ITsäkerhet

Penetrationstester och säkerhet i nätverket

Hand on a laptop working at cyber space table

Det är vanligt att de som övervakar systemen har övervakningssystem och trafikregistreringssystem för att skydda företag och kontrollera vad som händer i datanäten.

Vad är penetrationstester?

Ett penetrationstest, även känt som pen-test, är en teknik som används för att utvärdera säkerheten i en IT-miljö, inklusive dess system, nätverk och applikationer genom att simulera ett angrepp från illasinnade utomstående. Syftet med ett penetrationstest är att identifiera sårbarheter och hitta sätt att exploatera dem, så att organisationen kan ta itu med dem och förbättra sin säkerhet.

Med penetrationstester och sårbarhetsbedömningar testar man av olika nätverk och servrar. Hackare blir mer och mer sofistikerade nu och använder den senaste tekniken i för att ta sig in på företagsnätverk vilket inkluderar virus, maskar och trojaner. Det är därför det är viktigt att regelbundet göra penetrationstester för att skydda nätverket.

Utbildning i Ethical hacking – lär dig penetrationstestning på 15 timmar.

Hur görs penetrationstester?

Vid penetrationstester letar man efter sårbarheter i det lokala datornätverket.  Penetrationstest kan genomföras på flera olika sätt, men den vanligaste metoden är att använda verktyg för automatisk sårbarhetsupptäckt och manuell undersökning. En pen-test kan också inkludera socialengineering, där den som attackerar försöker övertala anställda att lämna ut känslig information, och phishingangrepp, där användare luras att lämna ut information till en attacker som poserar som en pålitlig källa.

Inom penetrationstester finns det whitebox-tester där man använder kunskapen om internsystemet i målsystemet för att utarbeta testfallen. Vid applikationspenetrationstester tillhandahålls applikationens källkod vanligtvis tillsammans med designinformation, intervjuer med utvecklare och analytiker. Vid infrastrukturpenetrationstester har testarna tillgång till nätverkskartor och infrastrukturdetaljer. Målet med ett penetrationstest med whitebox är att ge så mycket information som möjligt till penetrationstestare som har insiderförståelse för systemet och utarbetar testet utifrån det. Vid blackbox tester är angriparen oförberedd vilket simulerar ett realistiskt scenario.
Det är inte ovanligt att beställare gör en ”black box” beställning där man bara testar att göra intrång mot en viss server eller adressrymd och det är självklart att man ska skydda sig med olika typer av brandväggar.

Föredrag på Def Con 2019 om Buttplug penetrations testing från @smealum .

Ett annat centralt begrepp är reverse shell. Reverse Shell är när en maskin ansluter till en annan maskin men den initierande maskinen vidarebefordrar sin shell till destinationen. Detta är vanligt i Penetration Testing Environment och kan indikera att en attack är i rörelse. Det är viktigt att ta Reverse Shell på allvar eftersom det ger angriparen en interaktiv shell på en maskin som de sedan kan använda för att montera en attack. Att få Reverse Shell kan betraktas som att få en fotfäste. Encrypted Shell krypterar kommunikationen för att hindra mellanliggande sniffers från att avkoda vad som försöks uppnå på målmaskinen. Källa

Vilka penetration testing tools används

Det finns mängder av olika verktyg för att köra penetrationstester och det är ett område där det kontinuerligt kommer upp nya verktyg kring penetrationstester och sårbarhetsanalyser.

Bland det första verktyget som dök upp på 90-talet skapades av Farmer och Venema och kallades för SATAN (Security Administration Tool for Analyzing Networks) och användes för att hacka sin egna webbplats eller också anlitade man hackers som försökte ta sig in på webbplatsen.

Satan ersattes så småningom med verktyg som Nessus, Nikto, SARA och SAINT.  Många använder NMAP för att skanna portar och som är ett desktop verktyg. Andra verktyg är Penetrator sårbarhetsskanning som kan utföra nätverkssäkerhetsgranskningar och upptäcka sårbarheter i ditt wireless network.

Nätverksskannrar använder databaser med kända sårbarheter för att kontrollera allt som kan vara en risk i ditt datasystem och eftersom nya sårbarheter upptäcks hela tiden är det viktigt att uppdatera databasen regelbundet.

Penetrationstestning med Rasberry Pi (W42)

Det går att använda Rasberry Pi och annan hårdvara som penetration testing platform (Kali och Arch Linux) och network security device (Firewall och IDS system med Arch Linux). Human Interface attacker (HID) använder Arduino och skräddarsydd WiFi  med NodeMCU Keylogger attack i Arduino. Exempel på verktyg som kan användas:

Port skanning

En port scanner är en snabb metod både av systemadministratörer och hackare att undersöka vilka typer av system som körs på ditt nätverk, och det är en av de vanligaste metoderna att säkra upp men också hacka sig in på nätverket. Bestäm vad som ska vara tillgängliga på ditt nätverk utifrån Internet, och använd kombinationer av brandväggsregler för att stänga ute och säkra upp allt som inte hör hemma på nätverket.

Ett relativt nytt verktyg för att skanna portar är Scanplanner som är ett webbaserat verktyg för att göra penetrationstester och som man kan nå via proxyservrar.

Websäkerhet

OWASP står för Open Web Application Security Project och är ett projekt för att öka upp säkerheten på webbplattformar. Det finns idag flera olika hot mot en webbplats och det är vanligt att man använder säkerhetsscanners i kombination med manuella tester med hackers som Pentest.

OWASP Nettacker projekt har skapas för att automatisera informationsinsamling, sårbarhetsskanning och så småningom generera en rapport för nätverk, inklusive tjänster, buggar, sårbarheter, felkonfigurationer och annan information.

Denna programvara kommer att använda TCP SYN, ACK, ICMP och många andra protokoll för att upptäcka och kringgå Brandvägg/IDS/IPS-enheter. Genom att utnyttja en unik metod i OWASP Nettacker för att upptäcka skyddade tjänster och enheter som SCADA.

Funktionalitet
‣ Framtida IoT-skanner
‣ Python multitrådar & multi process Network information insamling sårbarhets skanner
‣ Tjänst och anordning för att upptäckta (SCADA, inskränkt områdena, rutt, HTTP servarna, logik och Autentications, ingen-katalogiserat HTTP, Paradoxen system, kamera, brandväggar, UTM, WebMails, VPN, RDP, SSH, FTP, TELNET tjänsten, genom fullmakt servarna och många anordningen lik Juniper, Cisco, switchar och många fler…)
‣ Analys av nätverkstjänster
‣ Tjänster Brute Force-testning
‣ Tjänster sårbarhets testning
‣ HTTP/HTTPS genomsökning, fuzzing, informationsinsamling

Github länk: https://lnkd.in/emA42n4

Kill chain

Kill chain är en modell som kommer från det militära för att identifiera och förebygga dataintrång och förstå själva processen. Modellen identifierar aktiviteter och faser för att attacken ska kunna uppnå sitt mål. Genom att stoppa attacken i något skede bryter man av hotet från attacken.

LDAP och prestandatester med LDAPPER

Secure LDAP (Lightweight Directory Access Protocol) och LDAP Channel Binding är teknologier som används för att öka säkerheten i LDAP-kommunikationer. pentesting med Secure LDAP och LDAP Channel Binding är målet att bedöma säkerheten i dessa implementationer. Detta kan inkludera att testa för sårbarheter i SSL/TLS-implementationen, kontrollera korrekt konfiguration av LDAP-servrar, säkerställa att kanalbindningen är korrekt implementerad och effektiv, samt identifiera eventuella svagheter som kan utnyttjas av angripare.

LDAPPER är ett verktyg som kan användas för att genomföra pentesting och prestandatester på LDAP (Lightweight Directory Access Protocol)-servrar. Det är ett verktyg som är designat för att skicka anpassade LDAP-queries och hantera stora mängder LDAP-anrop för att testa prestanda, belastning och stress på LDAP-servrar.

LDAPPER kan testa serverns belastningskapacitet: Genom att skicka ett stort antal förfrågningar eller komplext formulerade queries, kan man observera hur servern hanterar hög belastning, vilket är viktigt ur ett säkerhetsperspektiv. Genom att överbelasta servern med förfrågningar kan man upptäcka potentiella prestandaproblem eller sårbarheter som kan utnyttjas av illasinnade användare.

SQL injektions

Webbservrar är ofta sårbara för sql-injektions vilket kan vara bra att testa. Andra vanliga säkerhetshot är cross site scripting, cross site injection, felaktiga konfigurationer, broken authentication eller att man använder svag kryptering.

SEO-bevakning av länkar

Något som har ökat det senaste året är negativ seo dvs att man skickar negativa länkar mot en viss webbplats vilket innebär att synligheten på Google minskar betydligt. Många företag missar att bevaka de inkommande länkarna vilket kan innebära stora risker för företag som har sin huvudsakliga verksamhet på nätet. Det finns företag som skickar länkar från sajter som har virus på sig eller som har en stor mängd med samma ankartext från sajter med svag trovärdighet. Resultatet kan vara förödande.

Det finns olika typer av verktyg beroende på vad du ska testa:

Kolla om din email har blivit hackad: Det finns en tjänst Haveibeenpwned där du kan fylla i din email för att se ifall den förekommer i något hack eller dataintrång.
https://haveibeenpwned.com

Vid bankhacking har man använt penetrationsverktyg som PowerShell och Mimikatz och kombinerat det med malware verktyg som Adwind.

Powershell inom cyber security området har använts för att hacka banker.
Mimikatz hur hackers kan få adminrättigheter och lösenord i Windows.

Exploits:

Webb

Övervakning

Ett övervakningsverktyg är Nagios som är gratis att använda och som kan ge dig alerts vad som händer med en webbplats.

Om du kör WordPress så finns det exempelvis WP-scan för att kolla av din sajt och olika verktyg för att få automatisk uppdatering av plugins och teman.

Det är viktigt att att penetrationstester bör göras med tillstånd från den organisation som äger IT-miljön, eftersom en obehörig penetrationstest kan räknas som brottslig verksamhet.

Läs mer om olika verktyg:
http://sectools.org/tag/new/

Exit mobile version