Port-Scan.
Eine der häufigsten Methoden zur Identifizierung von Netzwerkdiensten ist das Portscannen. Tatsache ist, dass viele gängige Anwendungen bestimmte Portnummern und Transportschichtprotokolle enthalten. So verwendet HTTP Port 80, FTP – 20 und 21 und SSH – 22 usw. Obwohl die Standardportwerte leicht geändert werden können, ist ein offener Port mit einer bestimmten Nummer dennoch ein sicheres Zeichen dafür, dass diese Anwendung auf dem Host ausgeführt wird. Es bleibt nur zu bestimmen, welche Ports auf dem Knoten geöffnet sind. Es gibt verschiedene Möglichkeiten, den Portstatus zu identifizieren. Zum Beispiel mit und ohne Verbindung. Im Folgenden werden einige von ihnen behandelt.
Scannen mit Verbindungsaufbau.
Um sicherzustellen, dass der TCP-Port geöffnet ist, müssen Sie nur versuchen, eine Verbindung mit dem TCP-Port herzustellen. Normalerweise werden die Funktionen des Betriebssystems für diesen Zweck verwendet. Sowohl Windows als auch Unix enthalten ein Telnet-Dienstprogramm, mit dem Sie auf einen Host mit einer bestimmten Portnummer zugreifen können. Wenn der Host reagiert, können Sie feststellen, dass der gewünschte Port geöffnet ist. Diese Methode hat jedoch eine Reihe von Nachteilen.
Insbesondere in einem Betriebssystem ist die Implementierung eines TSR in der Regel ein separater Treiber, und die Schnittstelle zwischen einem Anwendungsprozess und einem TSR ist eine Reihe von Systemaufrufen, mit denen Sie eine Verbindung öffnen oder schließen, Daten senden oder empfangen können. In neueren Versionen von Windows gibt es jedoch Einschränkungen bei der Arbeit mit Netzwerkanschlüssen auf der Treiberebene des Betriebssystems. Und es ist durchaus möglich, dass nach dem nächsten Update von Windows 7 keine Verbindung über einen Port hergestellt wird, der ihm verdächtig erscheint. Was
für das Telnet-Dienstprogramm ist die Verwendung für serielle Port-Scans äußerst umständlich, da es sehr langsam läuft.
Sie können auch eine Socket-Schnittstelle (connect() -Funktion) verwenden, um eine TSR-Verbindung herzustellen. Sobald die Verbindung hergestellt ist, kann sie sofort in normaler Weise abgebrochen werden.
Bevor wir uns mit den verschiedenen Scanmethoden befassen, sollten wir uns daran erinnern, wie eine TCP-Verbindung hergestellt wird. Ich werde keine detaillierte Beschreibung aller Schritte angeben, ich werde nur eine grafische Illustration präsentieren.
Basierend auf diesen technologischen Merkmalen von TCP Handshake gibt es mehrere Möglichkeiten, Ports zu scannen, von denen einige weiter unten behandelt werden.
SYN-Scan.
Wie bei anderen Methoden zur Netzwerkanalyse haben auch bei der Verbindungsüberprüfung Vor- und Nachteile. Die Vorteile umfassen Folgendes:
verwenden Sie die Standardfunktionen des Betriebssystems, ohne dass zusätzliche Netzwerktreiber und Bibliotheken installiert werden müssen;
hohe Zuverlässigkeit; Wenn die Verbindung hergestellt werden konnte, ist der Port sicher geöffnet.
Die Nachteile dieser Methode sind normalerweise:
unzureichende Leistung;
die Portfilterung kann nicht ermittelt werden;
es besteht die Möglichkeit, dass zusätzliche Einschränkungen bei der Arbeit mit Netzwerkverbindungen auf Betriebssystemebene auftreten.
Als Alternative zum Verbindungsscan sollten Sie einen SYN-Scan verwenden.
Der SYN-Scan hat eine etwas höhere Leistung, da keine vollwertige TCP-Verbindung mit dem zu testenden Port hergestellt wird. Der Scan-Host (A) sendet ein SYN-Paket, als ob er beabsichtigt, eine Verbindung herzustellen, und wartet auf eine Antwort. Das Vorhandensein von SYN|ACK-Flags in der Antwort von Knoten B zeigt an, dass der Port geöffnet ist, und die RST|ACK-Flags in der Antwort bedeuten das Gegenteil.
Eine der häufigsten Methoden zur Identifizierung von Netzwerkdiensten ist das Portscannen. Tatsache ist, dass viele gängige Anwendungen bestimmte Portnummern und Transportschichtprotokolle enthalten. So verwendet HTTP Port 80, FTP – 20 und 21 und SSH – 22 usw. Obwohl die Standardportwerte leicht geändert werden können, ist ein offener Port mit einer bestimmten Nummer dennoch ein sicheres Zeichen dafür, dass diese Anwendung auf dem Host ausgeführt wird. Es bleibt nur zu bestimmen, welche Ports auf dem Knoten geöffnet sind. Es gibt verschiedene Möglichkeiten, den Portstatus zu identifizieren. Zum Beispiel mit und ohne Verbindung. Im Folgenden werden einige von ihnen behandelt.
Scannen mit Verbindungsaufbau.
Um sicherzustellen, dass der TCP-Port geöffnet ist, müssen Sie nur versuchen, eine Verbindung mit dem TCP-Port herzustellen. Normalerweise werden die Funktionen des Betriebssystems für diesen Zweck verwendet. Sowohl Windows als auch Unix enthalten ein Telnet-Dienstprogramm, mit dem Sie auf einen Host mit einer bestimmten Portnummer zugreifen können. Wenn der Host reagiert, können Sie feststellen, dass der gewünschte Port geöffnet ist. Diese Methode hat jedoch eine Reihe von Nachteilen.
Insbesondere in einem Betriebssystem ist die Implementierung eines TSR in der Regel ein separater Treiber, und die Schnittstelle zwischen einem Anwendungsprozess und einem TSR ist eine Reihe von Systemaufrufen, mit denen Sie eine Verbindung öffnen oder schließen, Daten senden oder empfangen können. In neueren Versionen von Windows gibt es jedoch Einschränkungen bei der Arbeit mit Netzwerkanschlüssen auf der Treiberebene des Betriebssystems. Und es ist durchaus möglich, dass nach dem nächsten Update von Windows 7 keine Verbindung über einen Port hergestellt wird, der ihm verdächtig erscheint. Was
für das Telnet-Dienstprogramm ist die Verwendung für serielle Port-Scans äußerst umständlich, da es sehr langsam läuft.
Sie können auch eine Socket-Schnittstelle (connect() -Funktion) verwenden, um eine TSR-Verbindung herzustellen. Sobald die Verbindung hergestellt ist, kann sie sofort in normaler Weise abgebrochen werden.
Bevor wir uns mit den verschiedenen Scanmethoden befassen, sollten wir uns daran erinnern, wie eine TCP-Verbindung hergestellt wird. Ich werde keine detaillierte Beschreibung aller Schritte angeben, ich werde nur eine grafische Illustration präsentieren.
Basierend auf diesen technologischen Merkmalen von TCP Handshake gibt es mehrere Möglichkeiten, Ports zu scannen, von denen einige weiter unten behandelt werden.
SYN-Scan.
Wie bei anderen Methoden zur Netzwerkanalyse haben auch bei der Verbindungsüberprüfung Vor- und Nachteile. Die Vorteile umfassen Folgendes:
verwenden Sie die Standardfunktionen des Betriebssystems, ohne dass zusätzliche Netzwerktreiber und Bibliotheken installiert werden müssen;
hohe Zuverlässigkeit; Wenn die Verbindung hergestellt werden konnte, ist der Port sicher geöffnet.
Die Nachteile dieser Methode sind normalerweise:
unzureichende Leistung;
die Portfilterung kann nicht ermittelt werden;
es besteht die Möglichkeit, dass zusätzliche Einschränkungen bei der Arbeit mit Netzwerkverbindungen auf Betriebssystemebene auftreten.
Als Alternative zum Verbindungsscan sollten Sie einen SYN-Scan verwenden.
Der SYN-Scan hat eine etwas höhere Leistung, da keine vollwertige TCP-Verbindung mit dem zu testenden Port hergestellt wird. Der Scan-Host (A) sendet ein SYN-Paket, als ob er beabsichtigt, eine Verbindung herzustellen, und wartet auf eine Antwort. Das Vorhandensein von SYN|ACK-Flags in der Antwort von Knoten B zeigt an, dass der Port geöffnet ist, und die RST|ACK-Flags in der Antwort bedeuten das Gegenteil.
Wenn nichts als Antwort eingeht (aber es ist bekannt, dass der Knoten eingeschaltet ist), bedeutet dies, dass der Port gefiltert wird. Wenn Sie genau festgestellt haben, dass ein Knoten im Netzwerk vorhanden ist, kann das Fehlen einer Antwort eindeutig als das Vorhandensein einer Filterung im Netzwerk identifiziert werden. Auf diese Weise kann ein Angreifer herausfinden, welcher Datenverkehr im Netzwerk gefiltert wird, und versuchen, diese Einschränkung zu umgehen, indem er eine andere Scanmethode anwendet.
Natürlich müssen Sie einen Mechanismus zum Generieren von Netzwerkpaketen und zur Analyse eingehender Antworten verwenden, um einen solchen Scan durchzuführen. Diese Funktionalität wird von den Standard-Dienstprogrammen des Betriebssystems nicht bereitgestellt, und dementsprechend sind hier zusätzliche Tools erforderlich. Dies kann übrigens durch die Tatsache erklärt werden, dass die Software nach Erhalt des SYN / ACK-Pakets als Antwort ein RST-Paket sendet, um eine noch nicht installierte Verbindung zurückzusetzen (dies wird vom Betriebssystem ausgeführt).
UDP-Port-Scan.
Verwenden Sie diese Methode, um zu bestimmen, welche UDP-Ports auf dem gescannten Knoten geöffnet sind. Ein UDP-Paket wird an den gewünschten Port der gescannten Maschine gesendet (normalerweise ein leeres Paket). Wenn die ICMP-Nachricht «Destination Unreachable» als Antwort erhalten wurde, bedeutet dies, dass der Port geschlossen ist.
Andernfalls (keine Antwort) wird angenommen, dass der zu scannende Port geöffnet ist.
Die folgenden Probleme sind mit dem UDP-Scan verbunden:
möglicher Verlust von UDP-Paketen. In diesem Fall wird auch keine Antwort erhalten, und der Port kann fälschlicherweise als «geöffnet" eingestuft werden;
die Wahrscheinlichkeit, dass UDP- oder /oder ICMP-Datenverkehr gefiltert wird, ist hoch.
Das Ergebnis ist das gleiche wie im vorherigen Fall – der Port kann fälschlicherweise als offen angesehen werden.
All dies führt dazu, dass Sie nicht sicher sein können, ob der Port geöffnet ist, wenn die Antwort vom Knoten nicht erreicht wird. Das erste Problem wird durch die Einführung von zwei Parametern gelöst, mit denen Sie die Gültigkeit eines UDP-Scans einstellen können:
anzahl der zu sendenden UDP-Pakete;
wartezeit für eine Antwort.
Das zweite Problem ist viel komplizierter. Scanner-Entwickler verwenden verschiedene Verbesserungen, um es zu lösen. Hier ist zum Beispiel eine solche Methode.
Vor dem Scannen benutzerdefinierter Ports führt der UDP-Scanner UDP-Ports vom Anfang des Bereichs 1-65.535 (230-240), von der Mitte des Bereichs (2050-2060) und vom Ende des Bereichs (45 270-45 280) aus durch. Wie Sie sehen können, sind die ausgewählten Ports wahrscheinlich geschlossen.
Als nächstes betrachten wir ein Dienstprogramm, mit dem Sie verschiedene Methoden zum Scannen verwenden können.
Nehmen wir an, wir möchten einen Port-Scan auf einer Maschine von 192.168.10.2 durchführen.
Sie können das bereits aus früheren Quellen bekannte NMAP-Dienstprogramm verwenden.
Verwenden Sie die folgende Syntax, um nach offenen Ports auf einer bestimmten Maschine zu suchen.
nmap -sS 192.168.10.2 -n
Hier ist der Schlüssel -sS am interessantesten. Das Großbuchstaben S gibt an, dass ein SYN-Scan verwendet werden muss. Wenn Sie die Verbindungsherstellung verwenden möchten, lautet die Befehlssyntax wie folgt:
nmap -sT 192.168.10.2 -n
Für den UDP-Scan muss Folgendes angegeben werden:
nmap -sU 192.168.10.2 -n
Port-Scans sind nur eine der Funktionen von Nmap, daher werden wir immer wieder darauf zurückgreifen.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Natürlich müssen Sie einen Mechanismus zum Generieren von Netzwerkpaketen und zur Analyse eingehender Antworten verwenden, um einen solchen Scan durchzuführen. Diese Funktionalität wird von den Standard-Dienstprogrammen des Betriebssystems nicht bereitgestellt, und dementsprechend sind hier zusätzliche Tools erforderlich. Dies kann übrigens durch die Tatsache erklärt werden, dass die Software nach Erhalt des SYN / ACK-Pakets als Antwort ein RST-Paket sendet, um eine noch nicht installierte Verbindung zurückzusetzen (dies wird vom Betriebssystem ausgeführt).
UDP-Port-Scan.
Verwenden Sie diese Methode, um zu bestimmen, welche UDP-Ports auf dem gescannten Knoten geöffnet sind. Ein UDP-Paket wird an den gewünschten Port der gescannten Maschine gesendet (normalerweise ein leeres Paket). Wenn die ICMP-Nachricht «Destination Unreachable» als Antwort erhalten wurde, bedeutet dies, dass der Port geschlossen ist.
Andernfalls (keine Antwort) wird angenommen, dass der zu scannende Port geöffnet ist.
Die folgenden Probleme sind mit dem UDP-Scan verbunden:
möglicher Verlust von UDP-Paketen. In diesem Fall wird auch keine Antwort erhalten, und der Port kann fälschlicherweise als «geöffnet" eingestuft werden;
die Wahrscheinlichkeit, dass UDP- oder /oder ICMP-Datenverkehr gefiltert wird, ist hoch.
Das Ergebnis ist das gleiche wie im vorherigen Fall – der Port kann fälschlicherweise als offen angesehen werden.
All dies führt dazu, dass Sie nicht sicher sein können, ob der Port geöffnet ist, wenn die Antwort vom Knoten nicht erreicht wird. Das erste Problem wird durch die Einführung von zwei Parametern gelöst, mit denen Sie die Gültigkeit eines UDP-Scans einstellen können:
anzahl der zu sendenden UDP-Pakete;
wartezeit für eine Antwort.
Das zweite Problem ist viel komplizierter. Scanner-Entwickler verwenden verschiedene Verbesserungen, um es zu lösen. Hier ist zum Beispiel eine solche Methode.
Vor dem Scannen benutzerdefinierter Ports führt der UDP-Scanner UDP-Ports vom Anfang des Bereichs 1-65.535 (230-240), von der Mitte des Bereichs (2050-2060) und vom Ende des Bereichs (45 270-45 280) aus durch. Wie Sie sehen können, sind die ausgewählten Ports wahrscheinlich geschlossen.
Als nächstes betrachten wir ein Dienstprogramm, mit dem Sie verschiedene Methoden zum Scannen verwenden können.
Nehmen wir an, wir möchten einen Port-Scan auf einer Maschine von 192.168.10.2 durchführen.
Sie können das bereits aus früheren Quellen bekannte NMAP-Dienstprogramm verwenden.
Verwenden Sie die folgende Syntax, um nach offenen Ports auf einer bestimmten Maschine zu suchen.
nmap -sS 192.168.10.2 -n
Hier ist der Schlüssel -sS am interessantesten. Das Großbuchstaben S gibt an, dass ein SYN-Scan verwendet werden muss. Wenn Sie die Verbindungsherstellung verwenden möchten, lautet die Befehlssyntax wie folgt:
nmap -sT 192.168.10.2 -n
Für den UDP-Scan muss Folgendes angegeben werden:
nmap -sU 192.168.10.2 -n
Port-Scans sind nur eine der Funktionen von Nmap, daher werden wir immer wieder darauf zurückgreifen.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Identifizieren von Diensten und Anwendungen.
Wir haben uns mit der Identifizierung von Knoten im Netzwerk befasst, mit der Verfolgung von Routen und mit dem Port-Scan befasst. Dementsprechend haben wir auch die Schutzmittel, die unternommen werden können, und die Art und Weise, wie sie umgangen werden können, analysiert. Jetzt müssen wir die Betriebssysteme, Dienste und Anwendungen, die im untersuchten Netzwerk verwendet werden, so genau wie möglich identifizieren. Und hier werden die Materialien, die zuvor mit Hilfe von Social Engineering gesammelt wurden, sehr nützlich sein.
Beginnen wir mit der Identifizierung von TSR-Diensten. Es ist erwähnenswert, dass ein großer Teil der Schwachstellen auf der Anwendungsebene liegt, daher ist die genaue Identifizierung von Diensten sehr wichtig. Basierend auf den Informationen, die in diesem Stadium gesammelt werden, können Sie die erforderlichen Schwachstellen und Exploits für sie problemlos auswählen.
Wir haben bereits einen Port-Scan durchgeführt und festgestellt, was an den untersuchten Knoten geöffnet ist. Offene Portnummern sind ein indirekter Hinweis auf die Verwendung bestimmter Netzwerkdienste, z. B. offener Port 25 ist höchstwahrscheinlich ein SMTP-Dienst und 80 ist ein Web. Nachdem Sie erfahren haben, welcher Dienst auf dem Host verwendet wird, müssen Sie als Nächstes festlegen, welche Software diese Funktionalität implementiert.
Beginnen wir mit dem Einfachsten.
Analyse von "Bannern".
Dies ist die gängigste Methode zum Sammeln von Informationen über Dienste, die auf dem gescannten Knoten ausgeführt werden. Bei dieser Methode werden die Begrüßungen analysiert, die von Diensten ausgegeben werden, wenn sie eine Verbindung zu einem bestimmten Port herstellen. Häufig enthalten »Banner" Informationen über den verwendeten Dienst bis zur Versionsnummer. Es ist erwähnenswert, dass nicht alle Netzwerkdienste absolut portabel sind und dies zusätzlich die Möglichkeit bietet, Annahmen über das verwendete Betriebssystem zu treffen. Wenn zum Beispiel IIS im Banner vorhanden ist, läuft der Server unter Windows, und wenn SSH, ist es wahrscheinlich, dass wir Unix vor uns haben.
Als nächstes ein paar Beispiele.
So sieht die Reaktion meines Synology USB Station 2-Dateiservers aus
telnet 192.168.1.2 5000:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved
<a href="http://(null)/webman/index.cgi">here</a>.</p>
<hr>
<address>Apache/2.2.16 (Unix) Server at * Port 5000</address>
</body></html>
Gemessen an der Zeile Apache /2.2.16 (Unix) Server verwendet dieses Gerät einen Apache-Webserver einer bestimmten Version und eine speziell zusammengestellte Unix-Version.
Aber so sieht die Antwort auf eine ähnliche Anfrage eines Budgetrouters aus:
HTTP/1.0 400 Bad Request
Server: WL520 gc/ httpd
Date: Thu, 05 Apr 2012 21:10:25 GMT
Content-Type: text/html
Connection: close
<HTML><HEAD><TITLE>400 Bad Request</TITLE></HEAD>
<BODY BGCOLOR="#cc9999"><H4>400
Bad Request</H4>
Can't parse request.
</BODY></HTML>
Es scheint, dass dieses Gerät weniger «gesprächig» ist, es gibt weder einen Namen noch eine Version des Webservers oder Betriebssystems in der Antwort. Es lohnt sich jedoch, auf den WL520 gc zu achten. Man kann natürlich davon ausgehen, dass dies nur der Netzwerkname des Geräts ist und es keine semantische Last trägt. Oder Sie können Google fragen und herausfinden, welches Gerätemodell sich unter diesem Zeichensatz verbirgt.
Der Zugriff auf den Mailserver führt zu der folgenden Antwort:
telnet smtp.ru 25
220 smtp.ru ESMTP Sendmail 11 8.11 2/8 11 2, Thu, 10 Jan 2011 18 34:19 +0400
Die obige Methode zur Analyse von Bannern hat einige Nachteile. Vor allem erlauben viele Dienste dem Administrator, seine Begrüßungsbanner willkürlich zu bearbeiten, dh es besteht eine gewisse Wahrscheinlichkeit, dass der Dienst überhaupt nicht der ist, für den er sich ausgibt.
Wir haben uns mit der Identifizierung von Knoten im Netzwerk befasst, mit der Verfolgung von Routen und mit dem Port-Scan befasst. Dementsprechend haben wir auch die Schutzmittel, die unternommen werden können, und die Art und Weise, wie sie umgangen werden können, analysiert. Jetzt müssen wir die Betriebssysteme, Dienste und Anwendungen, die im untersuchten Netzwerk verwendet werden, so genau wie möglich identifizieren. Und hier werden die Materialien, die zuvor mit Hilfe von Social Engineering gesammelt wurden, sehr nützlich sein.
Beginnen wir mit der Identifizierung von TSR-Diensten. Es ist erwähnenswert, dass ein großer Teil der Schwachstellen auf der Anwendungsebene liegt, daher ist die genaue Identifizierung von Diensten sehr wichtig. Basierend auf den Informationen, die in diesem Stadium gesammelt werden, können Sie die erforderlichen Schwachstellen und Exploits für sie problemlos auswählen.
Wir haben bereits einen Port-Scan durchgeführt und festgestellt, was an den untersuchten Knoten geöffnet ist. Offene Portnummern sind ein indirekter Hinweis auf die Verwendung bestimmter Netzwerkdienste, z. B. offener Port 25 ist höchstwahrscheinlich ein SMTP-Dienst und 80 ist ein Web. Nachdem Sie erfahren haben, welcher Dienst auf dem Host verwendet wird, müssen Sie als Nächstes festlegen, welche Software diese Funktionalität implementiert.
Beginnen wir mit dem Einfachsten.
Analyse von "Bannern".
Dies ist die gängigste Methode zum Sammeln von Informationen über Dienste, die auf dem gescannten Knoten ausgeführt werden. Bei dieser Methode werden die Begrüßungen analysiert, die von Diensten ausgegeben werden, wenn sie eine Verbindung zu einem bestimmten Port herstellen. Häufig enthalten »Banner" Informationen über den verwendeten Dienst bis zur Versionsnummer. Es ist erwähnenswert, dass nicht alle Netzwerkdienste absolut portabel sind und dies zusätzlich die Möglichkeit bietet, Annahmen über das verwendete Betriebssystem zu treffen. Wenn zum Beispiel IIS im Banner vorhanden ist, läuft der Server unter Windows, und wenn SSH, ist es wahrscheinlich, dass wir Unix vor uns haben.
Als nächstes ein paar Beispiele.
So sieht die Reaktion meines Synology USB Station 2-Dateiservers aus
telnet 192.168.1.2 5000:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved
<a href="http://(null)/webman/index.cgi">here</a>.</p>
<hr>
<address>Apache/2.2.16 (Unix) Server at * Port 5000</address>
</body></html>
Gemessen an der Zeile Apache /2.2.16 (Unix) Server verwendet dieses Gerät einen Apache-Webserver einer bestimmten Version und eine speziell zusammengestellte Unix-Version.
Aber so sieht die Antwort auf eine ähnliche Anfrage eines Budgetrouters aus:
HTTP/1.0 400 Bad Request
Server: WL520 gc/ httpd
Date: Thu, 05 Apr 2012 21:10:25 GMT
Content-Type: text/html
Connection: close
<HTML><HEAD><TITLE>400 Bad Request</TITLE></HEAD>
<BODY BGCOLOR="#cc9999"><H4>400
Bad Request</H4>
Can't parse request.
</BODY></HTML>
Es scheint, dass dieses Gerät weniger «gesprächig» ist, es gibt weder einen Namen noch eine Version des Webservers oder Betriebssystems in der Antwort. Es lohnt sich jedoch, auf den WL520 gc zu achten. Man kann natürlich davon ausgehen, dass dies nur der Netzwerkname des Geräts ist und es keine semantische Last trägt. Oder Sie können Google fragen und herausfinden, welches Gerätemodell sich unter diesem Zeichensatz verbirgt.
Der Zugriff auf den Mailserver führt zu der folgenden Antwort:
telnet smtp.ru 25
220 smtp.ru ESMTP Sendmail 11 8.11 2/8 11 2, Thu, 10 Jan 2011 18 34:19 +0400
Die obige Methode zur Analyse von Bannern hat einige Nachteile. Vor allem erlauben viele Dienste dem Administrator, seine Begrüßungsbanner willkürlich zu bearbeiten, dh es besteht eine gewisse Wahrscheinlichkeit, dass der Dienst überhaupt nicht der ist, für den er sich ausgibt.
Die Leser meines Blogs haben sicherlich bemerkt, dass die ersten beiden Beispiele, die ich zitiert habe, Hardware-Dateiserver und Router zeigen. Bei solchen Geräten ist alles in der Firmware fest geschrieben und es ist sehr schwierig, etwas zu ändern und es ist nicht immer möglich, daher ist die Antwort bei solchen Geräten ziemlich wahr. Aber im letzten Beispiel ist alles nicht so einfach. Der Administrator kann die Einstellungen des E-Mail-Dienstes problemlos anpassen, damit die Antwort nicht ganz korrekt ist.
Zweitens besteht das Risiko, dass das Betriebssystem des zu scannenden Knotens in einer Emulationsumgebung (z. B. VMware) ausgeführt wird. Dies kann sich auf Überprüfungen auswirken, die auf den Implementierungen des TSR/IP-Stapels basieren. Hardware-Lösungen sind wieder frei von diesem »Mangel".
Hier ist es angebracht, sich an Social Engineering zu erinnern, insbesondere das Sammeln von Informationen durch die Analyse von Anforderungen in Anzeigen und ein mögliches Vorstellungsgespräch. Wenn festgestellt wurde, dass im Unternehmensnetzwerk alles unter Windows funktioniert und die Banneranalyse zeigt, dass SMTP Sendmail verwendet, ist etwas mit dem Banner nicht sauber und es ist notwendig, andere Methoden zur Definition von Diensten zu verwenden. Wenn sich Administratoren während des Interviews aktiv für Virtualisierungsfragen interessierten und sagten, dass alle Dienste virtualisiert wurden, kann man durchaus davon ausgehen, dass die Zieldienste auch in dieser Umgebung ausgeführt werden. Dies kann wesentliche Änderungen an der Strategie für weitere Einbrüche vornehmen.
Wenn wir über die Analyse von Bannern sprechen, vergessen Sie nicht SNMP. Wenn beim Port-Scan ein Gerät mit offenem Port 161 über UDP erkannt wurde, wird wahrscheinlich der SNMP-Dienst (Simple Network Management Protocol) auf dem Gerät ausgeführt. SNMP verwendet MIB (Management Information Bases), eine hierarchische Struktur der Geräteeinstellungen. Neben anderen Einstellungen enthält es auch alle Informationen über das verwendete Betriebssystem und die installierten Service Packs. Standardmäßig aktivieren viele Geräte diesen Dienst im Lesemodus für Community public. Obwohl es im Read only-Modus nicht möglich ist, Änderungen vorzunehmen, ist es durchaus möglich, Informationen zu sammeln, die zum Hacken nützlich sind.
Wie bereits erwähnt, wird dieses Protokoll auf der Transportschicht von UDP verwendet, daher kann Telnet nicht verwendet werden. Sie können die MIB-Browser verwenden, die im Back-Track enthalten sind, um eine SNMP-Verbindung herzustellen und durch die MIB-Datenbank zu navigieren. Sie können auch den kostenlosen iReasoning MIB Browser nutzen.
Im Allgemeinen ist es jedoch erwähnenswert, dass diese Nachteile nicht zulassen, dass nur diese Methode verwendet wird, um Dienste zu identifizieren. Andere Methoden müssen angewendet werden.
Mithilfe von Netzwerkprotokollen und deren Implementierung in verschiedenen Diensten und Anwendungen können Sie Anwendungen genauer identifizieren.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Zweitens besteht das Risiko, dass das Betriebssystem des zu scannenden Knotens in einer Emulationsumgebung (z. B. VMware) ausgeführt wird. Dies kann sich auf Überprüfungen auswirken, die auf den Implementierungen des TSR/IP-Stapels basieren. Hardware-Lösungen sind wieder frei von diesem »Mangel".
Hier ist es angebracht, sich an Social Engineering zu erinnern, insbesondere das Sammeln von Informationen durch die Analyse von Anforderungen in Anzeigen und ein mögliches Vorstellungsgespräch. Wenn festgestellt wurde, dass im Unternehmensnetzwerk alles unter Windows funktioniert und die Banneranalyse zeigt, dass SMTP Sendmail verwendet, ist etwas mit dem Banner nicht sauber und es ist notwendig, andere Methoden zur Definition von Diensten zu verwenden. Wenn sich Administratoren während des Interviews aktiv für Virtualisierungsfragen interessierten und sagten, dass alle Dienste virtualisiert wurden, kann man durchaus davon ausgehen, dass die Zieldienste auch in dieser Umgebung ausgeführt werden. Dies kann wesentliche Änderungen an der Strategie für weitere Einbrüche vornehmen.
Wenn wir über die Analyse von Bannern sprechen, vergessen Sie nicht SNMP. Wenn beim Port-Scan ein Gerät mit offenem Port 161 über UDP erkannt wurde, wird wahrscheinlich der SNMP-Dienst (Simple Network Management Protocol) auf dem Gerät ausgeführt. SNMP verwendet MIB (Management Information Bases), eine hierarchische Struktur der Geräteeinstellungen. Neben anderen Einstellungen enthält es auch alle Informationen über das verwendete Betriebssystem und die installierten Service Packs. Standardmäßig aktivieren viele Geräte diesen Dienst im Lesemodus für Community public. Obwohl es im Read only-Modus nicht möglich ist, Änderungen vorzunehmen, ist es durchaus möglich, Informationen zu sammeln, die zum Hacken nützlich sind.
Wie bereits erwähnt, wird dieses Protokoll auf der Transportschicht von UDP verwendet, daher kann Telnet nicht verwendet werden. Sie können die MIB-Browser verwenden, die im Back-Track enthalten sind, um eine SNMP-Verbindung herzustellen und durch die MIB-Datenbank zu navigieren. Sie können auch den kostenlosen iReasoning MIB Browser nutzen.
Im Allgemeinen ist es jedoch erwähnenswert, dass diese Nachteile nicht zulassen, dass nur diese Methode verwendet wird, um Dienste zu identifizieren. Andere Methoden müssen angewendet werden.
Mithilfe von Netzwerkprotokollen und deren Implementierung in verschiedenen Diensten und Anwendungen können Sie Anwendungen genauer identifizieren.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Merkmale der Arbeit der Protokolle.
Interessantere Mittel sind Methoden, die auf der Analyse der Merkmale eines bestimmten Dienstes basieren. Das Wesen dieser Methoden besteht darin, Anfragen zu senden, die sich geringfügig vom Standard unterscheiden, indem Sie seltene (wenig bekannte) Befehle oder Optionen verwenden. Betrachten wir zunächst einen der gängigsten Netzwerkdienste - E-Mail. Jetzt hat fast jede Organisation einen eigenen SMTP-Server, so dass das Beispiel sehr relevant sein wird.
SMTP-Server.
Das Verhalten eines SMTP-Servers wird von mehreren Standards definiert: RFC 821, RFC 1425, RFC 1985. Diese Standards definieren die Befehle, die ein SMTP-Client ausführen kann, wenn er eine Verbindung zum Server herstellt, die erforderlichen Funktionen des Servers selbst, gültige Argumente und Daten. Wie üblich erfüllen jedoch nicht alle SMTP-Serverimplementierungen diese Anforderungen. Außerdem werden die vom SMTP-Server ausgegebenen Fehlermeldungen analysiert, obwohl diese Nachrichten vom Serveradministrator geändert werden können, was die Zuverlässigkeit dieser Methode beeinträchtigt. Im Allgemeinen reicht ein Fehlercode aus. Betrachten Sie einige Techniken, mit denen Sie einen SMTP-Server von einem anderen unterscheiden können.
Wie Sie wissen, müssen Sie beim Einrichten einer SMTP-Sitzung zuerst den Befehl HELO und dann MAIL FROM angeben. Wenn MAIL FROM sofort ohne HELO geht, erlauben einige Server eine solche Verbindung (indem sie den Fehlercode 220 zurückgeben), andere nicht (501 oder 503).
Die Standards erfordern auch die Angabe des Domänennamens zusammen mit dem HELO-Befehl. Der Standard erlaubt dies nicht, aber einige Server erlauben es Ihnen, diesen Befehl auszuführen, ohne eine Domäne anzugeben.
Verwenden Sie den Befehl MAIL FROM <Name>, ohne das Zeichen ":* für das Feld FROM anzugeben. Einige Server erlauben dies, obwohl der Standard dies ausdrücklich verbietet.
Verwenden Sie den Befehl MAIL FROM: <> mit einer leeren Absenderadresse. Alle Server müssen dies zulassen, aber es gibt Ausnahmen.
Die Absenderadresse im Befehl MAIL FROM ist falsch eingestellt. Einige Server verbieten dies, dh sie prüfen, ob die angegebene Domäne vorhanden ist.
Eine weitere gängige Methode zur Identifizierung eines SMTP-Servers besteht darin, die Unterstützung einiger Befehle zu überprüfen:
HELP
VRFY
EXPN
TURN
SOML
NOOP
ENLO
Eine weitere interessante Technik ist «Mail-Bouncing". Es ist aufgrund der großen Komplexität und der geringen Arbeitsgeschwindigkeit schwach verbreitet. Der Sinn dieser Technik liegt in der Analyse der Kopfzeilen von E-Mails, die speziell erstellt und an das zu untersuchende Netzwerk gesendet wurden. So sind Briefe für nicht vorhandene Benutzer von Interesse, da sie Benachrichtigungen über die Unmöglichkeit der Zustellung zurückgeben (allerdings nicht immer). Diese Benachrichtigungen enthalten einige Informationen zu den Mailservern, die an der Zustellung der E-Mail beteiligt sind. Anhand mehrerer solcher »Boomerang-E-Mails" können Sie eine bestimmte Anzahl von Knoten im internen Netzwerk (ohne direkten Zugriff darauf) und die Topologie der E-Mail-Weiterleitungen herausfinden. Darüber hinaus ermöglicht das Postprotokoll das Senden von Briefen mit explizitem Hinweis auf mehrere Zwischenübermittlungsstellen. Dies ermöglicht es, eine E-Mail zu erstellen, die nach einer bestimmten Route innerhalb des untersuchten Netzwerks zum Absender zurückkehrt (dies hängt natürlich wesentlich von den Einstellungen der E-Mail-Server ab).
Interessantere Mittel sind Methoden, die auf der Analyse der Merkmale eines bestimmten Dienstes basieren. Das Wesen dieser Methoden besteht darin, Anfragen zu senden, die sich geringfügig vom Standard unterscheiden, indem Sie seltene (wenig bekannte) Befehle oder Optionen verwenden. Betrachten wir zunächst einen der gängigsten Netzwerkdienste - E-Mail. Jetzt hat fast jede Organisation einen eigenen SMTP-Server, so dass das Beispiel sehr relevant sein wird.
SMTP-Server.
Das Verhalten eines SMTP-Servers wird von mehreren Standards definiert: RFC 821, RFC 1425, RFC 1985. Diese Standards definieren die Befehle, die ein SMTP-Client ausführen kann, wenn er eine Verbindung zum Server herstellt, die erforderlichen Funktionen des Servers selbst, gültige Argumente und Daten. Wie üblich erfüllen jedoch nicht alle SMTP-Serverimplementierungen diese Anforderungen. Außerdem werden die vom SMTP-Server ausgegebenen Fehlermeldungen analysiert, obwohl diese Nachrichten vom Serveradministrator geändert werden können, was die Zuverlässigkeit dieser Methode beeinträchtigt. Im Allgemeinen reicht ein Fehlercode aus. Betrachten Sie einige Techniken, mit denen Sie einen SMTP-Server von einem anderen unterscheiden können.
Wie Sie wissen, müssen Sie beim Einrichten einer SMTP-Sitzung zuerst den Befehl HELO und dann MAIL FROM angeben. Wenn MAIL FROM sofort ohne HELO geht, erlauben einige Server eine solche Verbindung (indem sie den Fehlercode 220 zurückgeben), andere nicht (501 oder 503).
Die Standards erfordern auch die Angabe des Domänennamens zusammen mit dem HELO-Befehl. Der Standard erlaubt dies nicht, aber einige Server erlauben es Ihnen, diesen Befehl auszuführen, ohne eine Domäne anzugeben.
Verwenden Sie den Befehl MAIL FROM <Name>, ohne das Zeichen ":* für das Feld FROM anzugeben. Einige Server erlauben dies, obwohl der Standard dies ausdrücklich verbietet.
Verwenden Sie den Befehl MAIL FROM: <> mit einer leeren Absenderadresse. Alle Server müssen dies zulassen, aber es gibt Ausnahmen.
Die Absenderadresse im Befehl MAIL FROM ist falsch eingestellt. Einige Server verbieten dies, dh sie prüfen, ob die angegebene Domäne vorhanden ist.
Eine weitere gängige Methode zur Identifizierung eines SMTP-Servers besteht darin, die Unterstützung einiger Befehle zu überprüfen:
HELP
VRFY
EXPN
TURN
SOML
NOOP
ENLO
Eine weitere interessante Technik ist «Mail-Bouncing". Es ist aufgrund der großen Komplexität und der geringen Arbeitsgeschwindigkeit schwach verbreitet. Der Sinn dieser Technik liegt in der Analyse der Kopfzeilen von E-Mails, die speziell erstellt und an das zu untersuchende Netzwerk gesendet wurden. So sind Briefe für nicht vorhandene Benutzer von Interesse, da sie Benachrichtigungen über die Unmöglichkeit der Zustellung zurückgeben (allerdings nicht immer). Diese Benachrichtigungen enthalten einige Informationen zu den Mailservern, die an der Zustellung der E-Mail beteiligt sind. Anhand mehrerer solcher »Boomerang-E-Mails" können Sie eine bestimmte Anzahl von Knoten im internen Netzwerk (ohne direkten Zugriff darauf) und die Topologie der E-Mail-Weiterleitungen herausfinden. Darüber hinaus ermöglicht das Postprotokoll das Senden von Briefen mit explizitem Hinweis auf mehrere Zwischenübermittlungsstellen. Dies ermöglicht es, eine E-Mail zu erstellen, die nach einer bestimmten Route innerhalb des untersuchten Netzwerks zum Absender zurückkehrt (dies hängt natürlich wesentlich von den Einstellungen der E-Mail-Server ab).
Die so gesammelten Informationen über das Netzwerk sollten einer vergleichenden Analyse mit den Ergebnissen von Social Engineering unterzogen werden, die ich bereits erwähnt habe. Mit den durch Social Engineering erhaltenen Informationen über den verwendeten Mailserver kann ein Netzwerkforscher dies mit den technischen Daten vergleichen. Da die Ergebnisse des Social Engineering genauer und wahrheitsgemäß sind, vergleichen wir sie mit den Informationen über den Mailserver. Wenn die Informationen aus beiden Quellen übereinstimmen, können wir daraus schließen, dass die technischen Mittel der Forschung nicht versuchen, sie zu betrügen, und wir können den Informationen, die sie auf diese Weise erhalten haben, mehr vertrauen.
Webserver.
Ein weiterer wichtiger Dienst auf Anwendungsebene ist NTTR. NTP-Protokoll Version 1.l ist in RFC 2068 beschrieben. Dieses Dokument enthält die OPTIONS-Methode, mit der der NTT-Server die bereitgestellten Informationen über sich selbst zurückgibt.
Zum Beispiel:
OPTIONS "HTTP\I.1.
Tatsächlich habe ich bereits Beispiele solcher Antworten gegeben, als ich die Analyse von «Bannern» beschrieben habe.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Webserver.
Ein weiterer wichtiger Dienst auf Anwendungsebene ist NTTR. NTP-Protokoll Version 1.l ist in RFC 2068 beschrieben. Dieses Dokument enthält die OPTIONS-Methode, mit der der NTT-Server die bereitgestellten Informationen über sich selbst zurückgibt.
Zum Beispiel:
OPTIONS "HTTP\I.1.
Tatsächlich habe ich bereits Beispiele solcher Antworten gegeben, als ich die Analyse von «Bannern» beschrieben habe.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Identifizieren von Betriebssystemen.
Der logische Abschluss des Anwendungsanalyse-Themas besteht darin, sich mit Fragen zur Betriebssystemidentifizierung zu befassen. Einer der Schritte zum Sammeln von Informationen zu Netzwerkressourcen besteht darin, den Typ und die Version des Betriebssystems (Betriebssystems) des Remotehosts zu bestimmen.
Ich werde die grundlegenden Methoden zur Bestimmung des Betriebssystems anführen: die einfachsten Methoden, die auf der Verwendung des ICMP-Protokolls basieren, und die wenig bekannten und selten verwendeten.
Die einfachsten Methoden zur Ermittlung des Betriebssystems sind die Analyse offener Ports, die Analyse von Service-Bannern auf Anwendungsebene und die Analyse der Ergebnisse zur Identifizierung von Diensten und Anwendungen. Eine der einfachsten Methoden zur Ermittlung des Betriebssystems eines Remotehosts besteht darin, eine Verbindung zu offenen Ports herzustellen und die Reaktion der darauf laufenden Dienste zu analysieren. Ich habe diese Methode bereits früher in diesem Abschnitt behandelt.
Eine andere Möglichkeit besteht darin, Dienstbefehle auf Anwendungsebene zu verwenden, z. B. den FTP-Befehl SYST.
Schließlich kann die Schlussfolgerung über den Betriebssystemtyp auf der Grundlage der Ergebnisse der Identifizierung von Diensten und Anwendungen auf dem Zielserver gezogen werden.
Aufgrund dieser Unterschiede ist die Reaktion des Betriebssystems auf bestimmte Netzwerkpakete unterschiedlich. Die Methode, die auf der angegebenen Beobachtung basiert, wird als «TSR / IP Stack Fingerptinting» bezeichnet.
Als Beispiel für die Betriebssystemanalyse werde ich das bereits mehrfach erwähnte Nmap-Dienstprogramm verwenden.
Nmap -O <zu scannender Knoten> -vv -n
Hier haben wir untersucht, wie wir die Netzwerktopologie verfolgen, Port-Scans durchführen und Remote-Dienste identifizieren können. Ich stelle fest, dass der Abschnitt die allgemeinen Prinzipien der Netzwerkstudie erläutert und nicht alle möglichen Studienoptionen enthält. Ich empfehle Ihnen, die Back Track-Linux-Distribution als Werkzeug für praktische Arbeiten zu verwenden. Es verfügt über einen umfangreichen Satz von Werkzeugen, um diese Aufgaben zu lösen.
Durch die in diesem Abschnitt beschriebenen Schritte kann ein Angreifer ausreichend detaillierte Informationen über das angegriffene Netzwerk sammeln.
In diesem und früheren Beiträgen habe ich viele verschiedene Angriffe beschrieben, die auf den entsprechenden Ebenen des hierarchischen Modells implementiert werden können. Darüber hinaus wurden verschiedene Richtlinien für den Schutz vor diesen Angriffen durch die Geräte und Anwendungen selbst vorgestellt. Die Verwendung spezialisierter Schutzmaßnahmen wie Firewalls und Intrusion Detection-Tools wurde bewusst nicht berücksichtigt. Über all diese Systeme werden wir später in separaten Beiträgen sprechen.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Der logische Abschluss des Anwendungsanalyse-Themas besteht darin, sich mit Fragen zur Betriebssystemidentifizierung zu befassen. Einer der Schritte zum Sammeln von Informationen zu Netzwerkressourcen besteht darin, den Typ und die Version des Betriebssystems (Betriebssystems) des Remotehosts zu bestimmen.
Ich werde die grundlegenden Methoden zur Bestimmung des Betriebssystems anführen: die einfachsten Methoden, die auf der Verwendung des ICMP-Protokolls basieren, und die wenig bekannten und selten verwendeten.
Die einfachsten Methoden zur Ermittlung des Betriebssystems sind die Analyse offener Ports, die Analyse von Service-Bannern auf Anwendungsebene und die Analyse der Ergebnisse zur Identifizierung von Diensten und Anwendungen. Eine der einfachsten Methoden zur Ermittlung des Betriebssystems eines Remotehosts besteht darin, eine Verbindung zu offenen Ports herzustellen und die Reaktion der darauf laufenden Dienste zu analysieren. Ich habe diese Methode bereits früher in diesem Abschnitt behandelt.
Eine andere Möglichkeit besteht darin, Dienstbefehle auf Anwendungsebene zu verwenden, z. B. den FTP-Befehl SYST.
Schließlich kann die Schlussfolgerung über den Betriebssystemtyp auf der Grundlage der Ergebnisse der Identifizierung von Diensten und Anwendungen auf dem Zielserver gezogen werden.
Aufgrund dieser Unterschiede ist die Reaktion des Betriebssystems auf bestimmte Netzwerkpakete unterschiedlich. Die Methode, die auf der angegebenen Beobachtung basiert, wird als «TSR / IP Stack Fingerptinting» bezeichnet.
Als Beispiel für die Betriebssystemanalyse werde ich das bereits mehrfach erwähnte Nmap-Dienstprogramm verwenden.
Nmap -O <zu scannender Knoten> -vv -n
Hier haben wir untersucht, wie wir die Netzwerktopologie verfolgen, Port-Scans durchführen und Remote-Dienste identifizieren können. Ich stelle fest, dass der Abschnitt die allgemeinen Prinzipien der Netzwerkstudie erläutert und nicht alle möglichen Studienoptionen enthält. Ich empfehle Ihnen, die Back Track-Linux-Distribution als Werkzeug für praktische Arbeiten zu verwenden. Es verfügt über einen umfangreichen Satz von Werkzeugen, um diese Aufgaben zu lösen.
Durch die in diesem Abschnitt beschriebenen Schritte kann ein Angreifer ausreichend detaillierte Informationen über das angegriffene Netzwerk sammeln.
In diesem und früheren Beiträgen habe ich viele verschiedene Angriffe beschrieben, die auf den entsprechenden Ebenen des hierarchischen Modells implementiert werden können. Darüber hinaus wurden verschiedene Richtlinien für den Schutz vor diesen Angriffen durch die Geräte und Anwendungen selbst vorgestellt. Die Verwendung spezialisierter Schutzmaßnahmen wie Firewalls und Intrusion Detection-Tools wurde bewusst nicht berücksichtigt. Über all diese Systeme werden wir später in separaten Beiträgen sprechen.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Angriffe auf Wi-Fi.
Jetzt gibt es viele Geräte, die Informationen über den drahtlosen Zugriff austauschen. Das wichtigste Mittel für diese Interaktion ist Wi-Fi. Damit beginnen wir mit Angriffen auf drahtlose Geräte.
Drahtlose Netzwerke sind seit langem ein integraler Bestandteil der Unternehmensnetzwerkinfrastruktur. Jetzt hat fast jedes große Unternehmen sein eigenes Wi-Fi-Netzwerk. Alles hat jedoch eine Kehrseite. Drahtlose Netzwerke benötigen viel mehr Schutz als kabelgebundene Kommunikationskanäle. Es gibt mehrere Gründe dafür.
Vor allem ist es die Komplexität der physischen Sicherheit. Wenn Sie zum Verbinden und Abfangen des Datenverkehrs in einem kabelgebundenen Unternehmensnetzwerk in Ihr Unternehmen eindringen und eine freie Steckdose finden müssen, können Sie sich zum Abfangen des drahtlosen Datenverkehrs oft nicht einmal auf dem Firmengelände befinden.
Das zweite Problem besteht darin, dass Administratoren sehr oft unzureichend zuverlässige Einstellungen verwenden oder sich auf die Standardeinstellungen beschränken.
Das dritte Problem sind schließlich die technologischen Merkmale der verwendeten Protokolle, die ebenfalls zu Sicherheitsproblemen führen können.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Jetzt gibt es viele Geräte, die Informationen über den drahtlosen Zugriff austauschen. Das wichtigste Mittel für diese Interaktion ist Wi-Fi. Damit beginnen wir mit Angriffen auf drahtlose Geräte.
Drahtlose Netzwerke sind seit langem ein integraler Bestandteil der Unternehmensnetzwerkinfrastruktur. Jetzt hat fast jedes große Unternehmen sein eigenes Wi-Fi-Netzwerk. Alles hat jedoch eine Kehrseite. Drahtlose Netzwerke benötigen viel mehr Schutz als kabelgebundene Kommunikationskanäle. Es gibt mehrere Gründe dafür.
Vor allem ist es die Komplexität der physischen Sicherheit. Wenn Sie zum Verbinden und Abfangen des Datenverkehrs in einem kabelgebundenen Unternehmensnetzwerk in Ihr Unternehmen eindringen und eine freie Steckdose finden müssen, können Sie sich zum Abfangen des drahtlosen Datenverkehrs oft nicht einmal auf dem Firmengelände befinden.
Das zweite Problem besteht darin, dass Administratoren sehr oft unzureichend zuverlässige Einstellungen verwenden oder sich auf die Standardeinstellungen beschränken.
Das dritte Problem sind schließlich die technologischen Merkmale der verwendeten Protokolle, die ebenfalls zu Sicherheitsproblemen führen können.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Schutzprotokolle.
Beginnen wir mit der Theorie, nämlich mit den Protokollen, die heute zum Schutz von drahtlosen Netzwerken verwendet werden.
Sie können die folgenden Tools verwenden, um drahtlose Netzwerke zu schützen:
verschlüsselungsprotokolle (WEP, WPA, WPA2);
Authentifizierungsprotokolle (802.1X, RADIUS, EAP);
virtuelles privates Netzwerk (VPN).
Betrachten wir genauer, was die einzelnen Verschlüsselungsprotokolle und die mit ihnen verwendeten Authentifizierungsprotokolle sind.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Beginnen wir mit der Theorie, nämlich mit den Protokollen, die heute zum Schutz von drahtlosen Netzwerken verwendet werden.
Sie können die folgenden Tools verwenden, um drahtlose Netzwerke zu schützen:
verschlüsselungsprotokolle (WEP, WPA, WPA2);
Authentifizierungsprotokolle (802.1X, RADIUS, EAP);
virtuelles privates Netzwerk (VPN).
Betrachten wir genauer, was die einzelnen Verschlüsselungsprotokolle und die mit ihnen verwendeten Authentifizierungsprotokolle sind.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
WEP-Protokoll.
Dieses Verschlüsselungsprotokoll kann heute in fast jedem drahtlosen Zugangsgerät gefunden werden. Tatsächlich ist dieses Protokoll das Minimum an Verschlüsselung, das bereitgestellt werden kann. Das WEP-Protokoll (Wired Equivalent Privacy) wurde ursprünglich in der IEEE 802.11-Spezifikation für drahtlose Netzwerke festgelegt. Wie der Name schon sagt, sollte WEP eine Art Analogon der kabelgebundenen Sicherheit sein (jedenfalls wird es so entschlüsselt), aber es bietet sicherlich kein entsprechendes Sicherheitsniveau für kabelgebundene Netzwerke.
Das WEP-Protokoll ermöglicht die Verschlüsselung des Übertragungsdatenstroms basierend auf dem RC 4-Algorithmus mit einem 64-Bit- oder 128-Bit-Schlüssel. Diese Schlüssel haben eine sogenannte statische Komponente mit einer Länge von 40 bis 104 Bit und eine zusätzliche dynamische Komponente mit einer Größe von 24 Bit, die als Initialisierungsvektor (IV) bezeichnet wird.
Auf der einfachsten Ebene sieht die WEP-Verschlüsselung wie folgt aus: Die ursprünglich im Paket übertragenen Daten werden auf Integrität überprüft (der CRC-32-Algorithmus), danach wird der Integrity Check value (ICV) dem Servicefeld des Paketheaders hinzugefügt. Als nächstes wird ein 24-Bit-Initialisierungsvektor (IV) generiert und ein statischer (40-Bit- oder 104-Bit-) privater Schlüssel wird ihm hinzugefügt. Der so erhaltene 64-Bit- oder 128-Bit-Schlüssel ist der Quellschlüssel für die Generierung einer Pseudozufallszahl, die zum Verschlüsseln von Daten verwendet wird. Die Daten werden dann mit einer logischen XOR-Operation mit einer pseudozufälligen Schlüsselsequenz gemischt (verschlüsselt), und der Initialisierungsvektor wird dem Servicefeld des Rahmens hinzugefügt. Angesichts der modernen Rechenleistung dauert das Öffnen von Schlüsseln dieser Größe nur wenige Minuten. Weitere Möglichkeiten, verschiedene Schlüssel zu öffnen, werden wir später besprechen.
Das WEP-Sicherheitsprotokoll bietet zwei Möglichkeiten, Benutzer zu authentifizieren: Open System (offen) und Shared Key (freigegebener Schlüssel). Bei Verwendung der offenen Authentifizierung existiert tatsächlich keine Authentifizierung, d. H. Jeder Benutzer kann auf das drahtlose Netzwerk zugreifen. Selbst bei einem offenen System ist jedoch die Verwendung von WEP-Datenverschlüsselung zulässig.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Dieses Verschlüsselungsprotokoll kann heute in fast jedem drahtlosen Zugangsgerät gefunden werden. Tatsächlich ist dieses Protokoll das Minimum an Verschlüsselung, das bereitgestellt werden kann. Das WEP-Protokoll (Wired Equivalent Privacy) wurde ursprünglich in der IEEE 802.11-Spezifikation für drahtlose Netzwerke festgelegt. Wie der Name schon sagt, sollte WEP eine Art Analogon der kabelgebundenen Sicherheit sein (jedenfalls wird es so entschlüsselt), aber es bietet sicherlich kein entsprechendes Sicherheitsniveau für kabelgebundene Netzwerke.
Das WEP-Protokoll ermöglicht die Verschlüsselung des Übertragungsdatenstroms basierend auf dem RC 4-Algorithmus mit einem 64-Bit- oder 128-Bit-Schlüssel. Diese Schlüssel haben eine sogenannte statische Komponente mit einer Länge von 40 bis 104 Bit und eine zusätzliche dynamische Komponente mit einer Größe von 24 Bit, die als Initialisierungsvektor (IV) bezeichnet wird.
Auf der einfachsten Ebene sieht die WEP-Verschlüsselung wie folgt aus: Die ursprünglich im Paket übertragenen Daten werden auf Integrität überprüft (der CRC-32-Algorithmus), danach wird der Integrity Check value (ICV) dem Servicefeld des Paketheaders hinzugefügt. Als nächstes wird ein 24-Bit-Initialisierungsvektor (IV) generiert und ein statischer (40-Bit- oder 104-Bit-) privater Schlüssel wird ihm hinzugefügt. Der so erhaltene 64-Bit- oder 128-Bit-Schlüssel ist der Quellschlüssel für die Generierung einer Pseudozufallszahl, die zum Verschlüsseln von Daten verwendet wird. Die Daten werden dann mit einer logischen XOR-Operation mit einer pseudozufälligen Schlüsselsequenz gemischt (verschlüsselt), und der Initialisierungsvektor wird dem Servicefeld des Rahmens hinzugefügt. Angesichts der modernen Rechenleistung dauert das Öffnen von Schlüsseln dieser Größe nur wenige Minuten. Weitere Möglichkeiten, verschiedene Schlüssel zu öffnen, werden wir später besprechen.
Das WEP-Sicherheitsprotokoll bietet zwei Möglichkeiten, Benutzer zu authentifizieren: Open System (offen) und Shared Key (freigegebener Schlüssel). Bei Verwendung der offenen Authentifizierung existiert tatsächlich keine Authentifizierung, d. H. Jeder Benutzer kann auf das drahtlose Netzwerk zugreifen. Selbst bei einem offenen System ist jedoch die Verwendung von WEP-Datenverschlüsselung zulässig.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Das WPA-Protokoll.
Wie ich bereits erwähnt habe, weist das WEP-Protokoll einige schwerwiegende Nachteile auf und ist für Einbrecher kein schwer zu überwindendes Hindernis. Daher wurde im Jahr 2003 der nächste Sicherheitsstandard eingeführt - WPA (Wi-Fi Protected Access). Das Hauptmerkmal dieses Standards ist die auf dem TKIP (Temporal Key Integrity Protocol) basierende Technologie zur dynamischen Generierung von Datenverschlüsselungsschlüsseln, die eine weitere Entwicklung des RC4-Verschlüsselungsalgorithmus darstellt. Über das TKIP-Protokoll arbeiten Netzwerkgeräte mit einem 48-Bit-Initialisierungsvektor (im Gegensatz zum 24-Bit-WEP-Vektor) und implementieren Regeln für die Änderung der Bitfolge, wodurch die Wiederverwendung von Schlüsseln ausgeschlossen wird. Das TKIP-Protokoll generiert für jedes übertragene Paket einen neuen 128-Bit-Schlüssel. Außerdem werden die kryptografischen Prüfsummen in WPA nach einer neuen Methode namens MIC (Message Integrity Code) berechnet. Jeder Frame enthält hier einen speziellen 8-Byte-Nachrichtenintegritätscode, dessen Überprüfung es ermöglicht, Angriffe mit gefälschten Paketen abzuwehren. Das Ergebnis ist, dass jedes über das Netzwerk übertragene Datenpaket einen eigenen eindeutigen Schlüssel und jedes Gerät im drahtlosen Netzwerk hat
wird mit einem dynamisch änderbaren Schlüssel versehen.
Darüber hinaus unterstützt WPA die AES-Verschlüsselung (Advanced Encryption Standard), also den erweiterten Verschlüsselungsstandard, der einen stärkeren Kryptoalgorithmus aufweist als in WEP- und TKIP-Protokollen implementiert.
Bei der Bereitstellung von drahtlosen Netzwerken zu Hause oder in kleinen Büros wird normalerweise die WPA–PSK (Pre Shared Key) -Version des Sicherheitsprotokolls WPA verwendet, das auf freigegebenen Schlüsseln basiert.
Wenn Sie WPA-PSK verwenden, geben Sie in den Access Point-Einstellungen und den drahtlosen Clientverbindungsprofilen ein Kennwort ein, das zwischen 8 und 63 Zeichen lang ist.
WPA-PSK eignet sich nicht für drahtlose Netzwerke großer Unternehmen, sondern verwendet WPA-EAP, bei denen Benutzer auf einem separaten RADIUS-Server autorisiert werden. Um 802.1x verwenden zu können, müssen Sie eine vollständige PKI-Infrastruktur für den öffentlichen Schlüssel bereitstellen. Der Authentifizierungsserver verwendet nach Erhalt des Zertifikats vom Benutzer 802.1X, um einen eindeutigen Basisschlüssel für die Kommunikationssitzung zu generieren. TKIP überträgt den generierten Schlüssel an den Benutzer und den Zugriffspunkt und erstellt dann eine Schlüsselhierarchie sowie ein Verwaltungssystem. Dazu wird ein bidirektionaler Schlüssel verwendet, um die Datenverschlüsselungsschlüssel dynamisch zu generieren, die wiederum zum Verschlüsseln jedes Datenpakets verwendet werden. Eine ähnliche TKIP-Schlüsselhierarchie ersetzt einen einzelnen WEP-Schlüssel (statisch) durch 500 Milliarden mögliche Schlüssel, die zum Verschlüsseln dieses Datenpakets verwendet werden.
Die weitere Entwicklung des WPA-Protokolls ist WPA2. WPA2 wird durch den IEEE 802.11i-Standard definiert, der im Juni 2004 verabschiedet wurde. Es implementiert CCMP und AES-Verschlüsselung, wodurch WPA2 sicherer geworden ist als sein Vorgänger. CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) ist ein 802.11i-Verschlüsselungsprotokoll, das entwickelt wurde, um TKIP, das obligatorische Verschlüsselungsprotokoll in WPA und WEP, als zuverlässigere Option zu ersetzen.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Wie ich bereits erwähnt habe, weist das WEP-Protokoll einige schwerwiegende Nachteile auf und ist für Einbrecher kein schwer zu überwindendes Hindernis. Daher wurde im Jahr 2003 der nächste Sicherheitsstandard eingeführt - WPA (Wi-Fi Protected Access). Das Hauptmerkmal dieses Standards ist die auf dem TKIP (Temporal Key Integrity Protocol) basierende Technologie zur dynamischen Generierung von Datenverschlüsselungsschlüsseln, die eine weitere Entwicklung des RC4-Verschlüsselungsalgorithmus darstellt. Über das TKIP-Protokoll arbeiten Netzwerkgeräte mit einem 48-Bit-Initialisierungsvektor (im Gegensatz zum 24-Bit-WEP-Vektor) und implementieren Regeln für die Änderung der Bitfolge, wodurch die Wiederverwendung von Schlüsseln ausgeschlossen wird. Das TKIP-Protokoll generiert für jedes übertragene Paket einen neuen 128-Bit-Schlüssel. Außerdem werden die kryptografischen Prüfsummen in WPA nach einer neuen Methode namens MIC (Message Integrity Code) berechnet. Jeder Frame enthält hier einen speziellen 8-Byte-Nachrichtenintegritätscode, dessen Überprüfung es ermöglicht, Angriffe mit gefälschten Paketen abzuwehren. Das Ergebnis ist, dass jedes über das Netzwerk übertragene Datenpaket einen eigenen eindeutigen Schlüssel und jedes Gerät im drahtlosen Netzwerk hat
wird mit einem dynamisch änderbaren Schlüssel versehen.
Darüber hinaus unterstützt WPA die AES-Verschlüsselung (Advanced Encryption Standard), also den erweiterten Verschlüsselungsstandard, der einen stärkeren Kryptoalgorithmus aufweist als in WEP- und TKIP-Protokollen implementiert.
Bei der Bereitstellung von drahtlosen Netzwerken zu Hause oder in kleinen Büros wird normalerweise die WPA–PSK (Pre Shared Key) -Version des Sicherheitsprotokolls WPA verwendet, das auf freigegebenen Schlüsseln basiert.
Wenn Sie WPA-PSK verwenden, geben Sie in den Access Point-Einstellungen und den drahtlosen Clientverbindungsprofilen ein Kennwort ein, das zwischen 8 und 63 Zeichen lang ist.
WPA-PSK eignet sich nicht für drahtlose Netzwerke großer Unternehmen, sondern verwendet WPA-EAP, bei denen Benutzer auf einem separaten RADIUS-Server autorisiert werden. Um 802.1x verwenden zu können, müssen Sie eine vollständige PKI-Infrastruktur für den öffentlichen Schlüssel bereitstellen. Der Authentifizierungsserver verwendet nach Erhalt des Zertifikats vom Benutzer 802.1X, um einen eindeutigen Basisschlüssel für die Kommunikationssitzung zu generieren. TKIP überträgt den generierten Schlüssel an den Benutzer und den Zugriffspunkt und erstellt dann eine Schlüsselhierarchie sowie ein Verwaltungssystem. Dazu wird ein bidirektionaler Schlüssel verwendet, um die Datenverschlüsselungsschlüssel dynamisch zu generieren, die wiederum zum Verschlüsseln jedes Datenpakets verwendet werden. Eine ähnliche TKIP-Schlüsselhierarchie ersetzt einen einzelnen WEP-Schlüssel (statisch) durch 500 Milliarden mögliche Schlüssel, die zum Verschlüsseln dieses Datenpakets verwendet werden.
Die weitere Entwicklung des WPA-Protokolls ist WPA2. WPA2 wird durch den IEEE 802.11i-Standard definiert, der im Juni 2004 verabschiedet wurde. Es implementiert CCMP und AES-Verschlüsselung, wodurch WPA2 sicherer geworden ist als sein Vorgänger. CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) ist ein 802.11i-Verschlüsselungsprotokoll, das entwickelt wurde, um TKIP, das obligatorische Verschlüsselungsprotokoll in WPA und WEP, als zuverlässigere Option zu ersetzen.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Physischer Schutz.
Außerdem müssen Sie die Reichweite Ihres drahtlosen Netzwerks ordnungsgemäß konfigurieren. Das heißt, seien Sie nicht zu faul, mit Ihrem Laptop außerhalb eines geschützten Umfangs zu gehen, zum Beispiel auf einem Parkplatz vor einem Büro, und überprüfen Sie, ob Ihr Netzwerk von dort aus «sichtbar» ist. Wenn es in der Liste der verfügbaren drahtlosen Netzwerke angezeigt wird, ist es besser, die Signalstärke zu reduzieren.
Eine weitere Möglichkeit zum Schutz besteht darin, die MAC-Adressen von Clientgeräten zu filtern, die eine Verbindung zu einem drahtlosen Netzwerk herstellen können. Es ist offensichtlich, dass Sie die Filterung nur in kleinen Netzwerken verwenden können, in denen die Anzahl der Clients ein paar Dutzend nicht überschreitet. Vergessen Sie jedoch nicht, dass dies kein Allheilmittel ist, da die Änderung der MAC-Adresse für einen erfahrenen Einbrecher kein großes Problem darstellt und Sie unbedingt Verschlüsselung verwenden müssen.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Außerdem müssen Sie die Reichweite Ihres drahtlosen Netzwerks ordnungsgemäß konfigurieren. Das heißt, seien Sie nicht zu faul, mit Ihrem Laptop außerhalb eines geschützten Umfangs zu gehen, zum Beispiel auf einem Parkplatz vor einem Büro, und überprüfen Sie, ob Ihr Netzwerk von dort aus «sichtbar» ist. Wenn es in der Liste der verfügbaren drahtlosen Netzwerke angezeigt wird, ist es besser, die Signalstärke zu reduzieren.
Eine weitere Möglichkeit zum Schutz besteht darin, die MAC-Adressen von Clientgeräten zu filtern, die eine Verbindung zu einem drahtlosen Netzwerk herstellen können. Es ist offensichtlich, dass Sie die Filterung nur in kleinen Netzwerken verwenden können, in denen die Anzahl der Clients ein paar Dutzend nicht überschreitet. Vergessen Sie jedoch nicht, dass dies kein Allheilmittel ist, da die Änderung der MAC-Adresse für einen erfahrenen Einbrecher kein großes Problem darstellt und Sie unbedingt Verschlüsselung verwenden müssen.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
legascom.ru
Юрист | Юридические услуги в Вологде, Москве и других регионах - Юридические услуги компании ЛЕГАС
Юристы окажут квалифицированные юридические услуги в Вологде, Москве и других регионах РФ.
Die ESSID verstecken.
Also haben wir über die Protokolle zum Schutz drahtloser Netzwerke gesprochen. Lassen Sie uns nun die Besonderheiten ihrer Einrichtung und die typischen Fehler besprechen.
Beginnen wir mit der Verwendung der Netzwerk-ID (ESSID). Viele Administratoren glauben, dass das Verstecken von ESSID dazu beiträgt, ihr drahtloses Netzwerk zu schützen. Es ist eigentlich keine besonders gute Möglichkeit, sich zu schützen. Tatsache ist, dass ein erfahrener Angreifer Ihr drahtloses Netzwerk auch bei deaktivierter ESSID-Übertragung problemlos erkennen kann. Daher ist es für ein kleines Netzwerk sinnvoll, die Übertragung zu deaktivieren, aber für ein großes Netzwerk sollte die Übertragung aktiviert sein, damit mobile Mitarbeiter problemlos eine Verbindung herstellen können. Der ESSID-Wert sollte Ihr drahtloses Netzwerk nicht identifizieren, d. H. Es darf keinen Firmennamen oder andere Informationen enthalten, die Angreifer anlocken könnten.
Als Beispiel werde ich das Dienstprogramm NetStumdler verwenden, mit dem wir eine Liste der gefundenen mit diesem Tool erstellen
dienstprogramme für drahtlose Geräte. Für einige gelang es sogar, ESSID zu identifizieren. Für andere hat NetStumbler keinen sinnvollen Namen angegeben, aber es gibt immer noch Informationen für Hacker, um weiter zu suchen und zu hacken.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Also haben wir über die Protokolle zum Schutz drahtloser Netzwerke gesprochen. Lassen Sie uns nun die Besonderheiten ihrer Einrichtung und die typischen Fehler besprechen.
Beginnen wir mit der Verwendung der Netzwerk-ID (ESSID). Viele Administratoren glauben, dass das Verstecken von ESSID dazu beiträgt, ihr drahtloses Netzwerk zu schützen. Es ist eigentlich keine besonders gute Möglichkeit, sich zu schützen. Tatsache ist, dass ein erfahrener Angreifer Ihr drahtloses Netzwerk auch bei deaktivierter ESSID-Übertragung problemlos erkennen kann. Daher ist es für ein kleines Netzwerk sinnvoll, die Übertragung zu deaktivieren, aber für ein großes Netzwerk sollte die Übertragung aktiviert sein, damit mobile Mitarbeiter problemlos eine Verbindung herstellen können. Der ESSID-Wert sollte Ihr drahtloses Netzwerk nicht identifizieren, d. H. Es darf keinen Firmennamen oder andere Informationen enthalten, die Angreifer anlocken könnten.
Als Beispiel werde ich das Dienstprogramm NetStumdler verwenden, mit dem wir eine Liste der gefundenen mit diesem Tool erstellen
dienstprogramme für drahtlose Geräte. Für einige gelang es sogar, ESSID zu identifizieren. Für andere hat NetStumbler keinen sinnvollen Namen angegeben, aber es gibt immer noch Informationen für Hacker, um weiter zu suchen und zu hacken.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Mögliche Bedrohungen.
Wir haben darüber gesprochen, ESSIDS zu verbergen und MAC-Adressen zu filtern, jetzt sehen wir uns an, welchen spezifischen Schaden ein Angreifer einem drahtlosen Netzwerk zufügen könnte. Erstens kann es das gesamte Netzwerk durch einen Angriff auf die Zugangsgeräte über Wi-Fi deaktivieren. In diesem Fall können alle mobilen Mitarbeiter nicht mit Netzwerkressourcen arbeiten, was aufgrund von Ausfallzeiten zu Verlusten führen kann.
Zweitens könnte es versuchen, Daten von verfügbaren Enterprise-Servern zu stehlen. Hier geht es darum, über WLAN in das Netzwerk einzudringen und Daten zu stehlen. Drittens kann er einen Man-In-The-Middle-Angriff ausführen. In diesem Fall kann ein Angreifer den gesamten Datenverkehr über das von ihm kontrollierte Gerät überspringen und den durchlaufenden Datenverkehr anzeigen und gegebenenfalls ändern. Viertens kann es Verschlüsselungsschlüssel stehlen und den gesamten Datenverkehr, der über das Netzwerk übertragen wird, diskret lesen. Wenn die vorherigen drei Methoden auf die eine oder andere Weise erfordern, dass ein Angreifer beim Arbeiten mit einem drahtlosen Netzwerk eine Aktion durchführt, sei es durch die Generierung von Datenverkehr, um das Netzwerk zu zerstören, Daten zu stehlen oder zu modifizieren, kann er den Datenverkehr nach dem Stehlen der erforderlichen Verschlüsselungsschlüssel völlig unbemerkt lesen, ohne sich selbst auszugeben. Diese Option ist am gefährlichsten.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Wir haben darüber gesprochen, ESSIDS zu verbergen und MAC-Adressen zu filtern, jetzt sehen wir uns an, welchen spezifischen Schaden ein Angreifer einem drahtlosen Netzwerk zufügen könnte. Erstens kann es das gesamte Netzwerk durch einen Angriff auf die Zugangsgeräte über Wi-Fi deaktivieren. In diesem Fall können alle mobilen Mitarbeiter nicht mit Netzwerkressourcen arbeiten, was aufgrund von Ausfallzeiten zu Verlusten führen kann.
Zweitens könnte es versuchen, Daten von verfügbaren Enterprise-Servern zu stehlen. Hier geht es darum, über WLAN in das Netzwerk einzudringen und Daten zu stehlen. Drittens kann er einen Man-In-The-Middle-Angriff ausführen. In diesem Fall kann ein Angreifer den gesamten Datenverkehr über das von ihm kontrollierte Gerät überspringen und den durchlaufenden Datenverkehr anzeigen und gegebenenfalls ändern. Viertens kann es Verschlüsselungsschlüssel stehlen und den gesamten Datenverkehr, der über das Netzwerk übertragen wird, diskret lesen. Wenn die vorherigen drei Methoden auf die eine oder andere Weise erfordern, dass ein Angreifer beim Arbeiten mit einem drahtlosen Netzwerk eine Aktion durchführt, sei es durch die Generierung von Datenverkehr, um das Netzwerk zu zerstören, Daten zu stehlen oder zu modifizieren, kann er den Datenverkehr nach dem Stehlen der erforderlichen Verschlüsselungsschlüssel völlig unbemerkt lesen, ohne sich selbst auszugeben. Diese Option ist am gefährlichsten.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Denial-of-Service.
Die erste mögliche Bedrohung ist der Denial-of-Service. Es gibt viele Möglichkeiten, diese Bedrohung auszuüben. In erster Linie kann ein Angreifer Interferenzen mit der Frequenz des drahtlosen Netzwerks erzeugen. Tatsache ist, dass IEEE 802.11 ein «höflicher» Standard ist, dh Geräte werden erst mit der Übertragung von Paketen beginnen, wenn der Übertragungskanal frei ist. Auf diese Weise kann ein Angreifer Störungen mit kostengünstigen, aber ausreichend leistungsstarken Sendern erzeugen, die mit der gleichen Frequenz arbeiten.
Es ist nicht so einfach, solche Angriffe mit technischen Mitteln zu bekämpfen, da hier keine Verschlüsselung oder Filterung von MAC-Adressen helfen wird. Organisatorische Maßnahmen können das beste Mittel sein, um zu verhindern, dass Unbefugte in die unmittelbare Nähe zum drahtlosen Netzwerk eines Unternehmens gelangen.
Im Allgemeinen ist das Thema der von einem Angreifer verwendeten Geräte und ihrer Leistung an sich ziemlich interessant. Ein Einbrecher kann ein ziemlich leistungsfähiges Gerät mit einer gerichteten Antenne im Wert von etwa tausend Dollar im Internet kaufen. Mit einem solchen Gerät kann er den Verkehr in einer ziemlich respektvollen Entfernung «aufnehmen».
Aber zurück zu Denial-of-Service. Ein Angreifer kann auch die ARP-Tabellendaten erneut senden. Dabei muss er das Paket nicht entschlüsseln, es genügt, es einfach zu wiederholen. Wenn diese Daten nicht mehr korrekt sind, kann dies zu einem Ausfall des drahtlosen Netzwerks führen. Hier müssen Sie die Überwachung Ihrer drahtlosen Geräte mit IPS (Intrusion Prevention System) konfigurieren, die verdächtige Aktivitäten erkennen können, insbesondere Änderungen im ARP-Cache und damit verbundene Fehler.
Eine weitere Möglichkeit, den Wireless Access Point vorübergehend zu deaktivieren, besteht darin, Fehlermeldungen zu senden. Das heißt, wenn nach dem Empfang von mehr als zwei Nachrichten über eine ungültige Prüfsumme (Hash) von einem Punkt übertragenen Paketen viele Geräte den Datenverkehr für eine Minute nicht mehr übertragen. Daher reicht es für einen Angreifer aus, einmal pro Minute drei falsche Prüfsummenmeldungen zu senden, damit der Zugriffspunkt nicht mehr ordnungsgemäß funktioniert. Es ist erwähnenswert, dass dieser Modus auf vielen modernen Wi-Fi-Routern standardmäßig aktiviert ist. Der beste Weg, solche Angriffe zu bekämpfen, besteht darin, diesen Fehlerkontrollmodus zu deaktivieren. Sie können die Tools im Abschnitt "Wireless" der Backtrack-Distribution verwenden, um solche Angriffe praktisch zu implementieren.
Selbst wenn Sie alle vorherigen Denial-of-Service-Angriffe erfolgreich verhindern, liegt eine weitere Sicherheitslücke, die ein Angreifer ausnutzen könnte, in der Implementierung des drahtlosen Protokolls selbst. Es handelt sich um Steuerrahmen. Tatsache ist, dass die Verwaltungsinformationen unverschlüsselt übertragen werden und sich in keiner Weise authentifizieren. Ein Angreifer kann durch das Senden gefälschter Service-Frames das drahtlose Netzwerk deaktivieren. Um dies zu bekämpfen, bietet Cisco die Management Frame Protection-Technologie an. Das Wesen dieser Technologie besteht darin, dass jedem Dienstrahmen digitale Signaturen hinzugefügt werden. Durch die Verwendung digitaler Signaturen kann ein IPS-System des Unternehmens schnell erkennen, dass jemand gefälschte Frames sendet, und diesen Host vom Netzwerk trennen. Im Allgemeinen bietet der 802.11w-Standard Schutz für den Dienstverkehr.
Um sich bei einem drahtlosen Netzwerk anzumelden, müssen wir uns zuerst authentifizieren. Hier müssen Sie sich daran erinnern, dass eine gute Authentifizierung ein zweiseitiger Prozess ist. Das heißt, wenn wir eine Verbindung herstellen, müssen wir zuerst sein Zertifikat überprüfen und es zur Überprüfung zur Verfügung stellen. Ein überflüssiges Argument zugunsten von 802.1.
Die erste mögliche Bedrohung ist der Denial-of-Service. Es gibt viele Möglichkeiten, diese Bedrohung auszuüben. In erster Linie kann ein Angreifer Interferenzen mit der Frequenz des drahtlosen Netzwerks erzeugen. Tatsache ist, dass IEEE 802.11 ein «höflicher» Standard ist, dh Geräte werden erst mit der Übertragung von Paketen beginnen, wenn der Übertragungskanal frei ist. Auf diese Weise kann ein Angreifer Störungen mit kostengünstigen, aber ausreichend leistungsstarken Sendern erzeugen, die mit der gleichen Frequenz arbeiten.
Es ist nicht so einfach, solche Angriffe mit technischen Mitteln zu bekämpfen, da hier keine Verschlüsselung oder Filterung von MAC-Adressen helfen wird. Organisatorische Maßnahmen können das beste Mittel sein, um zu verhindern, dass Unbefugte in die unmittelbare Nähe zum drahtlosen Netzwerk eines Unternehmens gelangen.
Im Allgemeinen ist das Thema der von einem Angreifer verwendeten Geräte und ihrer Leistung an sich ziemlich interessant. Ein Einbrecher kann ein ziemlich leistungsfähiges Gerät mit einer gerichteten Antenne im Wert von etwa tausend Dollar im Internet kaufen. Mit einem solchen Gerät kann er den Verkehr in einer ziemlich respektvollen Entfernung «aufnehmen».
Aber zurück zu Denial-of-Service. Ein Angreifer kann auch die ARP-Tabellendaten erneut senden. Dabei muss er das Paket nicht entschlüsseln, es genügt, es einfach zu wiederholen. Wenn diese Daten nicht mehr korrekt sind, kann dies zu einem Ausfall des drahtlosen Netzwerks führen. Hier müssen Sie die Überwachung Ihrer drahtlosen Geräte mit IPS (Intrusion Prevention System) konfigurieren, die verdächtige Aktivitäten erkennen können, insbesondere Änderungen im ARP-Cache und damit verbundene Fehler.
Eine weitere Möglichkeit, den Wireless Access Point vorübergehend zu deaktivieren, besteht darin, Fehlermeldungen zu senden. Das heißt, wenn nach dem Empfang von mehr als zwei Nachrichten über eine ungültige Prüfsumme (Hash) von einem Punkt übertragenen Paketen viele Geräte den Datenverkehr für eine Minute nicht mehr übertragen. Daher reicht es für einen Angreifer aus, einmal pro Minute drei falsche Prüfsummenmeldungen zu senden, damit der Zugriffspunkt nicht mehr ordnungsgemäß funktioniert. Es ist erwähnenswert, dass dieser Modus auf vielen modernen Wi-Fi-Routern standardmäßig aktiviert ist. Der beste Weg, solche Angriffe zu bekämpfen, besteht darin, diesen Fehlerkontrollmodus zu deaktivieren. Sie können die Tools im Abschnitt "Wireless" der Backtrack-Distribution verwenden, um solche Angriffe praktisch zu implementieren.
Selbst wenn Sie alle vorherigen Denial-of-Service-Angriffe erfolgreich verhindern, liegt eine weitere Sicherheitslücke, die ein Angreifer ausnutzen könnte, in der Implementierung des drahtlosen Protokolls selbst. Es handelt sich um Steuerrahmen. Tatsache ist, dass die Verwaltungsinformationen unverschlüsselt übertragen werden und sich in keiner Weise authentifizieren. Ein Angreifer kann durch das Senden gefälschter Service-Frames das drahtlose Netzwerk deaktivieren. Um dies zu bekämpfen, bietet Cisco die Management Frame Protection-Technologie an. Das Wesen dieser Technologie besteht darin, dass jedem Dienstrahmen digitale Signaturen hinzugefügt werden. Durch die Verwendung digitaler Signaturen kann ein IPS-System des Unternehmens schnell erkennen, dass jemand gefälschte Frames sendet, und diesen Host vom Netzwerk trennen. Im Allgemeinen bietet der 802.11w-Standard Schutz für den Dienstverkehr.
Um sich bei einem drahtlosen Netzwerk anzumelden, müssen wir uns zuerst authentifizieren. Hier müssen Sie sich daran erinnern, dass eine gute Authentifizierung ein zweiseitiger Prozess ist. Das heißt, wenn wir eine Verbindung herstellen, müssen wir zuerst sein Zertifikat überprüfen und es zur Überprüfung zur Verfügung stellen. Ein überflüssiges Argument zugunsten von 802.1.
Der Angriff des Network Allocation Vector ist wie folgt. Bei der Datenübertragung in seinem Rahmen wird angegeben, wie viel Zeit wir gehen Kanal zu besetzen. Dies geschieht, um Kollisionen zu vermeiden. In dieser Zeit senden die anderen Pakete auf diesem Kanal wird nicht geführt. Ein Angreifer kann einen in dienstlichem Frame übermäßig großen Wert auf die Felder, wodurch theoretisch access point ausfallen kann für ein paar Minuten. Um dies zu bekämpfen Cisco bietet auch die Technologie Management Frame Protection.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Gefälschte Netzwerke.
Hier haben wir mögliche Denial-of-Service-Angriffe durchforstet. Betrachten wir nun, was ein Angreifer tun kann, nachdem dieser Angriffstyp erfolgreich ausgeführt wurde. Wenn ein Angreifer das Unternehmensnetzwerk außer Betrieb setzt, ersetzt er stattdessen sein drahtloses Netzwerk mit derselben ESSID. Dies kann mit leistungsstarken drahtlosen Geräten mit gerichteter Antenne geschehen, die ich bereits erwähnt habe. Benutzer stellen eine Verbindung zu einem gefälschten drahtlosen Netzwerk her, sodass ein Angreifer problemlos den gesamten von ihnen übertragenen Datenverkehr abhören und daraus interessante Informationen abrufen kann. Insbesondere können viele Benutzer von ihrer Arbeitsstation aus soziale Netzwerke besuchen oder Internet-Banking-Dienste nutzen. Die für die Arbeit mit diesen Diensten erforderlichen Anmeldeinformationen können von einem Angreifer abgefangen werden. Ein Angreifer kann auch «Phishing» ausführen, dh Websites ersetzen, wodurch Benutzer gezwungen werden, ihre Anmeldeinformationen einzugeben, beispielsweise auf einer gefälschten Website eines Online-Shops.
Ein Angreifer muss jedoch nicht unbedingt das Unternehmensnetzwerk deaktivieren, um zumindest einen Teil der Benutzer dazu zu bringen, sich mit einem gefälschten drahtlosen Netzwerk zu verbinden. Die Benutzer werden sich selbst mit dem Netzwerk verbinden. Dies geschieht wie folgt. Wenn der Computer des Benutzers eine Verbindung zu verfügbaren drahtlosen Netzwerken herstellt, versucht der Wireless Access Adapter bei jedem Einschalten, eine Verbindung zu den Netzwerken herzustellen, deren Profile auf der Maschine gespeichert sind. Das heißt, wenn Sie jemals eine Verbindung zu einem Beeline Wi-Fi-Netzwerk hergestellt haben, wird dieses Profil auf Ihrem Computer gespeichert, und der Adapter versucht bei jedem Einschalten, eine Verbindung zu diesem Netzwerk herzustellen. Der Verbindungsversuch wird in einer Frame-Übertragung ausgedrückt, die die ESSID des Netzwerks enthält, mit dem der Client eine Verbindung herstellen möchte, sowie die Sicherheitseinstellungen, die bei der Verbindung verwendet wurden. Für das erwähnte Beeline Wi-Fi-Netzwerk wird keine Verschlüsselung verwendet. Dies bedeutet, dass Sie keine zusätzlichen Einstellungen auf der Clientseite vornehmen müssen und die Verbindung tatsächlich automatisch hergestellt wird.
Wenn ein Benutzer eine Verbindung zu allen verfügbaren Netzwerken herstellen kann, kann er sein drahtloses Netzwerk einfach «einstecken», und wenn das Signal stärker ist als das eines Unternehmenszugriffspunkts, werden viele Kunden eine Verbindung zu seinem Netzwerk herstellen, selbst wenn ESSID ihnen völlig unbekannt ist. Sehr wenige Benutzer achten auf den Namen des drahtlosen Netzwerks, den das System beim Verbinden im Tray schreibt.
Der beste Weg, um mit den beschriebenen Methoden zur Verbindung mit gefälschten Netzwerken umzugehen, besteht darin, die Verwendung ungesicherter Netzwerke zu verbieten und die Verbindung zu verfügbaren Profilen zu unterbinden. Sie können diese Verbote innerhalb eines Unternehmensnetzwerks mithilfe von Gruppenrichtlinien implementieren.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Hier haben wir mögliche Denial-of-Service-Angriffe durchforstet. Betrachten wir nun, was ein Angreifer tun kann, nachdem dieser Angriffstyp erfolgreich ausgeführt wurde. Wenn ein Angreifer das Unternehmensnetzwerk außer Betrieb setzt, ersetzt er stattdessen sein drahtloses Netzwerk mit derselben ESSID. Dies kann mit leistungsstarken drahtlosen Geräten mit gerichteter Antenne geschehen, die ich bereits erwähnt habe. Benutzer stellen eine Verbindung zu einem gefälschten drahtlosen Netzwerk her, sodass ein Angreifer problemlos den gesamten von ihnen übertragenen Datenverkehr abhören und daraus interessante Informationen abrufen kann. Insbesondere können viele Benutzer von ihrer Arbeitsstation aus soziale Netzwerke besuchen oder Internet-Banking-Dienste nutzen. Die für die Arbeit mit diesen Diensten erforderlichen Anmeldeinformationen können von einem Angreifer abgefangen werden. Ein Angreifer kann auch «Phishing» ausführen, dh Websites ersetzen, wodurch Benutzer gezwungen werden, ihre Anmeldeinformationen einzugeben, beispielsweise auf einer gefälschten Website eines Online-Shops.
Ein Angreifer muss jedoch nicht unbedingt das Unternehmensnetzwerk deaktivieren, um zumindest einen Teil der Benutzer dazu zu bringen, sich mit einem gefälschten drahtlosen Netzwerk zu verbinden. Die Benutzer werden sich selbst mit dem Netzwerk verbinden. Dies geschieht wie folgt. Wenn der Computer des Benutzers eine Verbindung zu verfügbaren drahtlosen Netzwerken herstellt, versucht der Wireless Access Adapter bei jedem Einschalten, eine Verbindung zu den Netzwerken herzustellen, deren Profile auf der Maschine gespeichert sind. Das heißt, wenn Sie jemals eine Verbindung zu einem Beeline Wi-Fi-Netzwerk hergestellt haben, wird dieses Profil auf Ihrem Computer gespeichert, und der Adapter versucht bei jedem Einschalten, eine Verbindung zu diesem Netzwerk herzustellen. Der Verbindungsversuch wird in einer Frame-Übertragung ausgedrückt, die die ESSID des Netzwerks enthält, mit dem der Client eine Verbindung herstellen möchte, sowie die Sicherheitseinstellungen, die bei der Verbindung verwendet wurden. Für das erwähnte Beeline Wi-Fi-Netzwerk wird keine Verschlüsselung verwendet. Dies bedeutet, dass Sie keine zusätzlichen Einstellungen auf der Clientseite vornehmen müssen und die Verbindung tatsächlich automatisch hergestellt wird.
Wenn ein Benutzer eine Verbindung zu allen verfügbaren Netzwerken herstellen kann, kann er sein drahtloses Netzwerk einfach «einstecken», und wenn das Signal stärker ist als das eines Unternehmenszugriffspunkts, werden viele Kunden eine Verbindung zu seinem Netzwerk herstellen, selbst wenn ESSID ihnen völlig unbekannt ist. Sehr wenige Benutzer achten auf den Namen des drahtlosen Netzwerks, den das System beim Verbinden im Tray schreibt.
Der beste Weg, um mit den beschriebenen Methoden zur Verbindung mit gefälschten Netzwerken umzugehen, besteht darin, die Verwendung ungesicherter Netzwerke zu verbieten und die Verbindung zu verfügbaren Profilen zu unterbinden. Sie können diese Verbote innerhalb eines Unternehmensnetzwerks mithilfe von Gruppenrichtlinien implementieren.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Fehler beim Einrichten.
Eines der besten Mittel zum Schutz eines drahtlosen Netzwerks ist die Verwendung einer PKI-Infrastruktur mit öffentlichem Schlüssel. Es können jedoch auch hier Konfigurationsfehler auftreten, die dazu führen können, dass das Netzwerk durch einen Angreifer ersetzt wird. Zunächst sollte das Zertifikat für öffentlichen Schlüssel am besten auf einem zu verwendenden Medium und nicht in der Windows-Registrierung gespeichert werden, da es von dort aus abgerufen werden kann. Sie müssen auch die bidirektionale Authentifizierung ordnungsgemäß konfigurieren, dh sowohl den Client als auch den Server durch den Client authentifizieren. Häufig deaktivieren viele Administratoren die Überprüfung des Serverzertifikats auf dem Client. Dadurch wird der Teilnehmer das Serverzertifikat bei der Verbindung mit dem Netzwerk nicht überprüfen, und die ESSID bleibt das einzige Mittel zum Schutz, das ein Angreifer leicht ersetzen kann. Als nächstes muss er seinen eigenen Authentifizierungsserver bereitstellen, z. B. auf FreeRADIUS-Basis, der Clients authentifiziert, ohne ihre Zertifikate zu validieren. Als Ergebnis erhalten wir den gleichen Angriff «Mann in der Mitte». Um diese Bedrohung zu bekämpfen, müssen Sie auch IPS verwenden.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Eines der besten Mittel zum Schutz eines drahtlosen Netzwerks ist die Verwendung einer PKI-Infrastruktur mit öffentlichem Schlüssel. Es können jedoch auch hier Konfigurationsfehler auftreten, die dazu führen können, dass das Netzwerk durch einen Angreifer ersetzt wird. Zunächst sollte das Zertifikat für öffentlichen Schlüssel am besten auf einem zu verwendenden Medium und nicht in der Windows-Registrierung gespeichert werden, da es von dort aus abgerufen werden kann. Sie müssen auch die bidirektionale Authentifizierung ordnungsgemäß konfigurieren, dh sowohl den Client als auch den Server durch den Client authentifizieren. Häufig deaktivieren viele Administratoren die Überprüfung des Serverzertifikats auf dem Client. Dadurch wird der Teilnehmer das Serverzertifikat bei der Verbindung mit dem Netzwerk nicht überprüfen, und die ESSID bleibt das einzige Mittel zum Schutz, das ein Angreifer leicht ersetzen kann. Als nächstes muss er seinen eigenen Authentifizierungsserver bereitstellen, z. B. auf FreeRADIUS-Basis, der Clients authentifiziert, ohne ihre Zertifikate zu validieren. Als Ergebnis erhalten wir den gleichen Angriff «Mann in der Mitte». Um diese Bedrohung zu bekämpfen, müssen Sie auch IPS verwenden.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Verschlüsselungsschlüssel knacken.
Lassen Sie uns darüber sprechen, verschlüsselte Protokolle zu knacken. Wie Sie wissen, können Sie jede Chiffre knacken, es ist nur eine Frage der Zeit. Ein Angreifer kann lange genug im Abhörmodus arbeiten, den übertragenen Datenverkehr aufzeichnen und dann mit Hilfe spezieller Dienstprogramme versuchen, seinen Verschlüsselungsschlüssel zu entschlüsseln. Für das WEP-Protokoll dauert dieser Vorgang nicht lange. Für WPA-PSK hängt alles von der Länge und Komplexität des Verschlüsselungsschlüssels ab.
Aber lass dich nicht täuschen. Der technische Fortschritt steht nicht still, und in letzter Zeit ist die Methode zum Durchforsten von Passwörtern mit der Verwendung von Grafikkarten als Rechenleistung sehr beliebt geworden. Tatsache ist, dass der in Grafikkarten verwendete Coprozessor für seine Rechenleistung ideal für eine schnelle Auswahl geeignet ist. Angesichts der Tatsache, dass die Kosten für die leistungsstärkste Grafikkarte mehrere hundert Dollar nicht überschreiten und sie bis zu vier in einem Computer installieren können, kann eine schnelle Auswahl zu einer nicht so teuren Angelegenheit werden. Daher kann es etwa einen Monat dauern, bis ein ziemlich komplexer Verschlüsselungsschlüssel geöffnet wird.
Wenn wir über die Auswahl sprechen, vergessen Sie auch nicht die Botnetze, deren Rechenleistung die Auswahl in einem angemessenen Zeitintervall ermöglicht.
Das beste Mittel gegen solche Angriffe sind die Ablehnung von WPA-PSK und die Umstellung auf die PKI-Infrastruktur.
Wir haben bereits darüber gesprochen, dass die Standard-ESSID geändert werden muss. Der Grund für die Notwendigkeit eines solchen Ersatzes liegt im Folgenden. Bei der Verschlüsselung des drahtlosen Datenverkehrs wird ESSID verwendet. Für typische ID-Werte gibt es sogenannte Rainbow-Tabellen, die Werte enthalten, die mit diesen Paket-IDs verschlüsselt sind. Anhand dieser Tabellen kann ein Angreifer den Verschlüsselungsschlüssel innerhalb von Sekunden entschlüsseln. Um dies zu bekämpfen, müssen Sie einen nicht standardmäßigen (nicht sinnvollen) ESSID-Wert verwenden.
Der Unicast-Datenverkehr (Ein-Zweck-Paketübertragung) wird hauptsächlich für «persönliche» Dienste verwendet. Jeder Teilnehmer kann zu einem beliebigen Zeitpunkt persönliche Videoinhalte anfordern. Der Unicast-Datenverkehr wird von einer Quelle an eine Ziel-IP-Adresse weitergeleitet.
Der Broadcast-Datenverkehr (Paketübertragung) verwendet eine spezielle IP-Adresse, um denselben Datenstrom an alle Teilnehmer eines bestimmten IP-Netzwerks zu senden. Zum Beispiel kann eine solche IP-Adresse mit 255 enden, z. B. 192.0.2.255, oder in allen vier Feldern mit 255 (255.255.255.255).
Multicast-Datenverkehr (Batch-Paketübertragung) wird zum Streamen von Videos verwendet, wenn Videoinhalte an eine unbegrenzte Anzahl von Teilnehmern geliefert werden müssen, ohne das Netzwerk zu überlasten. Dies ist die am häufigsten verwendete Art der Datenübertragung in IPTV-Netzwerken, wenn eine große Anzahl von Teilnehmern dasselbe Programm beobachtet. Multicast-Datenverkehr verwendet eine spezielle Ziel-IP-Adressklasse, z. B. Adressen im Bereich 224.0.0.0.....239.255.255.255. Dies können IP-Adressen der Klasse D sein.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Lassen Sie uns darüber sprechen, verschlüsselte Protokolle zu knacken. Wie Sie wissen, können Sie jede Chiffre knacken, es ist nur eine Frage der Zeit. Ein Angreifer kann lange genug im Abhörmodus arbeiten, den übertragenen Datenverkehr aufzeichnen und dann mit Hilfe spezieller Dienstprogramme versuchen, seinen Verschlüsselungsschlüssel zu entschlüsseln. Für das WEP-Protokoll dauert dieser Vorgang nicht lange. Für WPA-PSK hängt alles von der Länge und Komplexität des Verschlüsselungsschlüssels ab.
Aber lass dich nicht täuschen. Der technische Fortschritt steht nicht still, und in letzter Zeit ist die Methode zum Durchforsten von Passwörtern mit der Verwendung von Grafikkarten als Rechenleistung sehr beliebt geworden. Tatsache ist, dass der in Grafikkarten verwendete Coprozessor für seine Rechenleistung ideal für eine schnelle Auswahl geeignet ist. Angesichts der Tatsache, dass die Kosten für die leistungsstärkste Grafikkarte mehrere hundert Dollar nicht überschreiten und sie bis zu vier in einem Computer installieren können, kann eine schnelle Auswahl zu einer nicht so teuren Angelegenheit werden. Daher kann es etwa einen Monat dauern, bis ein ziemlich komplexer Verschlüsselungsschlüssel geöffnet wird.
Wenn wir über die Auswahl sprechen, vergessen Sie auch nicht die Botnetze, deren Rechenleistung die Auswahl in einem angemessenen Zeitintervall ermöglicht.
Das beste Mittel gegen solche Angriffe sind die Ablehnung von WPA-PSK und die Umstellung auf die PKI-Infrastruktur.
Wir haben bereits darüber gesprochen, dass die Standard-ESSID geändert werden muss. Der Grund für die Notwendigkeit eines solchen Ersatzes liegt im Folgenden. Bei der Verschlüsselung des drahtlosen Datenverkehrs wird ESSID verwendet. Für typische ID-Werte gibt es sogenannte Rainbow-Tabellen, die Werte enthalten, die mit diesen Paket-IDs verschlüsselt sind. Anhand dieser Tabellen kann ein Angreifer den Verschlüsselungsschlüssel innerhalb von Sekunden entschlüsseln. Um dies zu bekämpfen, müssen Sie einen nicht standardmäßigen (nicht sinnvollen) ESSID-Wert verwenden.
Der Unicast-Datenverkehr (Ein-Zweck-Paketübertragung) wird hauptsächlich für «persönliche» Dienste verwendet. Jeder Teilnehmer kann zu einem beliebigen Zeitpunkt persönliche Videoinhalte anfordern. Der Unicast-Datenverkehr wird von einer Quelle an eine Ziel-IP-Adresse weitergeleitet.
Der Broadcast-Datenverkehr (Paketübertragung) verwendet eine spezielle IP-Adresse, um denselben Datenstrom an alle Teilnehmer eines bestimmten IP-Netzwerks zu senden. Zum Beispiel kann eine solche IP-Adresse mit 255 enden, z. B. 192.0.2.255, oder in allen vier Feldern mit 255 (255.255.255.255).
Multicast-Datenverkehr (Batch-Paketübertragung) wird zum Streamen von Videos verwendet, wenn Videoinhalte an eine unbegrenzte Anzahl von Teilnehmern geliefert werden müssen, ohne das Netzwerk zu überlasten. Dies ist die am häufigsten verwendete Art der Datenübertragung in IPTV-Netzwerken, wenn eine große Anzahl von Teilnehmern dasselbe Programm beobachtet. Multicast-Datenverkehr verwendet eine spezielle Ziel-IP-Adressklasse, z. B. Adressen im Bereich 224.0.0.0.....239.255.255.255. Dies können IP-Adressen der Klasse D sein.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Schwachstelle 196.
Eine weitere Möglichkeit, in ein drahtloses Netzwerk einzudringen, besteht darin, die sogenannte «Sicherheitslücke 196» auszunutzen. Es ist wie folgt: Bei der Übertragung von Unicast-Daten wird immer ein eindeutiger Schlüssel verwendet, und bei der Übertragung von Broadcast- oder Multicast-Daten wird derselbe Schlüssel verwendet. Diesen Schlüssel kennen die Clientgerätetreiber, und theoretisch kann dieser Schlüssel extrahiert werden. Dadurch kann ein Angreifer mithilfe von ARP einen «Mann in der Mitte» -Angriff durchführen. Dazu kann er die MAC-Adresse des Standardgateways durch die Adresse seiner Maschine ersetzen. Im Ergebnis
der gesamte Datenverkehr wird zuerst an sein Auto geleitet und danach an das Internet übertragen. Sie können sich dagegen mit Hilfe von IPS-Systemen schützen. Viele Wireless-Router verfügen außerdem über einen Modus, mit dem Sie verhindern können, dass Datenverkehr zwischen Benutzern direkt ausgetauscht wird (analog zum privaten VLAN). Wenn Sie diesen Modus verwenden, wird der Zugriffspunkt zwar die MAC-Adresse des Standardgateways ersetzen, der Zugriffspunkt wird jedoch keinen Datenverkehr verpassen, wodurch das drahtlose Netzwerk nicht funktioniert. Dies ist jedoch besser als das Abhören des Datenverkehrs durch einen Angreifer.
Petukhov Oleg, avocat en droit international et protection des renseignements personnels, spécialiste de l'information sécurité, protection de l'information et des données personnelles.
Canal Telegram: https://t.me/protecciondelainformacion
Groupe au Télégramme: https://t.me/securiteinformatique2
Site: https://legascom.ru
Courriel: online@legascom.ru
#sécuritéinformations #informationsécurité
Eine weitere Möglichkeit, in ein drahtloses Netzwerk einzudringen, besteht darin, die sogenannte «Sicherheitslücke 196» auszunutzen. Es ist wie folgt: Bei der Übertragung von Unicast-Daten wird immer ein eindeutiger Schlüssel verwendet, und bei der Übertragung von Broadcast- oder Multicast-Daten wird derselbe Schlüssel verwendet. Diesen Schlüssel kennen die Clientgerätetreiber, und theoretisch kann dieser Schlüssel extrahiert werden. Dadurch kann ein Angreifer mithilfe von ARP einen «Mann in der Mitte» -Angriff durchführen. Dazu kann er die MAC-Adresse des Standardgateways durch die Adresse seiner Maschine ersetzen. Im Ergebnis
der gesamte Datenverkehr wird zuerst an sein Auto geleitet und danach an das Internet übertragen. Sie können sich dagegen mit Hilfe von IPS-Systemen schützen. Viele Wireless-Router verfügen außerdem über einen Modus, mit dem Sie verhindern können, dass Datenverkehr zwischen Benutzern direkt ausgetauscht wird (analog zum privaten VLAN). Wenn Sie diesen Modus verwenden, wird der Zugriffspunkt zwar die MAC-Adresse des Standardgateways ersetzen, der Zugriffspunkt wird jedoch keinen Datenverkehr verpassen, wodurch das drahtlose Netzwerk nicht funktioniert. Dies ist jedoch besser als das Abhören des Datenverkehrs durch einen Angreifer.
Petukhov Oleg, avocat en droit international et protection des renseignements personnels, spécialiste de l'information sécurité, protection de l'information et des données personnelles.
Canal Telegram: https://t.me/protecciondelainformacion
Groupe au Télégramme: https://t.me/securiteinformatique2
Site: https://legascom.ru
Courriel: online@legascom.ru
#sécuritéinformations #informationsécurité