Da wir alle wissen, dass wir uns in einer Welt befinden, die von Informationen umgeben ist, die jeden Tag ein besseres Sicherheitsniveau erfordern, sind wir Als Administratoren und IT-Leiter sind wir direkt dafür verantwortlich, die Sicherheit zu gewährleisten, damit die Daten unserer oder unserer Organisation sicher sind.
Vielleicht sind unsere Informationen nicht so wertvoll oder so wichtig, wenn sie verloren gehen oder gestohlen werden, aber wir haben möglicherweise sehr spezielle Informationen wie Bankkonten, Kontoauszüge, persönliche Informationen usw., die in unseren Systemen "sicher" bleiben müssen und wir können es nicht bestreiten, dass Hacking heute ganz anders geworden ist als früher, heute gibt es mehr Angriffsmechanismen und andere Techniken für solche Aktivitäten.
Dieses Mal werden wir über Eindringlinge sprechen und einige der Möglichkeiten analysieren, wie Hacker auf Informationen zugreifen können, indem sie möglicherweise vorhandene Schwachstellen ausnutzen.
Wir verstehen das Unbefugter Zugriff auf das System stellt ein ernstes Sicherheitsproblem dar Da diese Person oder Software wertvolle Informationen aus unserer Datenbank extrahieren und später dem Unternehmen auf unterschiedliche Weise schaden kann, können wir bei Software, die ohne Autorisierung eindringen kann, denken, dass es sich um einen Wurm, einen Trojaner oder im Allgemeinen einen Virus.
Wir werden uns im Folgenden auf diese Bereiche konzentrieren:
- 1. Arten von Eindringlingen
- 2. Angriffstechniken
- 3. Erkennung von Eindringlingen
- 4. Arten von Angriffen
1. Arten von Eindringlingen
Wir können drei (3) Arten von Eindringlingen identifizieren:
Betrügerischer BenutzerEs bezieht sich auf einen Benutzer, der illegal auf Ressourcen der Organisation zugreift oder mit den entsprechenden Berechtigungen die verfügbaren Informationen missbraucht.
ImitatorEs ist eine Person, die nichts mit legalem Zugriff in der Organisation zu tun hat, aber es schafft, die Identität eines legitimen Benutzers anzunehmen, um darauf zuzugreifen und den Schaden anzurichten.
Geheimer BenutzerEs ist eine Person, die die Kontrolle über das Audit des Systems der Organisation übernehmen kann.
Normalerweise ist der Imitator eine externe Person, der betrügerische Benutzer ist intern und der heimliche Benutzer kann extern oder intern sein. Eindringlingsangriffe, unabhängig von der Art, können als schwerwiegend oder gutartig klassifiziert werden, bei den gutartigen können sie nur darauf zugreifen, um zu sehen, was sich im Netzwerk befindet, während bei den schwerwiegenden Informationen innerhalb des Netzwerks gestohlen und / oder geändert werden können.
2. Einbruchstechniken
Wie wir wissen, erfolgt der Zugriff auf ein System gängigerweise über Passwörter, und genau darauf zielt der Eindringling ab, indem er Passwörter mit verschiedenen Techniken erwirbt, um sein Ziel zu erreichen, Zugriffe zu verletzen und Informationen zu erhalten. Es wird empfohlen, unsere Passwortdatei mit einer der folgenden Methoden zu schützen:
EinwegverschlüsselungDiese Option speichert nur eine verschlüsselte Form des Benutzerpassworts. Wenn der Benutzer sein Passwort eingibt, verschlüsselt es das System und vergleicht es mit dem gespeicherten Wert. Wenn es identisch ist, ermöglicht es den Zugriff, andernfalls verweigert es ihn.
ZugangskontrolleBei dieser Methode ist der Passwortzugriff sehr eingeschränkt, nur auf ein oder wenige Konten.
Das Methoden, die häufig von Hackern verwendet werden, laut einigen Analysen sind dies:
- Testen Sie Wörterbuchwörter oder Listen möglicher Passwörter, die auf Hacker-Sites verfügbar sind
- Versuchen Sie es mit den Telefonnummern oder Ausweisdokumenten von Benutzern
- Prüfung mit Kfz-Kennzeichen
- Erhalten Sie unter anderem personenbezogene Daten von Benutzern
3. Einbruchserkennung
Als Administratoren müssen wir die möglichen Schwachstellen unseres Systems analysieren, um in Zukunft Kopfschmerzen zu vermeiden. Wir können diese Fehler mit den folgenden Konzepten analysieren:
- Wenn wir untersuchen, wie ein Eindringling angreifen kann, helfen uns diese Informationen, das Eindringen in unser System zu verhindern
- Erkennen wir den aufdringlichen Nutzer schnell, können wir diesen daran hindern, in unserem System sein Ding zu machen und somit Schäden vermeiden.
Als Administratoren können wir das Verhalten von Benutzern innerhalb unserer Organisation analysieren und mit vielen Analysen erkennen, ob sie ein seltsames Verhalten zeigen, wie z. Eines der Tools, das uns bei der Analyse von Eindringlingen sehr helfen wird, ist das Audit-Log, da es uns ermöglicht, die Aktivitäten der Benutzer zu verfolgen.
Wir können zwei (2) Arten von verwenden Auditpläne:
Spezifische Audit-Logs für DiscoveryWir können solche Protokolle so implementieren, dass sie uns nur die Informationen anzeigen, die das Intrusion Detection System benötigt.
Native Audit-LogsEs ist das Tool, das standardmäßig in Betriebssystemen enthalten ist und alle Benutzeraktivitäten speichert, beispielsweise die Ereignisanzeige von Microsoft Windows.
Wir können Anomalien anhand von Profilen, also dem Verhalten der Nutzer, erkennen, dazu können wir folgende Variablen verwenden:
- Zähler: Es ist ein Wert, der erhöht, aber nicht verringert werden kann, bis er durch eine Aktion ausgelöst wird
- Kaliber: Es ist eine Zahl, die steigen oder fallen kann und den aktuellen Wert einer Entität misst
- Zeitintervall: Bezieht sich auf den Zeitraum zwischen zwei Ereignissen
- Ressourcennutzung: Es impliziert die Menge an Ressourcen, die in einer bestimmten Zeit verbraucht werden
Es gibt eine andere Art der Erkennung, die auf Regeln basiert. Diese erkennen den Einbruch anhand der Ereignisse, die im System auftreten, und wenden eine Reihe von definierten Regeln an, um festzustellen, ob die Aktivität verdächtig ist oder nicht.
Einige Beispiele für diese Regeln sind:
Eine der interessanten Techniken, um Eindringlinge auf sich aufmerksam zu machen, ist die Verwendung von Honeypots, die einfach Sicherheitstools sind, bei denen Systeme erstellt werden, die verwundbar oder schwach erscheinen und in denen falsche Informationen enthalten sind, aber mit einem angenehmen Erscheinungsbild für den Eindringling, offensichtlich hat ein Honeypot keinen Zugriff auf einen legitimen Benutzer von die Organisation.
Was Sicherheitsmaßnahme, um Angriffe von Eindringlingen zu verhindern Ohne Zweifel gibt es die richtige Verwaltung von Passwörtern, wir wissen, dass ein Passwort Folgendes ermöglicht:
- Gewähren oder verweigern Sie einem Benutzer den Zugriff auf das System
- Geben Sie die dem Benutzer zugewiesenen Berechtigungen an
- Sicherheitsrichtlinien im Unternehmen anbieten
In einer von einer Organisation in den Vereinigten Staaten durchgeführten Studie auf der Grundlage von drei (3) Millionen Konten wurde festgestellt, dass Benutzer regelmäßig die folgenden Parameter für ihre Passwörter verwenden (die überhaupt nicht sicher sind):
- Kontobezeichnung
- Identifikationsnummern
- Gebräuchliche Namen
- Ortsnamen
- Wörterbuch
- Maschinennamen
Es ist wichtig, dass wir in unserer Rolle als Administratoren, Koordinatoren oder IT-Leiter die Benutzer unserer Organisation so schulen, dass sie wissen So legen Sie ein starkes Passwort fest, können wir die folgenden Methoden verwenden:
- Reaktive Passwortprüfung
- Proaktive Passwortprüfung
- Schulung unserer Nutzer
- Computergenerierte Passwörter
Wie wir sehen, können wir zwischen uns allen (Administratoren und Benutzern) mit jeder Aktivität von Eindringlingen umgehen.
4. Arten von Angriffen
Als nächstes werden wir einige der Arten von Angriffen überprüfen, die in den verschiedenen Systemen ausgeführt werden können, und wir werden diese Analyse mit einem ethischen Hacker-Ansatz durchführen.
Entführung
Diese Art von Angriff besteht darin, einen Abschnitt eines Geräts zu nehmen, um mit einem anderen Gerät zu kommunizieren. Es gibt zwei (2) Arten von Entführungen:
- Aktiv: Es ist, wenn ein Abschnitt des Hosts genommen und verwendet wird, um das Ziel zu kompromittieren
- passiv: Tritt auf, wenn ein Abschnitt des Geräts beschlagnahmt wird und der gesamte Datenverkehr zwischen den beiden Geräten aufgezeichnet wird
Wir haben Werkzeuge für die Entführung von Seiten wie:
- IP-Beobachter
¿Wie wir uns vor Entführungen schützen können? Je nach Protokoll oder Funktion können wir beispielsweise eine der folgenden Methoden verwenden:
- FTP: Verwenden wir sFTP
- Remote-Verbindung: Verwenden wir VPN
- HTTP: Verwenden wir HTTPS
- Telnet oder rlogin: verwenden wir OpenSSH oder SSH
- IP: Verwenden wir IPsec
Angriff auf einen Webserver
Die gängigsten Server zur Implementierung von Webservices sind Apache und IIS. Eindringlinge oder Hacker, die einen Angriff auf diese Server beabsichtigen, müssen über Kenntnisse von mindestens drei (3) Programmiersprachen wie Html, ASP und PHP verfügen. Zu Kümmere dich um unsere Webserver, wir können Tools verwenden, genannt Brute-Force-Angriff, wie die folgenden:
- Brutus für Windows
- Hydra für Linux
- NIX für Linux
Das Die häufigsten Angriffe, die wir auf Webserverebene finden sind wie folgt:
- ScriptAttack
- Passwörter im gleichen Code
- Schwachstellen in Webanwendungen
- Validierung des Benutzernamens
Als Administratoren können wir implementieren Sie die folgenden Praktiken:
- Installieren und / oder aktualisieren Sie das Antivirenprogramm
- Verwenden Sie komplexe Passwörter
- Standardkonten ändern
- Testcodes löschen
- System und Service Pack aktualisieren
- Systemprotokolle ständig verwalten und überwachen
Wir können das Acunetix-Tool verwenden, mit dem wir überprüfen können, ob unsere Website anfällig für Angriffe ist. Wir können es über den Link herunterladen.
Hintertüren und Trojaner
Viele der Trojaner werden im Testmodus ausgeführt, um die Reaktionsfähigkeit des Unternehmens auf einen möglichen Angriff zu überprüfen, aber nicht 100 % stammen aus internen Tests, sondern in anderen Fällen mit böswilliger Absicht eines Eindringlings.
Einige von den die häufigsten Trojaner sind:
- Netzbus
- Prorat
- Paradies
- Entenfix
- Netcat
Zu Trojaner-Angriffe verhindern Es ist wichtig, dass wir als Administratoren einige Aufgaben ausführen, wie zum Beispiel:
- Installieren und aktualisieren Sie ein Antivirenprogramm
- Führen Sie die Firewall aus und aktivieren Sie sie
- Verwenden Sie einen Trojaner-Scanner
- Systempatches aktualisieren
Angriff auf drahtlose Netzwerke
Unsere drahtlosen Netzwerke können anfällig für Angriffe durch Eindringlinge sein, wir wissen, dass moderne Technologien von drahtlosen Netzwerken 802.11a, 802.11b, 802.11n und 802.11g sind, diese basieren auf ihrer Frequenz.
Zu Angriffe auf unsere drahtlosen Netzwerke verhindern können wir folgende Aufgaben ausführen:
- Vermeiden Sie die Verwendung leerer SSID
- Vermeiden Sie die Verwendung der Standard-SSID
- Verwenden Sie IPsec, um die Sicherheit in unserem IPS zu verbessern
- Führen Sie MAC-Filter durch, um unnötige Adressen zu vermeiden
Manche Tools zum Ausführen von Wireless-Hacking sind:
- Kismet
- GPSKarte
- NetStumbler
- AirSnort
- DStumbler
Obwohl wir in unserem Unternehmen nicht ständig drahtlose Netzwerke verwenden, ist es gut zu implementieren Sicherheitsrichtlinien zur Abwehr von Angriffen Für sie wäre es ideal, Folgendes zu tun (wenn Sie nur Wireless verwenden):
- DHCP deaktivieren
- Firmware aktualisieren
- Verwenden Sie WPA2 und höhere Sicherheit
- Verwenden Sie bei einer Remote-Verbindung VPN
Denial-of-Service (DoS)-Angriffe
Das Hauptziel dieser Art von Angriff besteht darin, alle Dienste unseres Systems zu beeinträchtigen, indem sie entweder gestoppt, gesättigt, beseitigt usw.
Wir können einen DoS-Angriff verhindern mit folgenden Aktivitäten:
- Nutzen Sie die Dienste, die wir wirklich brauchen
- Deaktivieren Sie die ICMP-Antwort auf der Firewall
- Aktualisieren Sie das Betriebssystem
- Aktualisieren Sie unsere Firewall mit der DoS-Angriffsoption
Manche Tools, die wir im Netzwerk für DoS-Angriffe finden können sind:
- FSM FSMax
- Ein paar Probleme
- Ruck 2
- Explosion20
- Panther2
- Verrückter Pinger usw.
Passwort-Cracking-Tools
Ein weiterer häufiger Angriff, den wir in unseren Organisationen erleiden können, ist der Angriff auf Passwörter. Wie bereits erwähnt, sind die festgelegten Passwörter manchmal nicht stark genug, weshalb wir anfällig dafür sind, dass ein Eindringling unser Passwort stiehlt und darauf zugreifen kann unser System. Wir wissen, dass die Sicherheit unserer Passwörter basiert auf:
- Authentifizierung: Autorisiert den Zugriff auf das System oder die Unternehmensanwendungen
- Genehmigung: Wenn das eingegebene Passwort korrekt ist, validiert das System es und autorisiert die Eingabe
Die Arten von Die häufigsten Angriffe, die wir finden, um unsere Passwörter zu stehlen sind:
Wörterbuch AngriffeEs handelt sich um Listen mit etablierten Wörtern, die synchronisiert werden und die validiert werden, wenn unser Passwort dort enthalten ist.
Brute-Force-AngriffEs ist einer der effektivsten Angriffe, da es Buchstaben, Zahlen und Sonderzeichen enthält und diese Kombinationen bilden, bis sie den richtigen Schlüssel finden
Hybride AngriffeEs ist eine Kombination der beiden (2) oben.
Manche Passwort-Hacking-Tools sind:
- Pwdump3
- John der Ripper
- Boson GetPass
- Elcomsoft
Denken Sie daran, dass wir ernsthafte Probleme haben können, wenn unser Passwort oder das eines Benutzers in der Organisation von einem Eindringling entdeckt wird. Daher ist es wichtig Denken Sie daran, dass die meisten die folgenden Bedingungen für unsere Passwörter enthalten::
- Kleinbuchstaben
- Großbuchstaben
- Spezielle Charaktere
- Zahlen
- Komplexe Wörter
Wir empfehlen, dieses Tutorial zu lesen, um vollständig sichere Passwörter zu erhalten.
Wir können erkennen, ob wir Opfer von Passwort-Cracking sind Überprüfen von Systemprotokollen, ständiges Überwachen des Netzwerkverkehrs usw. Auf der sectools-Seite finden wir verschiedene Tools, die uns bei unserer Arbeit helfen, das Netzwerk und seine möglichen Angriffe zu überwachen, die Einladung besteht darin, es zu kennen und Tests durchzuführen.
Eine weitere Seite, die wir besuchen können, ist Foundstone, die McAffe gehört und eine interessante Gruppe nützlicher Werkzeuge enthält.
Spoofing
Bei dieser Art wird sich der Angreifer als eine andere Entität ausgeben, dazu fälscht er die Daten, die in der Kommunikation gesendet werden. Diese Art von Angriff kann in verschiedenen Protokollen auftreten, wir haben IP-Spoofing, ARP-Spoofing, DNS-Spoofing, DHCP-Spoofing usw.
Hier sind einige häufige Angriffe:
- Nicht blindes Spoofing
- Blindes Spoofing
- Der Mann in der Mitte
- Denial-of-Service (DOS)
- Hafendiebstahl
Manche Gegenmaßnahmen, die wir ergreifen können:
- Verschlüsselung und Authentifizierung verwenden
- Wenden Sie die Eingabe- und Ausgabefilterung auf dem Router an
Codeinjektion
Es basiert auf der Ausnutzung eines Fehlers, der durch die Verarbeitung ungültiger Daten verursacht wurde. Es wird von einem Angreifer verwendet, um Code in ein anfälliges Computerprogramm einzufügen oder zu injizieren und den Ausführungsverlauf zu ändern. Eine erfolgreiche Injektion kann katastrophale Folgen haben.
Einige Orte wo wir eine Injektionsattacke zusammenstellen können:
- SQL
- LDAP
- XPath
- NoSQL-Abfragen
- HTML
- Hülse
Manche Maßnahmen, die wir bei der Terminplanung ergreifen können:
- Filtere die Einträge
- SQL-Anweisungen parametrisieren
- Escape-Variablen
Wie wir sehen, haben wir viele Alternativen, um möglichen Angriffen auf unsere Organisation durch Eindringlinge entgegenzuwirken, es liegt an unserer Aufgabe (falls dies der Fall ist), eine detaillierte Analyse vorzunehmen und Maßnahmen zu ergreifen.
Wie bereits erwähnt, wird es glücklicherweise nicht immer einen Hacker oder Eindringling geben, der daran interessiert ist, in unser System einzudringen und Informationen zu stehlen, aber wir wissen in Zukunft nie, wo unsere Organisation oder wir sein werden.