegen de verspreiding van malware op flashmedia zijn vrij eenvoudig:

• Er moet antivirusbescherming worden geïnstalleerd op gebruikerscomputers met een monitor die bestanden in realtime scant;
• Een effectieve beschermingsmaatregel is het uitschakelen van autorun;
• Op strategisch belangrijke pc's is het een goede beveiligingsmaatregel om het gebruik van flashmedia te blokkeren. Het blokkeren kan mechanisch (door USB-poorten los te koppelen en af ​​te dichten) en logisch met behulp van speciale software;
• het schrijven van lokaal beveiligingsbeleid dat verhindert dat applicaties vanaf een flashstation worden uitgevoerd.

Laptops en PDA's

Mobiele computers vormen een andere vector voor malware. Een typische situatie is het gebruik van een laptop op zakenreis, terwijl deze meestal op het netwerk van iemand anders is aangesloten. Tijdens het werk kan uw laptop geïnfecteerd raken, meestal met een netwerkworm. Wanneer een geïnfecteerde laptop verbinding maakt met zijn ‘oorspronkelijke’ netwerk, kunnen de pc’s erop worden geïnfecteerd. Het is moeilijk om hiertegen te beschermen; een reeks beveiligingsmaatregelen kan worden teruggebracht tot het volgende:

• installatie van een antivirusprogramma en firewall op een laptop met verplichte periodieke monitoring van hun prestaties door de beheerder;
• het controleren van de laptop voordat deze op het netwerk wordt aangesloten, hoewel deze handeling technisch niet altijd mogelijk is en veel tijd kost S x kost en vermindert de mobiliteit van gebruikers;
• het creëren van een speciaal “gast”-subnet voor laptops en het nemen van maatregelen om het hoofd-LAN tegen dit subnet te beschermen.

Conclusies

In dit artikel hebben we gekeken naar de meest voorkomende manieren waarop malware een netwerk binnendringt. Uit al het bovenstaande kunnen twee belangrijke conclusies worden getrokken:

• de meeste van de beschreven technieken houden op de een of andere manier verband met de menselijke factor, daarom zal het trainen van personeel en het periodiek geven van beveiligingslessen de veiligheid van het netwerk vergroten;
• De recente toename van het aantal gevallen van hacking van legitieme sites leidt ertoe dat zelfs een competente gebruiker zijn computer kan infecteren. Bijgevolg komen de klassieke beschermingsmaatregelen op de eerste plaats: antivirussoftware, tijdige installatie van updates en het gebruik van tools voor het monitoren van internetverkeer.

Manieren
penetratie en typische fouten die
zijn daarin terug te vinden. Vandaag stel ik voor
enkele praktische voorbeelden van hoe
correct mee kunt omgaan
draadloos netwerk en welke nuttige dingen eruit kunnen komen
pak het uit.

Fase 1: WEP-sleutel

De eerste taak van een hacker is binnendringen
netwerk beveiligd door WEP. Hiervoor gebruiken wij
een hulpprogramma genaamd AirSnort,
waarmee je passief kunt
monitoren van gegevens die via de lucht worden verzonden.
Een voldoende aantal pakketten hebben onderschept
(van 5 naar 10 miljoen) kan gemakkelijk zijn
de sleutel van het netwerk verkrijgen. Het is vermeldenswaard dat
alle 802.11b-netwerken met 40/128 bit WEP-codering
kwetsbaar, bovendien, in tegenstelling tot
actie voor "bekabelde" lokale netwerken
de sniffer reageert nergens op
detectie.

AirSnort heeft een netwerkverbinding nodig om te kunnen werken.
kaart die:

• Ondersteunt RF-bewakingsmodus
• kan RF-pakketten van modus naar verzenden
  interface PF_PACKAGE

Dit is bijvoorbeeld Cisco Aironet, waar elke Prism-kaart bij zit
wlan-ng-stuurprogramma's, Orinoco-kaarten met nieuwe orinoco_cs
chauffeurs. Bovendien is de nieuwste libpcap vereist
en gtk+-2.2 en gtk+-devel voor grafisch werken
interface.

Het is duidelijk dat alleen dergelijke kaarten dat kunnen
pakketten onderscheppen zonder een punt te zijn
toegangs- of tussentransmissie
punt. Daarom is dit de enige manier waarop we dat kunnen doen
pakketten ontvangen van het gewenste kanaal zonder
deelname aan hun overdracht. AirSnort maakt het ook mogelijk
werken in een promiscue modus, het verschil is dat
dat u zich ter plaatse moet registreren
toegang krijgen tot de gegevens en deze pas daarna onderscheppen,
dat wil zeggen: werk alleen op een netwerk dat zo is
zeg maar, vertrouwt de snuffelaar.

Doe dit na het laden van AirSnort:

tar -xzf airsnort-0.2.3a.tar.gz
cd airsnort-0.2.3a
./autogen.sh
maken

We lanceren het en zien zoiets als dit:

Nu hoeft u alleen nog maar op de Start-knop en te drukken
wachten. Hoeveel? In dit stadium is dit het belangrijkste
vraag. Het kan zijn dat je er meerdere nodig hebt
pakketten, misschien enkele miljoenen. IN
uiteindelijk berekent het programma de sleutel en
zal voor uw gebruik worden verstrekt. Daarna
je kunt het veilig gebruiken
inloggen op het netwerk.

Nog een hulpprogramma dat kan worden gebruikt
kom binnen het netwerk - .
Het werkt op dezelfde manier als AirSnort, maar dan in
minder geautomatiseerd, dus
na het verzamelen van de pakketten die u moet gebruiken
script voor het berekenen van de WEP-sleutel.

Fase 2: Havenscan

De volgende traditionele taak is
scanpoorten in de nieuw verworven
netwerken. Dit is de gemakkelijkste en meest effectieve manier
aangename afwijkingen op te sporen. Hier binnen
over het algemeen is alles standaard - dezelfde NMAP
zal u gemakkelijk en zonder problemen van dienst zijn
prachtige plekken online ontdekken. Over acties met
We hebben Nmap ook meer dan eens geschreven, dus het is bijzonder
Ik denk niet dat er problemen zijn bij het gebruik ervan
zal ontstaan.

Fase 3: Ontdekking en gebruik
kwetsbaarheden

De laatste fase na penetratie
in een draadloos netwerk en detecteer open
ports - identificeren van de achterliggende applicaties
poorten en kwetsbaarheden daarin. Op Linux natuurlijk
Er zijn ook een aantal hulpprogramma's hiervoor.