Netz-Verwundbarkeit-Analyse

Share

|

Die Verwundbarkeitanalyse, manchmal genannt Verwundbarkeitabtastung, ist die Tat der Bestimmung, welche Sicherheit Bohrungen und Verwundbarkeit auf das Zielnetz anwendbar sein kann. Um dies zu tun, überprüfen wir gekennzeichnete Maschinen innerhalb des Zielnetzes um alle zu kennzeichnen geöffnete Tore und die Betriebssysteme und die Anwendungen, welche die Wirte laufen lassen (einschließlich Versionsnummer, Fleckenniveau und Service-Satz). Zusätzlich vergleichen wir diese Informationen mit einigen Internet-Verwundbarkeitdatenbanken, um zu ermitteln, welche gegenwärtige Verwundbarkeit und Großtaten auf das Zielnetz anwendbar sein können.

Der Zeitbegrenzung können uns gegeben darunter während einer Verpflichtung sein und die Zahl Wirten innerhalb des Bereichs, zuerst zu konzentrieren kann notwendig sein, auf kritische Wirte. Jedoch wenn der Zielliste irgendwie unten muß schneiden getan werden, es wird getan normalerweise während des folgenden Schrittes.

Anmerkung: Zu ziehen ist wichtig, in Erwägung, die die Pingresultate nicht maßgebend zeigen, daß ein Wirt unten ist. Im Licht dieses wenn es irgendeinen Zweifel gibt, ob das target(s) effektiv vor Ping oder sind wirklich unten gefiltert oder geschützt werden, empfehlen uns wir, mit einem Portscan fortzufahren. Halten Sie die Zahl Toren in solchen Scans unten, die diese Scans neigen, zu nehmen einer längeren Zeitmenge. Wenn es notwendig ist, viele Tore auf unempfänglichen Wirten abzulichten, ist es am besten, dies über Nacht zu tun.

Am Ende dieses Stadiums, mögen wir in der LageSEIN, alle Zielwirte (lebendig und anders) in einer Tabelle zusammen mit dem OS, dem IP address, den laufenden Anwendungen, allen möglichen vorhandenen Fahne Informationen und bekannter Verwundbarkeit zu dokumentieren. Diese Informationen sind während des Ausnutzungstadiums und für Darstellung zum Klienten nützlich, damit der Klient der Verwundbarkeit im Netz bewußt wird und die Menge von Informationen, die ein Außenseiter vor dem Vergleichen des Netzes erfassen kann.

OS Kennzeichnung

Indem wir das Betriebssystem kennzeichnen, können wir versuchen, Dienstleistungen vorauszusagen, die auf den Wirt laufen und unsere Torscans herstellen können, die auf diesen Informationen basieren. Nmap, das führende Werkzeug, das benutzt wird, um OS Kennzeichnung durchzuführen, tut dies, indem er die Antwort des Stapels TCP des Ziels zu den Paketen analysiert, die Nmap aussendet. Verschiedenes RFCs regeln, wie der TCP Stapel reagieren sollte, wenn er gefragt wird. Jedoch werden Implementierung Details den Verkäufer überlassen. Folglich erlauben Unterschiede bezüglich, wie Verkäufer das RFCs erfüllen, daß sie gekennzeichnet werden. Während diese Methode nicht harmlos ist, ist Abfragung OS Nmaps durch Industrie ziemlich zuverlässig und gut angenommen. Unterzeichnung OS eines Computers zu ändern ist möglich aber nicht trivial, und es ist nicht unsere Erfahrung gewesen, daß Firmen dieses Niveau der Maskierung durchführen.

OS Kennzeichnung geht ein langer Weg, wenn sie Netzaufzählung und Verwundbarkeitabtastung durchführt. Sobald wir das OS einer bestimmten Maschine kennen, können wir anfangen, eine Liste der möglichen Bohrungen und der Verwundbarkeit von—eigener Web site des Verkäufers häufig zu erzeugen. Z.B. sobald wir wissen, ist eine Maschine Windows NT, wir können überprüfen, ob TCP Tor 139 und einen ungültigen Anschluß zum IP Anteil versuchen geöffnet ist. Wenn wir einen UNIX Kasten kennzeichnen, können wir nach den X Windows Toren (6000 6063–) suchen.

Portabtastung

Torscans versuchen, festzustellen, ob ein hörender Service auf einem gegebenen Tor hört. Es gibt viele Schwankungen des Durchführens eines Portscans. Wir beschreiben die, die für uns das nützlichste gewesen sind. Abhängig von dem Niveau der Heimlichkeit möchten Sie beibehalten, gibt es eine Vielzahl der Scan-Arten, die Sie benutzen können, TCP SYN Scan ist das populärste der stealthy Portscans.

Ein Scan aller möglichen Tore (1–65535) ist das kompletteste und bietet die meisten Informationen über das Ziel an, aber er auch ist das zeitraubendste und maximiert die Wahrscheinlichkeiten von durch das Ziel gekennzeichnet werden. Solch ein Portscan wird normalerweise nur von den Anfängerhäckern durchgeführt. Wenn Sie wählen, um alle Tore abzulichten, empfehlen wir stark, daß der Scan über einigen Lernabschnitten durchgeführt wird, jedes mit einer kleineren Portstrecke. Häufig führen wir einen kompletten Scan am Ende der Verpflichtung durch, wenn Heimlichkeit nicht mehr notwendig ist. Dieses hilft, alle mögliche Dienstleistungen zu kennzeichnen, die wir während der chirurgischen Portscans vermißt haben können.

Wenn Sie nicht versuchen, Abfragung zu vermeiden und gerechtes Versuchen sind, Schwächen im Zielsystem zu kennzeichnen (zum Beispiel, wenn Personal Sicherheit Ihres Klienten Ihre prüfenbemühungen des Durchgriffes völlig berücksichtigt), dann gibt es kein Problem mit alle Tore sofort ablichten. Jedoch dauert es eine lange Zeit, Informationen zurückzubringen. Der Test wird leistungsfähiger, wenn Sie Resultate beim neue Systeme gleichzeitig ablichten wiederholen können.

Glücklicherweise gibt es einige Alternativen zu einem vollen Portscan. Wir können an den grundlegenden bekannten Toren, 1 1024–haften und fügen einige andere Tore, die wir wissen, um zum Klienten relevant zu sein, wie den X Windows Toren (6000–6063) auf einer UNIX Maschine hinzu. Das Wiederholen der /etc/services Akte auf einer UNIX Maschine liefert auch eine gute Auflistung der Tore, um abzulichten. Wir können eine Liste der Tore auch erstellen, die Umfeldaufgaben mit bekannter Verwundbarkeit wir wünschen können, um, wie ftp, telnet und RealSecure (Tore 21, 23 und 2998 auszunutzen, beziehungsweise). Die meisten Scanner geben Ihnen die Fähigkeit, TCP und UDP Tore abzulichten. Häufig werden UDP Tore einfach ignoriert, da sie weniger allgemein sind, aber sie können gerecht sein, wie verletzbar. Da UDP ein ohne Verbindungprotokoll ist, gelten UDP Torscans im Allgemeinen als weniger zuverlässig.

Schließlich Sie sollten eine Portliste entwickeln, daß Sie bequemes Verwenden in jedem möglichem gegebenen Netz und die Liste ändern, um das bestimmte Netz zu passen sind, das Sie ablichten werden. Spezifisch erstellen Sie eine generische Liste, und entfernen Sie NT-SPEZIFISCHE Tore für ein UNIX Netz oder umgekehrt. Nmap wird mit einer Portliste einiger bekannter Tore verteilt und kann als Ausgangspunkt für solch eine generische Liste dienen. dieser Liste fügen Sie Tore jede Zeit hinzu, Sie ein anderes, das mit einer Anwendung ist, die eine Verwundbarkeit kennzeichnet, die, Sie bewußt sind oder eine Sicherheit Bohrung finden, Sie ausnutzen können. Entfernen Sie Tore, die nicht mit Schwächen, Verwundbarkeit oder Informationen Versammlung zusammenhängen. Während das Beibehalten solch einer Liste die ununterbrochene Prüfung verlangt, mehr Portdie abtastung Sie, das relevanter die Informationen, Ihre eigene Liste zurückbringt.

Wie vorher, auf UNIX Klimas, Nmap ist das Werkzeug unserer Wahl für Portabtastung erwähnt und gilt, um der Premierportscanner zu sein als vorhanden (sowie ein zuverlässiges OS Abfragung Werkzeug). SuperScan und 7. Bereich sind, wirkungsvolle Portscanner für das NT Klima aber schließen nicht OS Abfragung ein. (wie erwähnt, ist ein Nmap für das Windows Klima unter Entwicklung.)

Portscanner im Allgemeinen Pingwirte, bevor ablichtend und lichten nur jene Wirte ab, die auf Pings reagieren. Wenn es irgendeinen Zweifel hinsichtlich der Gültigkeit der Pingresultate gibt, dann stellen Sie die Portscanner ein, um die Wirte, die ping abzulichten unempfänglich sind. Als Folge dauert die Portabtastung mehr Zeit.

Die Legalität der Portabtastung ist lang ein Thema der Diskussion in der Sicherheit Gemeinschaft gewesen. Einige Fachleute haben angezeigt, daß Portabtastung nicht mehr als ist, fahrend hinunter eine Straße, die Häuser betrachtet und welche Fenster, beachtet, geöffnet sind. Jedoch ist Portabtastung ohne Erlaubnis offenbar unmoralisch und wird immer als mögliche Einleitung zu einem Angriff alarmierend sein.

Anwendung Aufzählung

Von den Resultaten der Portabtastung, gewinnen wir eine Liste der geöffneten Tore auf den Zielmaschinen. Ein geöffnetes Tor nicht völlig zeigt an, was hörender Service aktiv sein kann. Tore unter 1024 sind verschiedenen Dienstleistungen zugewiesen worden und wenn diese geöffnet gefunden werden, zeigen sie im Allgemeinen den zugewiesenen Service an. Zusätzlich sind andere Anwendungen auf bestimmte Tore für so lang, daß sie der de Facto Standard geworden sind, wie Tor 65301 für pcAnywhere und 26000 für Beben laufen gelassen worden. Selbstverständlich können Systemverwalter das Tor ändern, das ein Service an läuft, um “es zu verstecken” (ein Beispiel der Sicherheit durch Obscurity). Folglich versuchen wir, an das geöffnete Tor anzuschließen und eine Fahne zu ergreifen, um den Service-Betrieb zu überprüfen.

Wissend welche Anwendungen das Ziel bewirtet, laufen geht ein langer Weg in Richtung zum Durchführen von von Verwundbarkeitanalyse. Gerade wie mit dem Kennen des OSS, können wir die Liste von Anwendungen durch das Internet laufen lassen und eine Liste der bekannten Verwundbarkeit und der Großtaten für diese Anwendungen,—häufig von den Verkäufern selbst wieder finden.

Anwendung Aufzählung bezieht auch Fahne das Ergreifen mit ein. Einige Anwendungen (einschließlich telnet, ftp, HTTP, SNMP und ein Wirt von anderen) kennzeichnen sich und ihre Version auf ihrem Schirm Herausforderung des Benutzers name/password. Diese Informationen werden eine Fahne genannt und sind sehr nützlich, wenn man laufende Anwendungen kennzeichnet. Wir notieren im Allgemeinen alle mögliche Fahnen, die wir herüber während unserer Durchgriffprüfung kommen. Dieses kann mit vielen Anwendungen, einschließlich netcat getan werden, das entweder auf den UNIX oder Windows Befehl Linie läuft; telnet; und was läuft, ein Windows GUI Werkzeug.

Ein Nutzen von was läuft, ist, daß die Fahne in ein Fenster gelegt wird, von dem sie in eine Akte kopiert werden oder redigiert werden kann.

5.2.4 Internet-Forschung

Sobald die Liste von Anwendungen bekannt, ist der folgende Schritt, die Liste zu erforschen und festzustellen, welche Verwundbarkeit besteht. Während Sie Eindringprüfungen durchführen, werden Sie mit bestimmter populärer Verwundbarkeit vertraut und können schnell feststellen, ob eine Anwendung verletzbar ist. Jedoch zu halten ist wichtig, im Verstand, daß neue Verwundbarkeit auf einer täglichen Grundlage bekanntgegeben wird, und Sie sollten Ihre Lieblingsverwundbarkeitdatenbanken auf alle Anwendungen, Dienstleistungen und Betriebssysteme überprüfen, die Sie auf jeder Verpflichtung finden.

Die populären Internet-Aufstellungsorte mit Verwundbarkeitdatenbanken sind die Bugtraq Listen, das Packetstorm (www.packetstormsecurity.org) und das SecurityFocus (www.securityfocus.com). Sie werden mit diesen und anderen Aufstellungsorten bequem, die die Fähigkeit anbieten, nach Verwundbarkeit schnell zu suchen. Obwohl es irgendeine Menge Verdopplung unter ihr gibt, können Sie mehrfache Aufstellungsorte überprüfen wünschen, da keiner Behälter völlig komplett ist. Jeder Aufstellungsort hat sein eigenes Netz der Benutzer und Verfechter, die die Datenbanken aktualisieren.

Sobald wir Verwundbarkeit gekennzeichnet und sie in unserer Tabelle dokumentiert haben, downloaden wir den Großtatcode (wenn anwendbar) zum Gebrauch in der folgenden Phase der Eindringprüfung.