AVANTEC Know-how

Wie Hacker vorgehen, Teil 3

Schwachpunkt finden und System angreifen

Nachdem der Hacker nun die Netzwerktopologie kennt, die Dienste sowie das OS, wird er versuchen, Löcher zu finden. Erst bei dieser Stufe werden also aktive Schritte gegen das System eingeleitet. Zu diesen Löchern bzw. Schwachpunkten gehören schwach geschützte Benutzer-Accounts, Shares oder andere Netzwerkressourcen und fehlerhafte Applikationen. Infolge der hinlänglich bekannten Löcher in vielen Applikationen und in den verschiedenen Windows-Betriebssystemen ist es für einen Hacker oft ein Leichtes, konkrete Attacken durchzuführen.

barbedwiretext

Sehr hilfreich für Windows-Hacker sind die Applikationen der Windows-Resource-Kits wie net view oder nbtstat. Mit dem Befehl net view /domain erhält ein Eindringling eine Liste aller Domains. Danach reicht ein net view /domain:domain_name, um eine Liste aller Server und Workstations zu erhalten. Nun kann versucht werden, zu jeder dieser Maschinen eine Null-Session aufzubauen: net use \\machine_name\ipc$ "" /user:"", dann lässt sich mit net view \\machine_name eine Liste der Shares anzeigen. Wenn nun irgendwo Administrator-Accounts ohne Passwort vorhanden sind, so findet man diese mit net use \\machine_name\c$ "" /user:administrator.

Ein anderes Tool ist das frei verfügbare nbtscan: mit einem nbtscan -r 192.168.0.0/24 lässt sich beispielsweise ein C-Netzwerk scannen, wobei alle gefundenen Ressourcen folgendermassen angezeigt werden: IP-Adresse, NetBIOS-Name, Server, User und Mac-Adresse. Alle diese Tools sind natürlich nur einfachste Hilfsmittel für Script-Kiddies. Hacker mit ernsthafteren Absichten verfügen über sehr viel mehr Erfahrung und leistungsfähigere Tools, um auch in besser geschützten Umgebungen teilweise ihr Ziel zu erreichen.

Als Gegenmassnahmen sollten TCP und UDP Ports 135-139 und 445 auf der Firewall blockiert werden. Im Intranet sind diese Tools allerdings immer noch anwendbar, ausser es wird intern auf allen Clients eine Desktop-Firewall eingesetzt wie beispielsweise der zentral verwaltbare Check Point SecureClient. Zudem empfiehlt sich eine Netzwerksegmentierung, sodass sich besonders heikle Computer (Buchhaltung etc.) in einer eigenen Netzwerkzone hinter einer Firewall befinden. Auch andere Segmente wie beispielsweise Schulungsräume oder Sitzungszimmer sollten sich in einem abgetrennten Netzwerksegment befinden, damit externe Besucher keine entsprechenden Attacken durchführen können.

Der Zielrechner wird oft auch nicht direkt angegriffen, sondern über Umwege: Da wird z.B. der IIS-Webserver in der DMZ gehackt, von wo aus per Filesharing ein interner Rechner angegriffen wird, um erst von dort den Zielrechner, z.B. eine interne DB, anzugreifen. Gegenmassnahmen: Entsprechende Ports blockieren und nicht benötigte Windows-Services deaktivieren (Wins Client, File and Print Sharing, SNMP etc.) und natürlich aktuellste Servicepacks einspielen.

Zusammenfassend kann gesagt werden, dass einerseits die korrekte Konfiguration äusserts wichtig ist (z.B. Firewall-Policy) und andererseits die Aktualität der Software mit den neusten Patches. Es braucht aber auch professionelle Beratung, um eine optimale Security-Lösung in Kenntnis der gesamten Netzwerkumgebung umsetzen zu können, von der Firewall über Content Security bis zu Intrusion Prevention, Verschlüsselung und sicherer Authentisierung.


Lesen Sie weitere Artikel zum Vorgehen von Hackern im Bereich Know-how.

 

 

© 2004 AVANTEC AG - Verwendung der Texte nur mit ausdrücklicher Genehmigung der AVANTEC AG.