Návrh postupu pro ověření odolnosti podnikové LAN proti síťovým útokům

Mendelova univerzita v Brně Provozně ekonomická fakulta

Návrh postupu pro ověření odolnosti podnikové LAN proti síťovým útokům Bakalářská práce

Vedoucí práce: Ing. Ludmila Kunderová

Lukáš Vaščák

Rád bych touto cestou poděkoval paní Ing. Ludmile Kunderové vedoucí bakalářské práce, za rady, cenné připomínky a trpělivost při vytváření této práce.

Prohlašuji, že jsem tuto bakalářskou práci vypracoval samostatně s použitím zdrojů, které uvádím na konci práce v seznamu použité literatury. V Brně dne 22. května 2012

__________________

Abstract Lukáš Vaščák, Suggested procedure for check corporate LAN resistance.against the network attacks. Bachelor thesis. Brno: MU, 2012. This thesis deals with penetration tests, their methods and possibilities of resistance testing and security of enterprise networks. Describbes the best known types of attacks, their basic principle and protection of corporate network elements. It describes the tools used for individual tests, their results and the design procedure for use in real operating conditions. Keywords Penetration tests, network security, company LAN, Core Impact Professional, NMap, network security scan, network resistant.

Abstrakt Lukáš Vaščák, Návrh postupu pro ověření odolnosti podnikové LAN proti síťovým útokům. Bakalářská práce. Brno: MU v Brně, 2012. Bakalářská práce se zabývá penetračními testy, jejich metodami a možnostmi celkového testování odolnosti a bezpečnosti podnikových sítí. Popisuje nejznámější typy útoků, jejich princip a základní prvky ochrany firemní sítě. Jsou zde popsány použité nástroje pro jednotlivé testy, jejich výsledky a návrh celého postupu pro reálné využití v provozních podmínkách. Klíčová slova Penetrační testy, bezpečnost sítí, podnikové LAN sítě, Core Impact Professional, NMap, bezpečnostní scan sítě, odolnost sítě.

Obsah

9

Obsah 1

2

Úvod a cíl práce 1.1

Úvod ......................................................................................................... 13

1.2

Cíl práce ................................................................................................... 13

Bezpečnost podnikových Lan sítí

14

2.1

Základní pojmy z oblasti bezpečnosti LAN ............................................. 14

2.2

Firewall .................................................................................................... 15

2.2.1

3

13

Rozdělení firewallů .......................................................................... 15

2.3

IDS ...........................................................................................................18

2.4

Border Router (hraniční směrovač) ........................................................ 19

2.5

Překlad síťových adres NAT .................................................................... 19

2.6

Další prvky bezpečnosti ........................................................................... 21

Penetrační testy

23

3.1

Pentesting ............................................................................................... 23

3.2

Pojem Hacking ........................................................................................ 24

3.3

Metodika penetračních testů .................................................................. 24

3.4

Důvody pro pentesting ........................................................................... 27

3.5

Klasifikace bezpečnostních atributů....................................................... 27

3.6

Typy škod ................................................................................................ 28

3.7

Klasifikace útoků..................................................................................... 28

3.8

CVE (Common Vulnerabilities and Exposure) ...................................... 30

3.9

Sociální inženýrství .................................................................................. 31

3.10 Reverzní sociální inženýrství .................................................................. 33 3.11 Trojany, viry a Backdoor aplikace .......................................................... 33 3.12 DoS útoky (Denial – of – Service) .......................................................... 34 3.12.1

Typy DoS útoků ............................................................................... 36

3.13 Buffer Overflows (přetečení zásobníku) ..................................................37 3.14 Session hijacking .....................................................................................37 3.15 Password Cracking (Prolomení hesla) ................................................... 38

Obsah

3.16 Útoky na WEB .........................................................................................39 3.17 Penetrační test ........................................................................................ 40 4

Programové vybavení pro testování bezpečnosti 4.1

Webové aplikace pro sběr dat .................................................................42

4.2

Nmap (Network Mapper) ....................................................................... 44

4.2.1

5

42

Typy scanů ...................................................................................... 44

4.3

GFI LANguard ........................................................................................ 49

4.4

NetScan .................................................................................................... 51

4.5

Core Impact Professional ........................................................................ 52

Postup penetračního testování

55

5.1

Smlouva a určení rozsahu a tipu testů .................................................... 55

5.2

Shromažďování informací ....................................................................... 55

5.3

Topologie sítě a síťová zařízení ................................................................ 57

5.4

Sken portů, běžících služeb a identifikace operačního systému ............. 57

5.5

Audit softwaru a aktualizací ................................................................... 60

5.6

Ověření bezpečností politiky hesel uživatelů .......................................... 61

5.7

Core Impact a Metasploit ........................................................................62

5.8

Nalezení potenciálních zranitelností podle běžících služeb a verze OS .63

5.9

Systémy zranitelné vůči DoS .................................................................. 64

5.10 Zakrytí stop po penetračních testech ..................................................... 64 5.11 Zpráva a výsledky ................................................................................... 64 6

Závěr

68

7

Literatura

70

Seznam obrázků

11

Seznam obrázků Obr. 1

Firewall............................................................................................. 15

Obr. 2 Nastavení paketového filtru (Kerio Personal Firewall) ................... 16 Obr. 3 Princip proxy systému .................................................................... 17 Obr. 4 IDS v podnikové síti .......................................................................18 Obr. 5 Hraniční směrovač oddělující vnitřní síť od Internetu ................. 19 Obr. 6 Překlad síťových adres (NAT) ....................................................... 20 Obr. 11 SYN scan ........................................................................................ 45 Obr. 12 TCP connect scan ............................................................................ 46 Obr. 13 NULL scan....................................................................................... 46 Obr. 14 FIN scan .......................................................................................... 47 Obr. 15 Pracovní prostředí GFI LanGuard 2011 ........................................ 50 Obr. 16 Sken podnikové sítě a hlavní okno NetScanu................................. 52 Obr. 17 Připojení ke vzdálené ploše přes webový prohlížeč ....................... 60 Obr. 18 Test lokálního PC ............................................................................. 61 Obr. 19 GUI Armitage pro Metasploit ......................................................... 63 Obr. 20 Graf výsledků testu ......................................................................... 66 Obr. 21 DNS záznam .....................................................................................75 Obr. 22 Scan sítě ........................................................................................... 77

Seznam tabulek

Seznam tabulek Tab. 1

Rozsah vnitřních adres

20

Tab. 2

Otevřené porty a běžící služby serveru

59

Tab. 3

Údaje o testu

64

Tab. 4

Výsledek testu

65

Tab. 5

použitý software

67

Úvod a cíl práce

13

1 Úvod a cíl práce 1.1

Úvod

Podnikové LAN sítě nebo-li Local Area Network se v posledních letech staly nedílnou součástí firem, bez kterých by dnes asi těžko fungovali a to bez ohledu na velikost podniku nebo zaměření jejich výrobních kapacit. Důležitým aspektem proč došlo k tak velkému rozvoji těchto sítí je hlavně sdílení dat, jejich možnosti uložení a zpracování, ale také rychlejší komunikace jak uvnitř podniku, tak se zákazníky a dalšími subjekty mimo firmu díky připojení k internetu. Právě internet se stal hlavním bodem problémů s jeho rychlým rozvojem a možnostmi služeb, které poskytuje. Terčem se stala právě data, která jsou zde přenášena. Vznik nových virů, trojských koní a dalších škodlivých aplikací, které se snaží tyto data odcizit, způsobil, že bezpečnost informačních systémů a jejich testování odolnosti se dostali na popředí priorit mnoha firem. Primárním cílem je zabezpečit svoje systémy a data proti možnosti odcizení, které často vedou k velkým finančním ztrátám. Proto je důležité bezpečnosti a následným penetračním testům nevěnovat malou pozornost a snažit se zabránit jakémukoliv napadení nebo mu lépe předcházet.

1.2 Cíl práce Cílem této práce je seznámit se z bezpečností podnikových LAN sítí a vytvoření určitého postupu pro otestování tohoto zabezpečení, ať už se jedná o servery, klientské počítače nebo jednotlivé komponenty v lokální počítačové síti.

14

Bezpečnost podnikových LAN sítí

2 Bezpečnost podnikových LAN sítí Nástrojů na ochranu bezpečnosti sítě je dnes mnoho a jejich výběr předurčuje stanovení bezpečnostních kritérií. Rychlý rozvoj technologií a především připojení privátní podnikové sítě do veřejné sítě internet znamená nové hrozby a rizika. Nevýhodou bezpečnostní politiky je, že stojí peníze. Její přínos je pak možné vyčíslit až při vzniku nějakých škod, kde se teprve ukáže míra zabezpečení a správnost jejího návrhu.

2.1 Základní pojmy z oblasti bezpečnosti LAN Model, na něž se budou pojmy vztahovat, se skládá ze tří komponent, které se souhrnně nazývají aktiva. Za čtvrtou komponentu se považují lidé (uživatelé, zaměstnanci), ale jejich přímá činnost na bezpečnosti IT se týká v malém měřítku.  hardware - procesor, paměti, telekomunikace  software - operační systém, aplikační vybavení  data - databáze, vstupní a výstupní data (Hanáček, Staudek, 2000) 1.

Autorizace

2.

Určuje, zda je subjekt pro danou činnost důvěryhodný. Autentizace Je proces ověřování pravosti identity ať už subjektu tak i dále například procesu, systému.

3.

Zranitelné místo Je slabina systému, kterou může útočník zneužít k neautorizovanému přístupu a způsobení škod nebo ztrát. Podle podstaty zranitelnosti se zranitelnost dále dělí na fyzickou, přírodní, v hardwaru nebo softwaru, fyzikální, v lidském faktoru (varianta s nejčastější a největší zranitelnosti).

4.

Hrozba Pod pojmem hrozba se skrývá zranitelné místo, které vytváří nebezpečí možného útoku a průniku do systému. Hrozbou může být jakákoliv osoba, objekt nebo událost, která by mohla potencionálně poškodit síť. Může se jednat o úmyslné jednání s cílem poškodit danou síť nebo neúmyslné, které je nejčastěji způsobeno lidskou chybou.

5.

Útok Je považována taková akce, která úmyslně využívá zranitelného místa ke způsobení škod nebo neúmyslné akce, které ve výsledku působí škody.


15

6.

Útočník

7.

Je osoba využívající zranitelná místa k útokům. Útočník může provádět akce z vnějšku (vzdálený přístup) tak i z vnitřku organizace. Riziko Je pravděpodobnost využití zranitelného místa, pokud existuje nějaká hrozba. (Hanáček, Staudek, 2000)

2.2 Firewall Je systém (zpravidla počítač), který je umístěn mezi dvěma nebo i více sítěmi, viz Obrázek 2 - Firewall, a který monitoruje, zaznamenává provoz mezi jednotlivými sítěmi a podle definovaných bezpečnostních pravidel daných bezpečnostní politikou dané organizace, spravuje veškeré informace proudící oběma směry. Běžné použití firewallu je na hranici lokální sítě a internetu neboť zde chceme zabránit neoprávněnému přístupu nebo komunikaci. Firewall vlastně filtruje síťový provoz podle stanovených pravidel, která jsou nastavena v jeho konfiguraci. (4safety, 2011)

Obr. 1 Firewall Dostupné na webových stránkách: http://blog.developer.mindtouch.com/wpcontent/uploads/2010/07/Firewall_networking.png

2.2.1

Rozdělení firewallů

Existuje mnoho různých variant rozdělení, ale mezi základní patří dělení firewallů na softwarové a hardwarové. Dalším možným rozdělením je podle umístění - zda jsou implementovány na koncových stanicích (kromě filtrace síťového provozu často obsahují i spamové filtry), nebo uvnitř sítě, kde pouze filtrují síťový provoz, a mohou provádět překlad NAT.

16


Běžněji se ale setkáme s dělením podle typu filtrování komunikace na:  Paketový filtr (packet filter)  Stavový filtr (stateful inspection firewall)  Aplikační Proxy/brány (application Proxy) (4safety, 2011) 1. Paketový filtr (Packet Filter) Nejjednodušší a dnes již téměř nepoužívaný typ ochrany. Princip filtrace spočívá v analýze hlavičky IP datagramu, kde je obsažena adresa příjemce, odesílatele, zdrojový a cílový port a další údaje a podle konfigurace bezpečnostní politiky firewallu, viz Obrázek 3 - Nastavení paketového filtru (Kerio Personal Firewall), rozhodne, zda paket propustí, zahodí nebo odmítne. Jsou rychlé a nenáročné, která je vykoupena nízkou úrovní kontroly a hlavně analýzou všech paketů i těch, které už jsou součásti nějakého navázaného spojení.

Obr. 2 Nastavení paketového filtru (Kerio Personal Firewall) Dostupné na webových stránkách: http://www.virusinfo.info/photo/kerio_packet_filter.gif


2.

17

Stavový filtr (Stateful Inspection Firewall) Vznikl na základě paketového filtru, ale dosáhl určitých vylepšení možností a také rozšíření jeho působnosti až na pátou vrstvu ISO/OSI modelu. Oproti paketovému filtru je stavový filtr schopný sledovat a pamatovat si navázaná spojení a udržovat si tyto relace v tabulce. TO urychluje zpracovávání paketů již povolených spojení. Nevýhodou je použitelnost hlavně u spojovaných protokolů.

3.

Aplikační Proxy/brány (Application Proxy) Pracuje na druhé až sedmé vrstvě ISO/OSi modelu, které mu zaručují mnohem širší spektrum konfigurace a možností oproti ostatním dvěma typům. Obsahuje veškeré funkce stavového firewallu doplněné o možnost kompletní analýzy obsahu dat, přesněji řečeno zkoumá nejen hlavičky dat, ale i jejich obsah. Oproti starším typům umožňuje vytvářet virtuální spojení. Je tedy schopen provozovat své bezpečností funkce i pro nespojované protokoly jako je např. UDP. Princip proxy bran se dá jednoduše popsat na způsobu prostředníka jak je vidět na Obrázek 4 - Princip proxy systému. Když uživatel zadá požadavek na nějakou www stránku, odešle se požadavek na proxy systém, který provede kontrolu podle nastavené bezpečnostní politiky a vytvoří spojení s webovým serverem. Ten odešle požadovanou webovou stránku zpět na proxy systém, kde se opět provede kontrola a pak je stránka poslána uživateli. S vysokou hloubkovou analýzou dat je spojena i vysoká hardwarová náročnost a nároky na znalosti nastavení těchto firewallů. Avšak proxy systém je schopen ukládat si již dotazované stránky a při jejich opětovném požadavku vyřídit tuto skutečnost jím samotným. (4safety, 2011)

Obr. 3 Princip proxy systému Dostupné na webových stránkách: http://docs.oracle.com/cd/E19392-01/817-089610/graphics/us_proxy_firewall.gif [online]

18


2.3 IDS Je systém, který monitoruje veškerý příchozí a odchozí síťový provoz a identifikuje případně útoky nebo pokusy o průnik do sítě. Obecně řečeno IDS (Intrusion Detection System) slouží ke zvýšení bezpečnosti provozu sítě a systémů. Nedetekuje pouze pokusy o finální útok/průnik, ale i předchozí prvky mapování před útokem jako je skenování portů, shromažďování informací na cílové stanici potřebných k úspěšnému útoku. IDS lze provozovat na různých částech sítě a podle toho rozlišujeme dva základní typy těchto systémů a to síťové a hostitelské. Pro nejlepší účinnost obrany se oba systémy provozují současně. 1.

NIDS (Network-based IDS) Síťový detekční systém je umístěn přímo v chráněné části sítě a sleduje veškerý procházející provoz. Kromě sledování příchozích a odchozích dat monitorují i vnitřní provoz mezi jednotlivými stanicemi. Nejčastěji je NIDS provozován před a za firewallem nebo bránou sítě VPN.

2.

HIDS (Host-based IDS) Je softwarová aplikace provozována přímo na určeném počítači, nejčastěji servery, která sleduje veškerý síťový provoz a souborový systém. Nejběžněji jsou provozovány na serverech dostupných z vnější sítě, jako jsou webové a poštovní servery. (M. Thomas, 2005)

Obr. 4 IDS v podnikové síti Zdroj: práce autora


19

2.4 Border Router (hraniční směrovač) Je směrovač, který tvoří vnější obvod OSPF oblastí a slouží k připojení těchto oblastí do páteřní sítě. Nacházejí se na každé hranici sítě, ať už se jedná o privátní síť, intranety nebo extranety. Zpravidla za hraničním směrovačem bývá umístěn ISP systém a firewall oddělující vnější síť od vnitřní. Border router někdy také nazýván jako ABR (Area Border Router) tvoří hranici podnikové sítě a internetu a je první linií obrany. (M. Thomas, 2005)

Obr. 5 Hraniční směrovač oddělující vnitřní síť od Internetu Zdroj: práce autora

2.5 Překlad síťových adres NAT Zkratku NAT můžeme přeložit jako Network Address Tranlastion (překlad síťových adres) nebo také Native Address Translation (nativní překlad adres). Jedná se o funkci nejčastěji routeru, která překládá IP adresy z vnitřního okruhu sítě, viz Tabulka 1 - Rozsah vnitřních IP adres, do IP adresy veřejné. Nejčastější využití je pro přístup více PC z lokální (vnitřní) sítě do internetu. Impulzem ke vzniku byl stále se snižující počet volných veřejných IP adres. NAT dovoluje „skrýt“ celou vnitřní síť před okolím pod jednou unikátní IP adresou, ale neznamená to, že by systémy schované za NATem byli chráněné proti vnějším útokům. Patrné je to na Obrázek 5 - Překlad síťových adres (NAT). (Krčmář, 2007)

20


Obr. 6 Překlad síťových adres (NAT) Zdroj: Překresleno z publikace http://opentodo.files.wordpress.com/2012/01/tcpip_nat.gif

Princip NATu: 1. 2. 3. 4. 5.

Uživatel vyšle požadavek na vnitřní bránu sítě. Router pakety zachytí a změní jejich vnitřní IP adresu na svou vnější veřejnou. Pakety odešle z náhodného TCP portu. Tento port si zapíše do tabulky a přiřadí k němu, kterému uživateli patří. Po přijetí odpovědi provede reverzní akci a pakety pošle klientovi podle zápisu v tabulce. (Krčmář, 2007)

Tab. 1

Rozsah vnitřních adres

Třída A B C

Rozsah 10.0.0.0 – 10.255.255.255 172.16.0.0. – 172.31.255.255 192.168.0.0 – 192.168.255.255

Prefix 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16


21

2.6 Další prvky bezpečnosti 1.

Uživatelská práva Definují jednotlivým uživatelům specifická práva. Tato práva umožňují provádění specifických akcí, jako je práce se soubory a adresáři, přístup k systému nebo povolené funkce poskytované serverem. Nemusí se však vztahovat pouze k datům, ale mohou upravovat i využívání sdílených zařízení jako jsou tiskárny, pevné disky. Práva se vztahují k uživatelským účtům, zatímco oprávnění k objektům. Nejčastěji se spravují práva pro více uživatelů pomocí skupinových účtů a běžně se setkáme se třemi úrovněmi a to host, uživatel a administrátor. Host obvykle může pouze číst veřejně dostupná data. Uživatel může spouštět různé aplikace, má přístup k určitým datům, aplikacím a službám, ale může se to individuálně lišit dle nastavení. Na vrcholu se nachází administrátor, který má neomezená práva a přístup k systému. Definuje práva ostatním uživatelům, může instalovat aplikace a konfigurovat celý systém.

2.

Přístupové heslo a uživatelské jméno Heslo a uživatelské jméno se používá k přihlášení k vlastnímu uživatelskému účtu. Souhrnně se oběma termínům dohromady říká login. Heslo je prostředek k autentizaci uživatele, kterým se prokazuje jako oprávněná osoba a je použitelné a má význam pouze tehdy pokud není jiným neoprávněným osobám známo. To stejné platí i o uživatelském jménu, které identifikuje uživatele případně určitou skupinu. Síla hesla je podstatnou částí k udržení bezpečnosti. Podniky nejčastěji využívají stanovená pravidla jak minimálně dlouhé a kolik speciálních znaků musí být použito pro celé heslo. Mělo by se skládat z "náhodné" skupiny znaků a nevyužívat celá slova, zkratky nebo slovní spojení. Doporučuje se využívat následujících pravidel a udržovat délku hesla alespoň 8 znaků. o o o o

3.

Velká písmena A až Z Malá písmena a až z Číslice 0 až 9 Nealfaumerické znaky !, $, %, a &

Šifrování Další důležitou součástí bezpečnosti informačních technologií a systémů patří kryptografie. Jejím cílem je utajit přenášenou informaci tak, aby ji dokázali přečíst jen oprávněné osoby. Základem šifrování jsou tzv. klíče. Slouží jak k zašifrování dat, tak i k jejich zpětnému dešifrování. Data, která mají být přenesena, se vhodným algoritmem zašifrují a jsou přenesena ke klientovi, kde jsou reverzně získány zpět. Využití stejného klíče na obou stranách přenosu se nazývá symetrická kryptografie.

22


Opakem je asymetrické šifrování, kde se používají dva klíče. Jeden pro šifrování a druhý pro dešifrování. Nejběžnější verzí asymetrické kryptografie je využívání tzv. veřejného a soukromého klíče. Podle toho, který se využije k šifrování, a který k dešifrování rozlišuje potom pojmy digitální podpis (podepisování) a bezpečnost zpráv. 3.1. Digitální podpis Zpráva se šifruje soukromým a dešifruje veřejným klíčem 3.2. Bezpečnost zpráv Zpráva se šifruje veřejným a dešifruje soukromým klíčem (M.Thomas, 2005)

Penetrační testy

23

3 Penetrační testy V dnešní době rozvoje počítačové techniky a širokých možností zpracování dat a jejich rychlému přesunu pomocí internetu a různého programového vybavení, dochází stále častěji k chybám v implementaci, která vede ke vzniku bezpečnostních děr v těchto produktech. Těchto trhlin využívají různé skupiny a uživatelé, kteří se snaží získat přístup k datům uložených v systémech. K prověření bezpečnosti jednotlivých komponent informačních systémů a jejich odolnosti vůči současným známým útokům slouží penetrační testy.

3.1 Pentesting Jak již název napovídá, jedná se o druh testů, který je součásti bezpečnostní analýzy. Jde o testování převážně sítí za účelem nalezení co nejvíce chyb, které by mohly mít za následek neoprávněné vniknutí do systému a odcizení dat. Pentesting se řádí mezi tzv. etický hacking, jinými slovy jde o takové pokusy o eskalaci práv, které provádí oprávněná strana. Tyto testy jsou v podstatě napodobení útoku hackera. Útok může být směřován jak z vnější sítě (typicky internet) nebo z vnitřku sítě, kdy "hacker" má přístup do intranetu nebo se mu podařilo získat fyzický přístup k počítači v dané síti, ať už se jedná o neoprávněný přístup nebo je útočníkem samotný zaměstnanec. Stručně řečeno cílem je bezpečnostní problémy včas odhalit a doporučit vhodná protiopatření k eliminaci rizik. Pravdou je, že podle statistik, až 90% realizovaných útoků na informační systém pochází zevnitř organizace, tj. provádějí je sami zaměstnanci. Osoba provádějící penetrační testy je etický hacker, který byl najat, aby se pokusil ohrozit síť společnosti za účelem posouzení zabezpečení dat. Při každém takovém testování jsou striktně stanovena omezení, co se může a nemůže zkoušet. Běžně není povoleno zkoušet DoS útoky, nebo-li provádět útoky odmítnutí služby. Nicméně rozsah testování je vždy stanoven na potřebách dané organizace.Podnik stanoví zkušební plán, který zahrnuje rozsah testování. Mezi běžné společné prvky, které se určují globálně u firem zabývajících se penetračním testováním, patří:       

Testy budou prováděny během pracovní doby nebo po pracovní době? Budou povoleny DoS útoky? Využijí se instalace backdoor Trojanů na cílovém systému? Bude povoleno napadení webových stránek a jejich změna? Mohou být soubory smazány? Bude test blac, white nebo grey-box? Budou správci sítě obeznámeni, že bude probíhat test, který systém bude cílem?  Je povoleno sociální inženýrství?  Mohou být data načtena a odstraněna z cílového systému?

24

Penetrační testy

Společnosti by penetrační testy neměly podceňovat a provádět pouze jednou. Zkoušení by mělo být opakováno v průběhu celého jednoho roku a nemělo by se spoléhat pouze na jednu testovací firmu. Nejlepší je za celou dobu testování vystřídat minimálně dvě firmy. Hodně podniků využívá i tři firmy. Jednu k předběžnému testování a další dvě střídavě každé čtvrtletí, aby zajistily splnění bezpečnostních předpisů. S cílem ušetřit náklady, se provádí důkladný penetrační test jednou za rok a po zbytek roku pouze regresní testování, kde se kontrolují pouze chyby v zabezpečení. Toto testování se provádí většinou při změně systému, jako je přidání nového serveru do sítě. (Whitaker, Newman, 2000)

3.2 Pojem Hacking Termín hacking vznikl na Massachusettském institutu Technologie (MIT) kolem roku 1960 ve skupině radioamatérů. Vyznačoval se jím šikovný, technicky zdatny jedinec, který byl schopný hledat nová řešení zapojení obvodů ke zlepšení výkonu a dosahu vysílače. Byl převzat z angloamerického žargonu jezdců nakoních. Označovala se tak vyjížďka bez nějakého cíle.Pojem "hack" označoval ještě před masivním příchodem počítačů jednoduchý, často efektivní způsob řešení problému. Později byl převzat a upraven do studentského slangu jako "hacker". (Jirovský, 2007)

3.3 Metodika penetračních testů Penetrační testy lze provádět několika způsoby a standardně se rozdělují podle množství informací (znalostí) o cílovém systému, který je testován, které jsou k dispozici pentesterům případně pracovníkům na cílovém systému jak je znázorněno na Rozdělení penetračních testů. 1.

Black-box O black-box se jedná, pokud jste firmou najmutí jako útočník, který nemá žádné informace o firmě, její vnitřní infrastruktuře a celý průběh útoků je zpravidla režírován podle informací, které si zjistí pověřená osoba sama.

2.

White-box

3.

Osoba provádějící test má kompletní znalosti vnitřní sítě, bližší informace týkající se IP adres, operačních systémů a spoustu dalšího "žhavého materiálu". Grey-hat Někdy nazýván též krystal-box test simuluje zaměstnance. Testerovi je vytvořen účet na vnitřní síti a udělen standartní přístup k síti. Tento test posuzuje vnitřní hrozby ze strany zaměstnanců ve společnosti.

Penetrační testy

4.

25

Blind Pentestr provádí audit bez přechozích znalostí sítě, zařízení, bezpečnostních prvků. Oproti tomu testovaný cíl je připraven a obeznámen se všemi detaily auditu. Slepý "blind" audit ověřuje dovednost analytika a rozsah testu může být pouze tak velký jaké jsou jeho dovednosti.

5.

Double blind Stejně jako v Blind testu i zde testem pověřená osoba vykonává celý audit bez znalosti sítě, zařízení, zabezpečení, ale cíl není předem obeznámen s rozsahem testu. V překladu dvojitý slepý audit závisí na znalostech pentestera a testuje připravenost cíle proti útokům. Tento typ je též znám pod názvem Black Box test nebo jako Penetrační test.

6.

Tandem Jak pentestr tak i cíl jsou připraveni na audit a oba vědí veškeré podrobnosti testu. Tandem audit testuje ochrany a kontroly, ale ne připravenost cíle. Celá šířka a hloubka testu závisí na kvalitě (transparentnosti) poskytnutých informací pro testera před celou zkouškou a také na jeho znalostech. Někde je tento test znám pod názvem Crystal Box nebo jako In-House Audit.

7.

Reversal Pověřená osoba testem má k dispozici údaje o testovaném cíli, ale samotný objekt testu neví, kdy a jak bude audit probíhat. Průběh a výsledky závisí na kvalitě poskytnutých informací a analytikově tvůrčí činnosti. Úlohou tohoto testu je vyzkoušet připravenost cíle. Často je tato zkouška nazývána jako Red Team cvičení. (Herzog, 2010)

26

Obr. 7 Rozdělení penetračních testů (Herzog, 2010)

Penetrační testy

Penetrační testy

27

3.4 Důvody pro pentesting Nejlepší způsob jak zastavit útočníka je přemýšlet jako on. Instalace poplašného softwaru a defenzivního zajištění neznamená, že je síť v bezpečí. Chceme-li účinně zastavit zloděje, musíme předvídat každý jeho krok. Podobně, aby se zabránilo proti crackingu musíme myslet jako cracker. Jedním ze způsobů jak posoudit míru zabezpečení je najmutí externí bezpečnostní firmy, aby se pokusila proniknout do jejich sítě. Potřeby penetračního testování dnes vyplývají z obavy, že síť nemusí být dostatečně chráněna proti exponenciální hrozbě. (Whitaker, Newman, 2000) Bezpečnostní hrozby se zvyšují v důsledku těchto faktorů:           

šíření virů a trojských koní bezdrátové sítě LAN složitostí sítí frekvence aktualizace softwaru snadně dostupně hackerské nástroje open source software závislost firem na internetu průmyslové požadavky marketingové požadavky obchodní partnerství kybernetické války

Základním principem pentestingu je však odhalení zranitelných míst (jsou hrozbami), protože představující určité riziko. Existence těchto zranitelných míst je důsledkem chyb v:    

softwaru hardwaru konfiguraci provozních podmínkách

(Whitaker, Newman, 2000)

3.5 Klasifikace bezpečnostních atributů 1.

Integrita Je definována jako zajištění správnosti a úplnosti informace (dat). Přečtená informace je totožná s původní. Z toho důvodu se při modifikaci dat hovoří jako o narušení integrity.

2.

Dostupnost Je definována jako zajištění, že informace (data) je pro oprávněného uživatele přístupná v okamžiku její potřeby. Pokud dojde k přerušení dostupnosti informací, mluvíme o narušení dostupnosti.

28

Penetrační testy

3.

Autentičnost

4.

Neboli záruka, že informace je původní a nebyli nijakým způsobem pozměněny. Důvěrnost Jedná se o zajištění, že informace (data) jsou přístupné nebo sděleny pouze oprávněným uživatelům. Při zpřístupnění neoprávněným osobám se mluví o narušení jejich důvěrnosti. (Hanáček, Staudek, 2000)

3.6 Typy škod Nedostupnost služby  tzv. DoS (Denial of Service) či DDoS (Distributed Denial of Service) útoky způsobují, že případná služba (http, ftp, …), na kterou byl útok veden, přestane být funkční. Také jinak, dojde k „zatuhnutí“ případně restartu serveru apod. Při těchto typech útoků říkáme, že dochází ke ztrátě dostupnosti. Neoprávněný přístup (Zcizení identity)  Výsledkem může být situace, kdy útočník získá plný nebo částečný přístup k zařízení, serveru, službě čí datům a to mu následně umožní provádět neautorizované změny v konfiguraci, mazání nebo modifikaci souboru apod. Tyto typy útoků vedou ke ztrátě autentičnosti. Získání důvěrných informací (Neoprávněný zisk informací)  Řadí se sem hlavně tzv. citlivá data jako seznamy osob, přístupová hesla, účetnictví, mzdy apod. Při úniku nebo neoprávněnému získání takových dat hovoříme ztrátě důvěrnosti. (Svetsiti, 2007)

3.7 Klasifikace útoků Útoky se dají rozdělit do dvou základních skupin a to na pasivní a aktivní. 1. Pasivní Tento typ útoků pouze sleduje komunikaci mezi klientem a serverem. Účelem je příprava základu pro další zákeřnější útoky. 2.

Aktivní Jedná se o změnu nebo falšování toku dat, zpráv, případně o blokaci (dostupnosti) služby využitím například DoS útoků k zahlcení serveru nebo klienta.

Penetrační testy

Klasifikace útoků: Odposlech - útok proti důvěrnosti pasivní Modifikace (změna) - útok proti integritě aktivní Falšování (padělání dat) - útok proti integritě aktivní Přerušení - útok proti důvěrnosti. Řadí se mezi aktivní (HANÁČEK, STAUDEK, 2000)

Obr. 8 Typy útoků Zdroj: Preklesleno z publikacE http://marknagy.ic.cz/blog/2008/ty

29

30

Penetrační testy

3.8 CVE (Common Vulnerabilities and Exposure) Byla spuštěna do provozu v roce 1999 z toho důvodu, že více bezpečnostních nástrojů používalo vlastní databáze s vlastními názvy zranitelných míst. Následkem toho se jednotlivé bezpečnostní chyby těžce dohledávali mezi jednotlivými databázemi a každý nástroj měl jinou stupnici hodnocení svých výsledků. CVE jsou společné standardizované identifikátory řešící tento problém. Obsahují kritéria pro výměnu údajů, aby výrobky a služby v oblasti informační bezpečnosti mohly být lehce mezi sebou identifikovány. Poskytují také základní úroveň pro hodnocení nástrojů a služeb, takže uživatelé mohou lehce určit, které nástroje jsou vhodné a účinné pro potřeby jejich organizace. Každý CVE identifikátor obsahuje:  Identifikační číslo (př.: "CVE-1999-0067")  Stručný popis bezpečnostní zranitelnosti  Reference, zprávy zranitelnosti a upozornění Na základě CVE seznamu vznikla i NIST (Nationl Institute of Standards and Technology) databáze obsahujících databázi NVD (National Vulnerability Database), která integruje veškeré veřejně dostupné zdroje zranitelnosti americké vlády a je synchronizovaná s databází CVE. Rovněž zahrnuje SCAP (Security Content Automation Protokol) bezpečnostní mapování. SCAP je metoda pro specifické standardy automatizovaného řízení zranitelností, měření a hodnocení dopadu softwarových problémů a hlášení výsledků. CWE (Common Weakness Enumeration) je seznam běžných softwarových slabin obsahujících záznamy z CVE a OVAL (Open Vulnerability and Assessment Language). (CVE, 1992-2012) Stručný výpis zranitelného místa z NVD: Impact CVSS Severity (version 2.0): CVSS v2 Base Score:9.3 (HIGH) (AV:N/AC:M/Au:N/C:C/I:C/A:C) (legend) Impact Subscore: 10.0 Exploitability Subscore: 8.6 CVSS Version 2 Metrics: Access Vector: Network exploitable; Victim must voluntarily interact with attack mechanism Access Complexity: Medium Authentication: Not required to exploit Impact Type:Allows unauthorized disclosure of information; Allows unauthorized modification; Allows disruption of service References to Advisories, Solutions, and Tools External Source: MS Name: MS12-023 Type: Advisory; Patch Information

Penetrační testy

31

Hyperlink:http://technet.microsoft.com/security/bulletin/MS12-023 Vulnerable software and versions Configuration 1 OR * cpe:/a:microsoft:ie:6 * cpe:/a:microsoft:ie:7 * cpe:/a:microsoft:ie:8 * cpe:/a:microsoft:ie:9 * Denotes Vulnerable Software * Changes related to vulnerability configurations Technical Details Vulnerability Type (View All) Code Injection (CWE-94)

3.9 Sociální inženýrství Je technika penetračního testování založená na důvěře lidí bez toho, aby útočník musel využívat nějaká zařízení k získání přístupu. Nezáleží na tom jaká šifrovací a zabezpečovací technika je implementována, síť nelze nikdy plně chránit. Tento způsob získávání privilegovaných práv k přístupu využívá nejslabší článek zabezpečení - lidský faktor. Cílem testu je zjistit, zda jsou zaměstnanci ochotni odhalit citlivé informace. „Social engineer“ je osoba, která využívá podvodu, přesvědčování a vlivu pro získání informací, které jsou jinak nedostupné. Existují dva typy sociálního inženýrství:  Založené na technologii  Založené na lidech Sociální inženýrství založené na technologii využívá technologické prvky k poskytnutí informací. Klasickým případem jsou pop-up okna vyzývající k opětovnému přihlášení uživatele. Po zadání hesla a loginu jsou údaje automaticky odeslány na počítač útočníka. Ty mohou být zneužity pro přihlášení a působení škod. Oproti tomu v technice založené na lidech se nepracuje s hardwarem nebo softwarem ale s tzv. "wetwarem". Wetware je lidský prvek práce s počítačem. Sociální inženýři využívají důvěru lidí k jejich znevýhodnění. Stručně řečeno, je to umění v přesvědčování. Existuje sedm druhů přesvědčování: 1.

Conformity (Přizpůsobení) Tato technika využívá určitého tlaku na cílovou osobu, kterou se snaží přesvědčit, že to co má udělat, dělají všichni ostatní. Příkladem může být přesvědčování zosobnění sociotechnika jako personálu "help desku".

32

2.

Penetrační testy

Logic (Logické) Socioinženýr využívá logických argumentů, aby získal přístup. Příkladem může být předpoklad dvou pravdivých tvrzení, po kterých následuje závěr v útočníkův prospěch. Opět použitelné v případě "help desku".

3.

Need based (Na základě potřeby)

4.

Je založené na přesvědčování z důvodu lidské ochoty pomáhat. Klasickým případem je volání na "help desk" velké společnosti jako nový zaměstnanec, s tím, že vám nefunguje vaše nové přístupové heslo a login do systému. Authority (Autoritativní) Je populární metoda, která nabízí dobré výsledky. Jde o vydávání se za jinou osobu než pentestr ve skutečnosti je. Je to stejné jako reklama se známou osobností. Lidé v nich jsou známí a je jim nasloucháno. V socioinženýrství se jedná o stejnou taktiku s využitím osoby na vysoké pozici, například vedoucího manažera.

5.

Reciprocation based (Založené na opětování) Jde o techniku zahrnující žádost o laskavost od neznámé osoby výměnou za nabídku případné pomoci v budoucnu. Příkladem může být snaha dostat se do budovy, do které je vstup střežen čipovou kartou, a socioinženýr se tedy pokusí zaměstnance přesvědčit, aby ho pustil dovnitř budovy z důvodu ztráty karty apod.

6.

Similarity based (Založené na podobnosti)

7.

Využívá se často v prodeji. Apeluje na záliby, koníčky, vkus atd. cílové osoby za účelem vybudovat si s ní pozitivní vztah. Příkladem může být snaha socioinženýra zapojit se do rozhovoru s kuřákem před budovou firmy. Vybudovat si přátelský vztah a při vstupu zpět do budovy využít cílové osoby ke vstupu do objektu. Cílem každé sociotechniky je zneužití důvěry ostatních. Information based (Založené na informacích) Poslední typ používá informace k prokázání důvěryhodnosti pentestera. Pomocí komunikace v technické oblasti např. routerů a předstírání, že vás poslala externí firma, se snaží tester získat přístup pracovníků firmy k danému zařízení. (Whitaker, Newman, 2000)

Penetrační testy

33

3.10 Reverzní sociální inženýrství Je složitější než technika sociálního inženýrství a sestává ze tří kroků. 1. Sabotage (Sabotáž) 2. Advertising (Inzerce, propagace) 3. Support (Podpora) U RSE (Reverse Social Ingineering) jsou obráceny role. Místo, aby útočník volal o pomoc, jako v případech popsaných výše provádí takové akce, aby cíl volal jemu. Celý proces začíná sabotáží cílové sítě, například DoS (Denial – of - service) útokem. Poté nabídne společnosti svoje služby jako bezpečnostní inženýr, který se specializuje na zajištění proti DoS útokům. Když se podaří zajistit podporu pro danou firmu a vyřeší se problém, provede útočník instalaci backdoor aplikací, které umožňují pozdější přístup do sítě. Poté je nejlepší počkat, až se objeví nový typ viru a opětovně nabídnout ochranné služby. Zvýší se tím důvěra společnosti k osobě „testera“. Nyní může útočník vytvořit cestu do sítě společnosti prostřednictvím otevření brány firewallu. Bez ohledu na to jak se provádí RSE, klíčové je, že společnost sama volá pentesterovi. (Whitaker, Newman, 2000)

3.11 Trojany, viry a Backdoor aplikace Trojan je destruktivní program, který se maskuje jako běžná aplikace. Na rozdíl od virů, trojské koně se nereplikují. Aplikace běží na počítači skrytě a často se tváří jako užitečná utilita. Nejčastějšími trojskými koňmi jsou nástroje pro vzdálenou správu, které poskytují hackerovi možnost zahájit DoS útok z napadené cílové stanice. Základním provozem je skrýt se v počítači a provést nežádoucí činnost nic netušícího uživatele. Výhody těchto aplikací jsou zřejmé pro zlomyslné hackery, ale využívají se v penetračním testování. Pentestr je najat jako zlomyslný hacker za jediným účelem a to proniknutí do systému a udržení přístupu s využitím aplikací Trojan backdoor. Viry jsou dalším typem škodlivého softwaru (malware), které jsou často zaměňovány za trojské koně. Viry se připojují k jiné aplikaci a rozšiřují se dále do jiných počítačů. Pokud by se systémy nebránili těmto typům útoku, mohlo by dojít k vyřazení organizace případně odstavení internetu. Červy jsou viry, které se šíří do jiných počítačů s tím rozdílem, že nevyžadují žádnou aplikaci pro svůj další postup. Oproti virům obsahují vlastní kód, kterým se šíří dál po síti. Vzhledem k povaze účinnosti červů a virů, by penetrační testy tohoto typu neměli být prováděny, nicméně pentestr by si měl být vědom škodlivých dopadů této možné varianty útoku a zajistit prevenci. (Whitaker, Newman, 2000)

34

Penetrační testy

3.12 DoS útoky (Denial – of – Service) Cílem DoS útoku je znepřístupnění služby nebo celého systému. Toho se dosahuje pomocí přetížení systému tak, aby došlo k jeho "zhroucení". Jednoduché DoS útoky pomocí jednoho počítače mohou být účinné, ale dnes se využívá zapojení více hostitelských stanic. Tento typ napadení se pak nazývá DDoS (Distributed - Denial - of - Service). Principem je, že firewall nebo systémy detekce průniku (IDS) mohou jednoduchý DoS útok blokovat, ale pokud se zapojí více hostitelů, jen je málo obraných prostředků, které by dokázaly takovému útoku zabránit. DoS útoky jsou rozděleny do tří typů: 1.

Bandwidth attacks Je nejstarší a nejběžnější DoS útok. V tomto případě se hacker snaží zahltit provoz sítě daty. Každá síť je konstruována tak, že zvládne určitě množství dat. Když je cílový systém zahlcen více daty než je schopen zvládnout, dojde k znepřístupnění nebo zpomalení.

2.

Protocol exceptions Je složitější, ale velice populární. Jedná se o útok, kdy hacker zasílá data takovým způsobem, který by cílový systém nikdy nepředpokládal. Názorným příkladem je SYN Flood Packets (záplava SYN pakety). Celý průběh je znázorněn na Normální TCP spojení a SYN Flood útok.

Penetrační testy

35

Obr. 9 Normální TCP spojení a SYN Flood útok Zdroj: Whitaker, Newman, 2000

3.

Logic attack Třetím typem jsou logické útoky. Jedná se o nejmodernější typ útoku, protože jde o sofistikované porozumění síti. Běžným příkladem je LAND útok, při kterém úročník pošle pakety se stejnou zdrojovou a cílovou IP adresou. Mnohé systémy nejsou schopny zvládnout zpracování těchto paketů a dojde k jejich zmatení a následnému selhání. (Whitaker, Newman, 2000)

36

Penetrační testy

3.12.1 1.

Typy DoS útoků

Ping of Death K útoku používá protokol ICMP (Internet Control Message Protocol). Ping se využívá ke zjištění, zda je hostitel aktivní (připojen) v síti. Principem je odeslání paketu, který má větší než maximální povolenou velikost 65536 bytů. Paket se rozdělí do více částí, odešle se na cílovou stanici, kde když je znovu sestaven, je příliš velký pro vyrovnávací paměť. Následně systémy, které nejsou schopny zvládnout takovéto pakety, spadnou nebo se restartují.

2.

Smurf and Fraggle

3.

Je další DoS útok využívající protokol ICMP. Principem je zaslání datagramu ping (ICMP echo) na broadcast adresu nějaké sítě s upravenou zdrojovou IP adresou (spoofed), která udává cílový počítač útoku. Díky broadcast adrese je datagram odeslán na všechny systémy v síti a ty odesílají na upravenou IP adresu odpověď. Zvýšeným počtem odpovědí dochází k zahlcení cílového systému. Nejčastěji bývá obětí počítač v dané síti použité k Smurf útoku.Fraggle je varianta Smurf útoku s tím rozdílem, že generuje UDP pakety. LAND útok Je TCP SYN paket se stejnou zdrojovou a cílovou adresou a číslem portu. Když ho hostitel obdrží, snaží se navázat spojení sám se sebou. To má za následek zpomalení nebo úplnému zastavení, jelikož dojde ke komunikaci sama se sebou v nekonečné smyčce. Dnes už je většina systémů vůči tomuto typu útoku zabezpečených.

4.

SYN Flood útok Na cílový systém se odesílají stovky falešných požadavků SYN (Synchronized), které slouží pro zahájení spojení. Cíl na tyto pakety reaguje vyhrazením části prostředků pro jednotlivá spojení a odešle paket s příznakem ACK-SYN. Běžně by systém, který zahájil relaci, měl odpovědět úspěšným navázáním spojení (ACK), avšak k tomu nedojde vhledem k falešné IP adrese v paketu SYN. Cílový systém po nastaveném čase vyšle odpověď znovu a teprve až po nějaké době spojení uzavře. Principem je zahltit systém příliš velkým počtem polootevřených spojení, zahlcení paměti a z toho důvodu neschopnosti obsloužit jiné uživatele jak je vidět na Normální TCP spojení a SYN Flood útok. Ochrana proti tomuto útoku téměř neexistuje. Jedním z možných řešení je zkrácení času pro odpověď (timeout), ale to může způsobit nemožnost uzavření spojení s uživateli s pomalým připojením.

Penetrační testy

5.

37

Distributed DoS - DDoS (Distribuovaný Dos) Obdobný princip jako DoS, ale k útoku jsou zneužity až tisíce dalších počítačů označovaných jako zombie nebo daemon. Zombie je program, který je ovládán útočníkem na dálku. Do napadeného PC se program instaluje pomocí virů nebo přímo při průniku hackerem. Uživatel ve většině případů netuší, že je jeho PC takto zneužito a program čeká na spuštění hackerem nebo se spouští automaticky ve stanovený čas. (Whitaker, Newman, 2000)

3.13 Buffer Overflows (přetečení zásobníku) Je technika napadení programu, při které je využito přetečení zásobníku pro spuštění vlastního kódu. Dochází k němu při uložení více dat, než je schopen zásobník pojmout. Tato situace nastává v programových chybách, kde se nekontrolují a neošetřují meze zásobníku. Principem je uložení tolika dat, aby data, která přetečou velikost zásobníku, přepsala data, která jsou v paměti. Pokud jsou data vhodně zvolena, dojde ke spuštění dat, která se tam nahrála. Takto se naskýtá možnost spuštění cizího, většinou nebezpečného kódu. (Whitaker, Newman, 2000)

3.14 Session hijacking Je pokus o převzetí již aktivní relace mezi dvěma hostiteli. Útok se liší od IP spooofingu, ve kterém se falšují IP adresy nebo MAC jiného hostitele. S IP spoofingem je potřeba se stále ověřovat cíli. Se session hijacking můžete převzít již existující relaci. Kromě falšování IP adresy nebo MAC, je tento typ útoku atraktivní pro útočníka z toho důvodu, že pokud se podaří relaci převzít, nemusí se hacker už ověřovat v cílovém systému. Díky tomu odpadá čas nutný k prolomení případného hesla. Nezáleží na bezpečnosti autentizace, jelikož ta se zpravidla provádí jednou a to při vytváření relace. (Whitaker, Newman, 2000) Rozlišujeme dva typy útoků: 1.

Aktivní Hacker najde již aktivní relace a pokusí se ohrozit cílový počítač.

2.

Pasivní Je většinou začátkem celého útoku, kterým se poté přechází na aktivní hijacking. Jde o získání relace a zaznamenávání celého provozu mezi oběma stanicemi.

Rozdíl je také mezi session replay a session hijacking. Oba útoky jsou považovány za MITM (man-in-the-middle) útoky, ale v prvním případě jde o zachycení paketů, jejich následné modifikaci a poté odeslání na cíl. V session hijacking bude útočník provádět IP spoofing, měnit pořadová čísla TCP a provádět

38

Penetrační testy

DoS útok na cíl a přijímat data ve chvíli, kdy cíl bude offline. Rozdíl mezi Session Replay a Session Hijacking názorně ukazuje jaký je rozdíl mezi oběma útoky.

Obr. 10 Rozdíl mezi Session Replay a Session Hijacking Zdroj: Whitaker, Newman, 2000

Session Hijacking se dělí na dvě kategorie: 1.

Nonblind spoofing útok

2.

Útočník vidí komunikaci mezi hostitelem a cílem. Blind spooofing útok

Je opak nonblind spoofingu. Jedná se o nejtěžší variantu. (Whitaker, Newman, 2000)

3.15 Password Cracking (Prolomení hesla) Heslo představuje nejslabší formu zabezpečení, protože ho někdo může zkusit uhodnout. Penetrační testeři jsou velmi dobře seznámeni s technikou prolomení hesla a nejčastěji bývají najmutí ze dvou důvodů.  Test bezpečnostní politiky hesla  Obnova zapomenutého hesla V prvním případě se jedná o testování, zda uživatelé dodržují stanovená pravidla pro bezpečnost hesel a nemají příliš slabé heslo. To by se jednoduše

Penetrační testy

39

dalo definovat jako slovo, případně kombinace slov nebo použití pouze písmen či číslic. Například kombinace „a8gv9Cr2P“ může být považováno za silné heslo. To jsou důvody, proč jsou pentesteři najímání na prolomení firemních hesel. Druhou variantou je obnova hesla. Může se jednat o heslo administrátora, který už ve firmě nepracuje a žádná jiná osoba nemá přístup jako „root“. (Whitaker, Newman, 2000)

3.16 Útoky na WEB Zabezpečení webových aplikací je dnes jedním z nejvíce tíživých úkolů. Společnosti využívají webové prezentace jako CRM (Customer Relationship Management) kanál ke zlepšení nabídky a jako prostředek ke vstupu na nové trhy a poskytnutí svých výrobků či služeb. Dnes jsou hackeři o krok napřed a není otázka, zda může být web napaden, ale kdy bude napaden. Využití hesel nezabrání přístupu útočníka, pokud k tomu podnik používá slabá hesla a SSL šifrování nezabezpečí ochranu webu, ale pouze důvěrnost přenosu dat. Největším rizikem je samotný kód, neboť aplikace jsou často prováděny nezkušenými vývojáři anebo společnost spěchá s tvorbou svého webu a primární úlohou je rychlost místo bezpečnosti. Nejznámější útoky jsou:         

SQL Injection Cross-site-Scripting Web DoS nebo DDoS Prolomení hesla FTP Bounce Attack DNSCache Poisoning SNMP útoky Mail útoky

(Whitaker, Newman, 2000)

40

Penetrační testy

3.17 Penetrační test 1.

Podpis smlouvy

2.

Je prvním a nejdůležitějším krokem před samotným zahájením penetračního testu. Bez ní by bylo možné napadnout právně veškeré testy neboť by byli považovány za škodlivý útok. Určení pravidel a typu testu Jedná se o určení hloubky a šířky testu. Jaké a kolik informací budou pentesterovi poskytnuty a zda vlastní personál podniku bude obeznámen s časem a průběhem testu. Určuje rozsah projektu a zužuje možné prvky použití. Obsahuje důležité definice, zda mohou být použity DoS, DDoS útoky, trojany a backdoor aplikace nebo odposlech dat na síti případně sociální inženýrství.

3.

Plánování útoku

4.

Vytvoření týmu pracovníků podílejících se na celém nebo části testu. Výběr nástrojů, které budou použity a strategie celého "útoku". Shromažďování informací Tomuto kroku se též říká "foot printing" a jde o místo, kde se shromažďují důležité informace o společnosti pro další kroky za účelem získání přístupu, dat apod.

5.

Skenování sítě Skládá se z průzkumu sítě a nalezení běžících systémů, portů a jejich služeb, na které mohou být aplikovány další prostředky. Může zahrnovat i sběr uživatelských účtů případně sdílených prostředků ve vlastních počítačových systémech.

6.

Pokus o přístup

7.

Nejnáročnější ze všech částí testu. Tento krok může skončit ziskem téměř žádného přístupu. Udržení přístupu Pokud je získán přístup do cílového systému je instalování backdoor aplikací pro snazší návrat a spuštění dalších testů a dokončení testování. Jde i o posouzení zda bezpečnostní prvky systému dokážou odhalit tyto škodlivé aplikace.

8.

Zakrytí stop Pokus o smazání veškerého obsahu, který by mohl identifikovat pentestery nebo poukazovat na to, že byl proveden nějaký útok. Jde o stejný princip jako, když se hacker se snaží odstranit veškeré stopy po úspěšně provedeném napadení systému.

Penetrační testy

9.

41

Zpráva o testu Tento krok je asi nejdůležitější částí pro samotného zákazníka. Informuje o veškerých hrozbách, použitých testech a možných nebezpečných místech. Je to výsledek každého testu a neměl by být přehlížen nebo mu dáváno malé pozornosti.

10.

Prezentace výsledků a plánování Po dokončení testů je výsledek předložen zákazníkovi a měl by být případně naplánován další test, aby systém nebyl citlivý na případné nové exploity, viry a objevené bezpečnostní trhliny. (Whitaker, Newman, 2000)

42

Programové vybavení pro testování bezpečnosti

4 Programové vybavení pro testování bezpečnosti Sběr informací o daném cíli, na kterém mají být provedené penetrační testy je první částí pro úspěšný pentesting. Jak již bylo napsáno výše, podle typu zvoleného testu se odvíjí i nutnost získání co nejvíce informací o daném podniku, jeho infrastruktuře, IP adres, síťových zařízení a mnoho dalšího.

4.1 Webové aplikace pro sběr dat 1.

WHOIS sytémy Mezi nejběžnější patří tzv. WHOIS databáze, které slouží pro evidenci údajů a vlastnících internetových domén a IP adres. Databáze domén je hierarchická stejně jako správa IP adres, která podléhá organizaci IANA (Internet Assigned Numbers Authority) dohlížející na celosvětovou správu internetových produktů. Utility Whois slouží pro připojení do Whois serverů a jejich databází a následného prohledávání záznamů. Využívá síťový port 43. Existuje mnoho volně dostupných www stránek, které tuto službu poskytují. v Unixových systémech je k dispozici přímo příkaz WHOIS, který tuto službu zastupuje. Mezi nejznámější weby patří:

Výpis pak vypadá následovně: domain: [hledaná doména] registrant: SB:BH2512-RIPE_XX admin-c: BH2512-RIPE nsset: NSS:IOL1-RIPE:1 registrar: REG-CT status: paid and in zone registered: 30.09.1996 02:00:00 changed: 22.11.2006 08:45:00 expire: 28.10.2012 contact: SB:BH2512-RIPE_XX org: [název organizace] name: [název organizace] address: [ulice + číslo popisné] address: [město] address: [poštovní směrovací číslo] address: CZ e-mail: [email registrátora] registrar: REG-CT created: 10.08.2001 22:13:00


contact: name: address: phone: fax-no: e-mail: registrar: created:

BH2512-RIPE [jméno registrátora] CZ +420 xxxxxxxxx +420 xxxxxxxxx [email registrátora] REG-CT 10.08.2001 22:13:00

nsset: nserver: nserver: tech-c: registrar: created: changed:

NSS:IOL1-RIPE:1 ns2.tel.cz (194.228.2.1) dns.iol.cz (194.228.2.61) SB:IOL1-RIPE REG-CT 01.10.2007 02:00:00 10.10.2007 11:22:23

43

contact: SB:IOL1-RIPE org: Telefónica Czech Republic, a.s. name: Telefónica Czech Republic, a.s. address: Za Brumlovkou 266/2 address: Praha 4 address: 14022 address: CZ phone: +420.271466183 e-mail: [email providera připojení] registrar: REG-CT created: 10.08.2001 22:13:00 changed: 31.05.2011 11:35:24 2.

Hledání podle IP adresy Mezi další nástroje patří IP - look up. Přesněji řečeno vyhledávače IP adres. Ty zahrnují běžně jméno serveru, geografické umístění (město, země, region, souřadnice GPS) a konkrétní umístění na mapě. Geografické údaje jsou staženy z dostupných databází a umístění nemůže být nikdy úplně přesné. Problém nastává, pokud je hledaná adresa propůjčena dočasně proxy serverem. Z toho důvodu je skoro nemožné uživatele najít. Nástroje tohoto typu využívají jedinečnost IP adres, kterou uživatel nebo server obdrží od svého providera. Dnes už je běžné, že je podporováno hledání jak IPv4 tak Ipv6.

   

http://whois.smartweb.cz http://whatismyipaddress.com/ip-lookup http://ip-lookup.net/ https://ipdb.at/

44


Výpis z hledání: Country: Region: City: Postal Code: Latitude/Longitude: ISP: Organization: Host Name:

Czech Republic Hlavni mesto Praha Prague N/A 50.083302 / 14.466700 Telefonica o2 Czech Republic, a.s. Cesky Telecom, A.S. REMOTE.FIRMA.CZ

4.2 Nmap (Network Mapper) Nmap (Network Mapper) je open-source nástroj na průzkum sítě a kontrolu bezpečnosti. Původně byl vyvinut pro skenování velkých sítí, ale funguje výborně i pro jednotlivé koncové stanice. Pomocí IP paketů zkoumá stanice v síti, porty, služby běžící na portech, typ operačního systému, typ firewallu a mnoho dalších. Prvotní využití zastával při administrativních pracech správců sítí a při vykonávání kontroly bezpečnosti, ale s jeho možnostmi je často zneužíván i hackery. Nejdůležitější částí výstupu programu je seznam portů. Tabulka obsahuje číslo portu a protokolu, název služby a její stav. Možné stavy jsou otevřený, filtrovaný, zavřený nebo nefiltrovaný. Otevřený znamená, že na cílový počítač naslouchá spojením nebo paketům na daném portu. Filtrovaný stav má vícero možností. Na daném portu je nějaký firewall nebo nějaká překážka blokuje port a Nmap nedokáže přesně určit, zda je port otevřený nebo zavřený. Zavřené porty nereagují na scan a nefiltrované reagují na testování, ale program nedokáže určit, jestli jsou otevřené nebo zavřené. V tom případě Nmap vypíše kombinaci stavů a to otevřený/filtrovaný nebo zavřený/filtrovaný. (Lyon, 1997) Syntaxe příkazů: nmap [ ] [ <Moznosti> ] { <Specifikace cílové stanice> } 4.2.1 1.

Typy scanů

SYN Zasílá pakety s příznakem SYN (vytvoření TCP spojení) a pokud je port otevřen, měla by cílová stanice odpovědět paketem s příznakem SYN/ACK pokud je port otevřen nebo paket s příznakem RST pokud je port zavřený, jak je vidět na Chyba! Nenalezen zdroj odkazů.. Pro dokončení spojení je potřeba odeslání odpovědi od klienta, která není zaslána a z toho důvodu nedochází k uzavření spojení. Proto se tento typ scan označuje jako "stealht".


45

nmap -sS { }

Obr. 11 SYN scan Zdroj: Whitaker, Newman, 2000

Nmap skenuje ve výchozím nastavení 1000 nejpoužívanějších portů. Pomocí přepínače –p { <porty nebo rozsah portů> }, lze skenovat jednotlivé zadané porty nebo jejich rozsahy. Pokud se nám zdá, že 1000 portů je moc, nabízí nám program parametr –F, který změní výchozí nastavení na 100 nejpoužívanějších portů. nmap -sS { } –p 20 - 23, 80, 443 2.

TCP Connect Výchozí typ scanu, při kterém dochází k pokusu o uzavření spojení. Pokud se spojení naváže, port je otevřen, v opačném případě nikoliv. Provádí celý třícestný „handshake“ jak je znázorněno na Chyba! Nenalezen zdroj odkazů. a poskytuje nejlepší přesnost při provádění port scanu. Avšak je nejjednodušší zjistit ho firewallem nebo systémy detekující skenování. nmap –sT { }

46


Obr. 12 TCP connect scan Zdroj: Whitaker, Newman, 2000

3.

NULL scan Při NULL scanu je odeslán paket na TCP port, u kterých je flag header nastaven na 0 (nenastavují se žádné bity). V normálním nastavení jsou v TCP - flag alespoň jeden bit. Pokud je port zavřen, cíl odpoví paketem RST. Pokud je port otevřený, cílový systém paket ignoruje a žádná odpověď nedorazí, jak je znázorněno na) NULL scan. Předpokladem je, že cíl je v souladu s RFC 793. Tento typ scanu není možné použít na systémy Windows, protože systém odešle RST paket jako odpověď, i když je cílový port otevřen. Naproti tomu systémy typu UNIX reagují na NULL scany. nmap –sN { }

Obr. 13 NULL scan Zdroj: Whitaker, Newman, 2000

4.

FIN sken Je inverzní skenování. Podobně jako NULL scan je méně detekovatelné než SYN a TCP connect. FIN bit se používá pro ukončení TCP relace. Pokud je port zavřený, odpoví systém paketem RST, pokud žádná odpověď nedojde, port naslouchá. Nastává zde stejný problém jako u NULL scanu a to ten, že


47

některé systémy nejsou v souladu s RFC 793, a proto se na tyto výsledky nemůžeme úplně spolehnout. FIN scan názorně ukazuje odpověď. nmap –sF { }

Obr. 14 FIN scan Zdroj: Whitaker, Newman, 2000

5.

TCP ACK sken Oproti všem ostatním skenům se liší tím, že nikdy neurčuje porty ve stavu otevřený, dokonce ani otevřený|filtrovaný. Používá se pro zmapování sad pravidel firewallu, zda jsou stavové nebo bez stavové, a které porty jsou filtrované. Porty, které neodpoví na ACK paket nebo odešlou zpět chybou zprávu jsou označené jako filtrované. V případě skenu nefiltrovaných systémů se stav portů otevřený a zavřený označují jako nefiltrované, protože vrací stejný RST paket a nelze rozpoznat, zda jsou otevřené nebo zavřené.

nmap –sA { } 6.

Scan protokolů IP Umožňuje určit, které protokoly IP (TCP,UDP,ICMP, atd) jsou podporované cílovou stanicí. Princip určení, zda je protokol podporován, je podobný jako u scan portů, a proto se řadí mezi scany. Nmap sleduje správy ICMP. Pokud dojde jakákoliv odpověď, označí protokol jako otevřený. V druhém případě - pokud dojde chybová zpráva ICMP unreachable (typ3, kod2), označí se protokol za zavřený. V případě, že se neobdrží žádná odpověď je vyhodnocen protokol jako otevřený/filtrovaný.

nmap –sO { } Výstup: Not shown: 251 open|filtered protocols PROTOCOL STATE SERVICE 1 open icmp 2 filtered igmp 6 filtered tcp

48


17 132

7.

filtered udp filtered unknown

Přepínače a techniky:             

sT—TCP Connect() scan sS—SYN scan sF—FIN scan sX—Xmas-Tree scan sN—NULL scan sI—Dumb scan (idle scan) sA—ACK scan sV: Testovat otevřené porty na určení informací o službě / verzi version_all: provést všechny možné testy S : zfalšovat zdrojovou adresu e : Použít zadané rozhraní F - Fast - Provést scan jen na portech zahrnutých v souboru nmap-services T paranoid | sneaky | polite | normal | aggressive | insane Mění styl politiky skenování. Jako výchozí hodnota je nastavena normální, která využívá a vyhledává co nejrychlejší cestu. Paranoid je užitečné pouze proti IDS systémům a jednotlivé odesílání paketů má mezi sebou zpoždění 5 minut. Polite odesílá pakety po 15 sekundách. Sneaky čeká 0,4 sekundy a je navrženo tak, aby případně neshodilo cílový systém. Agressive a Insane je urychlené skenování, ale z důvodu, že nechceme být odhaleni a nejčastějšímu využívání stealht scanů, tento typ se víceméně nepoužívá, pokud to není nezbytně nutné.  r – postupný scan portů 8.

Zjištění verze operačního systému Nmap používá techniku Finger printing. Jedná se o speciálně upravené TCP/IP nebo UDP pakety, které reagují na různé operační systémy odlišně. Podle vyhodnocených odpovědí je pak nmap schopen pomocí existující databáze odpovědí různých systémů určit, o jaký OS se jedná na cílovém počítači. Toto určení je velmi důležité z toho důvodu, že osoba pověřená testy může zúžit seznam případných typů útoků, exploitů a dalších možností pentestingu. (Lyon, 1997) nmap –O { } Kromě techniky finger printingu lze použít i další známé techniky jakou je například telnet. Pomocí nmapu zjistíte otevřené porty a pokusíte se na ně připojit. Syntaxe příkazu pak vypadá následovně: o [cílová stanice] [port]


49

220 [adresa cíle] [operační systém] [protokol] Service ready at Sun, 15 Apr 12:07:05 +0200

4.3 GFI LANguard Je síťový a bezpečnostní skener používaný ke skenování sítě, otevřených portů, zjištění bezpečnostních zranitelností a jejich možné nápravě. Program také vyhledává škodlivé aplikace, software proti malware a jiným zákeřným programům, detekuje firewall a kontroluje verze aktualizací operačního systému. Všechny shromážděné poznatky vyhodnocuje a podává uživateli přehledný výsledek v přehledné GUI s možností nápravy potenciálních hrozeb. Program sestává z několika hlavních částí viz. Pracovní prostředí GFI LanGuard 2011, mezi které patří Patch managemnt, Skener zranitelnosti, Audit sítě a softwaru, Firewallu a nechtěných aplikací. Nejnovější verze je nyní multiplatformní a lze s ní skenovat systémy jak s operačními systémy Windows, tak Linux, Unix, Mac OS. Jedná se však o komerční produkt, ale jeho cena je i pro běžného uživatele přijatelná. Nebo je možné si nechat zaslat zkušební verzi, která je limitována počtem testovaných IP adres (lze případně zvýšit) a dobou licence, která je stanovena na 30 dní.

50


Obr. 15 Pracovní prostředí GFI LanGuard 2011 Zdroj: práce autora

1.

Patch management Po dokončení skenu cílové stanice dostává uživatel stručný přehled chybějících nebo zastaralých patchů instalovaného softwaru. Mezi nejznámější podporované aplikace patří Apple Quicktime, Adobe Acrobat a Flash Player, Java runtime a další. Provádí záplatovaní všech nejpoužívanější prohlížečů, jako jsou Mozilla Firefox, Opera, Internet Explorer, Google Chrome nebo Safari. Při detekci starší verze nabízí možnost jejího upgradu nebo aplikace všech patchů. S tím souvisí tzv. rollback, neboli možnost zpětného odinstalování patchů. Autouninstal validation tool je nástroj pro odinstalování nepovolených nebo zakázaných aplikací, které jsou uživatelem povoleny nebo zakázány, a podle tohoto nastavení je následně automaticky (případně volitelně) odinstaluje.

2.

Skener zranitelnosti Nabízí bezpečnostní audit, při kterém se díky více vláknovému běhu programu provádí až na několik tisíc bezpečnostních testů. Audit je multiplatformní a plně využitelný napříč celým prostředím známých operačních sys-


51

témů Windows, Mac OS, Unix a Linux. Program je dodáván s rozsáhlou databází zranitelností, která je automaticky aktualizována podle standardů OVAL (Open Vulnerability and Assessment Language), SANS (SysAdmin, Audit, Network, Security), Bug Traq, CVE (Common Vulnerabilities and Exposures) a mnoho dalších, mezi které patří i bezpečnostní aktualizace firmy Microsoft nebo výrobce GFI. Průběh skenu kontroluje činnost antiviru a anti-spywaru a jejich správnou funkčnost, jako jsou zapnuté bezpečnostní prvky a aktuální databáze. Dnes je běžnou funkcí podobných programů sken otevřených portů. LANguard k nim přiřazuje podle databáze, zda daný port nevyužívá známý škodlivý kód.                     

Možnosti skenů: Full scan Full scan (slow network) Full TCP/UDP scan Full Vulnerabilities Assessment Hardware Audit High Security Vulnerabilities Last Month´s Patches Last Year´s Vulnerabilities Missing patches Non-Microsoft Patches Only Service Patck Only SNMP Only Web Ping Them All port Scanner Share Finder Software Audit System Information Top SANS 20 Vulnerabilities Trojan Ports Uptimes (GFI Software, 2011)

4.4 NetScan SoftPerfect Network Scanner je vice-vláknový IP, NetBIOS a SNMP skener. Je určen pro systémově administrátory i běžné uživatele za účelem zvýšení bezpečnosti sítě. Hromadný ping počítačů umožňuje rychlý pohled na celou síť s možností zjištění otevřených portů případně sdílených souborů včetně systémových a skrytých (zobrazuje i zabezpečené složky a soubory).  Ping počítačů a zobrazení všech připojených.

52

          


Rozpoznává hardware MAC-adresy a to i přes routery. Rozpozná skryté sdílené složky a i ty, do kterých je možné zapisovat. Rozpozná interní a externí IP adresy. Prověřuje naslouchající TCP porty, některé UDP a SNMP služby. Načte aktuálně přihlášeného uživatele, nakonfigurované uživatelské účty apod. Může se připojit a prozkoumat síťové zdroje. Může spustit externí aplikace třetích stran. Export výsledků do HTML, XML, CSV, TXT formátu. Podpora Wake-On-LAN, dálkové vypnutí a odesílání zpráv sítí. Načte potenciálně jakékoliv informace přes WMI. Načte informace ze vzdáleného registru a systému souborů a služeb správce.

(SoftPerfect Network Scanner, 2000-2012)

Obr. 16 Sken podnikové sítě a hlavní okno NetScanu Zdroj: práce autora

4.5 Core Impact Professional Je systém pro automatické penetrační testování. Díky pravidelné aktualizaci obsahuje vždy nejnovější databázi bezpečnostních chyb a funkcí pro jejich nalezení. Software lze využít k penetračnímu testování na všechny známé operační systémy, jako jsou Microsoft, Linux, Unix, Mac OS. Jediné omezení programu je


53

jeho samotný běh, protože funguje pouze pod systémy Microsoft Windows. Mezi základní a dnes již standartní možnosti nezbytné pro důkladné testování patří a stojí za zmínku rozsáhlá knihovna exploitů, automatický testovací stroj nebo se dá celý test nastavit pomocí průvodce. Celý výsledek je možné pomocí systému pro tvorbu souhrnných zpráv uložit a případně dále s ním pracovat. Oproti jiným programům má několik funkcí, které zvyšují jeho atraktivitu. Core Impact architektura na základní úrovni provádí akce, které uživatel (zastoupeny moduly) využívá a řídí agenty v cílové síti. Agenti provádějí akce (moduly), které uživatel vybere. Centralizuje shromažďování informací a přehled provedených akcí. Generuje zprávy. Celá architektura se skládá z několika častí, které vzájemně spolupracují. Tři primární části jsou agenti, moduly a konzole. Další součástí by se dala považovat databáze entit, kde se ukládají veškeré informace z průběhu testu.

1.

Agenti Jsou základní složkou. Agent je program, který je Impactem nainstalován na cílovém zařízení. Jeho hlavním úkolem je provádět operace, které pentester zadá do konzole na kompromitovaném systému. Mohou, však také provádět operace na dalších agentech čímž vzniká proces řetězení. Pokud se podaří získat kontrolu díky nějaké chybě v zabezpečení, můžete tento počítač použít pro útoky na další počítače. To umožňuje instalaci výše zmíněného agenta, který simuluje situaci, jakoby jste seděli za daným nabouraným počítačem. Může být dále využíván k dalšímu šíření exploitů jak do vnitřní sítě nebo i vnější nebo k instalaci dalších programů, například pro odposlech sítě. Pomocí agenta je možné také instalovat agenty do dalších napadených počítačů, které mohou být využity pro další útoky a díky možnosti "Set as source" se všechny akce, které provede útočník na svém systému v GUI Impactu, budou provádět z kontrolovaného vzdáleného počítače, na kterém je instalován agent.

2.

Moduly Jsou jednotlivé operace nebo skupiny operací, které jsou realizované agentem. Stejně jako agenti, tak i moduly mohou volat další moduly a provádět s nimi další operace.

3.

Konzole Je vlastně grafické uživatelské rozhraní a slouží jako spouštěcí bod pro všechny moduly, nástroj pro správu cílové sítě a reportovací nástroj získaných informací. Centralizuje veškeré získané informace z agentů, které mohou být použity na více cílů s různými operačními systémy. Ve výchozím nastavení při spuštění konzole je vybrán jako zástupce výchozího zdroje "localagent".

54

4.


Databáze entit Je uložiště informací nashromážděné během běhu programu. Obsahuje informace, jako jsou použité moduly, dokončené operace, informace o cílových systémech (to zahrnuje lokalizované počítače, otevřené porty, operační systém atd.) a agenta, který je na daném cíly. Celou tuto databázi lze exportovat do XML formátu, díky tomu lze tyto údaje zpracovávat v mnoha dalších programech.

Po spuštění programu je nejdříve nutné založit novou pracovní plochu. Poté se objeví okno s názvem Rapid Penetration Test, které nabízí automatizované penetrační procesy. (Core Security, 2012)


55

5 Postup penetračního testování 1. 2. 3. 4. 5.

Smlouva a určení rozsahu a tipu testu Shromažďování informací Topologie sítě a síťová zařízení Sken portů, běžících služeb a identifikace operačního systému Audit firewallu, antivirového softwaru a aktualizací systému a instalovaného softwaru Ověření bezpečností politiky hesel uživatelů Core Impact a Metasploit

6. 7. 8. 9. 10.

Nalezení potenciálních zranitelností podle běžících služeb a verze OS Systémy zranitelné vůči DoS Zakrytí stop po penetračních testech

11.

Zpráva a výsledky

5.1

Smlouva a určení rozsahu a tipu testů

Počáteční fází každého penetračního testování je určitě podpis smlouvy, která vyloučí jakékoliv možné legislativní obvinění nebo porušení zákonů s následnými provedenými testy a stanovení veškerých testovaných stanic, sítí a použitých testů. Hlavním východiskem budou zajisté informace poskytnuté před testem případně povolení přístupu do firemní sítě, účtu zběžného zaměstnance a obeznámení správců o průběhu testu. Šířka a hloubka testů bude také ovlivněna tím, zda budou použity některé dlouhodobější testy případně nebezpečné, které by mohli způsobit škodu na cílovém systému. Jedná se o omezení, zda budou použity následující testy:    

DoS, DDoS útoky Trojské koně, viry a backdoor aplikace Sociální inženýrství Odposlech dat, případná modifikace, odcizení nebo možnost data odstranit

5.2 Shromažďování informací Shromažďování informací je jednoduché a souvisí s plánem a možnostmi útoku, protože podle množství informací se budou odvíjet další části testování. Prvním krokem je použití webové stránky www.centralops.net, která poskytuje souhrnné aplikace pro sběr informací. Patří mezi ně:

56

1.


Domain whois záznam Kromě výše uvedené adresy, která poskytuje veškeré tyto funkce na jednom místě, je možné použít i další weby jako jsou: o o o o

www.whois.net/ www.ripe.net/ www.whois.domaintools.com/ www.whois.smartweb.cz/

2.

Výpis získaných informací je uveden v příloze Domain whois výpis. Network whois záznam

3.

Stejně jako u předchozí aplikace i Netwrok whois záznamy lze vyhledat pomocí dalších webů. Výpisy jsou identické a liší se pouze formátovaním celého textu. Až na drobné výjimky poskytovali stejné výsledky. Výsledek je uveden v příloze Network whois záznam DNS záznam

4.

Je nutný pro správný webhosting a jak je ve výpisu v příloze DNS záznam vidět, námi hledaná webová adresa „firma.cz“ používá webhosting a neprovozuje své prezentace na svém firemním serveru. Adresa podle, podle které zjistíme IP adresu připojení podniku do internetu je remote.firma.cz. Tracerout/tracert Slouží k analýze sítě, respektive cesty k danému cíli. Je zde možnost využít programu traceroute, který standardně obsahují systémy Unix nebo verze od na systémech Microsoft, kde je znám pod názvem tracert. Výpis v příloze Tracerout/tracert ukazuje použití programu tracert. Jednotlivé výpisy se liší v závislosti na startovním uzlu odkud se spouští trasování.

5.

Sken portů a služeb Existuje mnoho skenerů portů a jejich běžících služeb. V první řadě jsme využili ty dostupné z pouhého webového prohlížeče. Pro kontrolu výsledků z www.centralops.net, které jsou v příloze Sken portů a služeb se dá použít ještě další dobrá webová stránka, kde je možnost skenovat všechny nejznámější porty nebo si sken uzpůsobit a vybrat vlastní rozsah buď zadáním rozsahu např. 1-443 nebo pomocí zadání přesných čísel portů oddělených čárkou. Např. 21, 23, 53, 80, 136, 137, 443, … ,XX. Jedná se o www.t1shopper.com/tools/port-scan/#.

6.

Web dané firmy Pokud podnik, ve kterém se chystáme provést testy, má svoje webové prezentace, můžeme na nich najít poměrně dobré informace. Jména, adresy, telefonní čísla a hlavně emaily. Ty se mohou v pozdější fázi použít pro odesílání backdoor aplikací a dalších zákeřných programů nebo pro využití sociálního inženýrství.


57

5.3 Topologie sítě a síťová zařízení Dalším krokem je identifikace aktivních uživatelů, systémů a dalších zařízení v síti pro vytvoření přehledné topologie podnikové sítě. Pomocí programu NMap získáme základní přehled zařízení v síti s jejich IP adresami. Pro detalnější informace využijeme bezpečnostní scanner netscan, který obzory rozšiřuje o další data, jako jsou:        

Sdílené prostředky (i chráněné heslem) MAC adresa Verze prohlížeče IE Verze BIOS Service Pack Operační systém Verze operačního systému a typ Příslušnost do síťové skupiny

S identifikací operačního systému je u netscanu problém, protože výsledky jsou celkem nepřesné. Vhodnější je použití NMapu, kde se výsledky pohybují v přesnosti mezi 80-90%. Na druhou stranu je výpis přehlednější a nalezení veškerých aktivních systému v síti je mnohem rychlejší.

5.4 Sken portů, běžících služeb a identifikace operačního systému Cílem je zjistit otevřené/zavřené/filtrované porty a služby, které jsou na nich spuštěny. To nám zúží další možné testy a identifikace bezpečnostních zranitelností. Zde využijeme pouze NMap jelikož jako freeware software je nejvíce používaný s nejlepšími výsledky a nabízí širokou škálu testů portů. Jako nejlepší se ukázala varianta TCP SYN scanu a několik dalších pro přesnější výsledky a kontrolu získaných údajů. Získané informace poskytují otevřené porty, které jsou dostupné z vnější sítě. nmap -sS -O -v -sS: sken portů pomocí metody TCP SYN -O: detekuje verzi operačního systému -v: pro lepší výstup výsledků Výsledek tohoto skenu jsou uveden v příloze Chyba! Nenalezen zdroj odkazů.. nmap -sF -sF: FIN scan 21 tcp open|filtered ftp

no-response

58

22 tcp open|filtered ssh no-response 23 tcp open|filtered telnet no-response 80 tcp open|filtered http no-response nmap -sX -sX: Xmas-Tree scan 21 tcp open|filtered ftp no-response 22 tcp open|filtered ssh no-response 23 tcp open|filtered telnet no-response 80 tcp open|filtered http no-response nmap -sO -sO: scan IP protokolů 1 ip open icmp echo-reply 2 ip open|filtered igmp no-response 6 ip open tcp proto-response 17 ip open udp port-unreach 47 ip open|filtered gre no-response 50 ip open|filtered esp no-response 51 ip open|filtered ah no-response 136 ip open|filtered no-response



59

Test portů serveru nmap -sS -sU -O -A -v 192.168.100.3 Tab. 2

Otevřené porty a běžící služby serveru

IP adresa

192.168.1.3 80/tcp

http

135/tcp

msrpc

139/tcp 445/tcp 2161/tcp 3052/tcp

netbios-ssn netbios-ssn jdwp sip

5357/tcp

http

6100/tcp 6101/tcp 8090/tcp

synchronet-db backupexec uknown

Otevřené porty

Poznámky

Microsoft HTTPAPI httpd 2.0

Microsoft Windows RPC Microsoft 49154/tcp msrpc Windows RPC Microsoft 137/udp netbios-ns Windows NT netbios-ssn Microsoft Windows Server 2008 (100%) Podle MAC adresy identifikován výrobce: Hewlett Packard. Datový server pro celou podnikovou síť. 49153/tcp

Operační systém

Microsoft IIS httpd 7.0 Microsoft Windows RPC

msrpc

K identifikaci operačního systému se využije přepínače -O v progamu NMap nebo pomocí NetScanu, u kterého se dá tato možnost nastavit v „options“. NMap však pomocí fingerprintingu poskytuje lepší výsledky. Další možností je využití programu telnet a pokus se připojit na některý z otevřených portů nebo využití prohlížeče pro připojení ke vzdálené ploše. Z výsledků je patrný otevřený port 21 smtp a 80 http. Příkaz pak vypadá následovně: telnet o remote.firma.cz 25 220 remote.firma.cz Microsoft ESMTP MAIL Services ready at 16 May 2012 21:39:10 +0200

60


Použití webového prohlížeče pro připojení na vzdálenou plochu: remote.firma.cz:80

Obr. 17 Připojení ke vzdálené ploše přes webový prohlížeč Zdroj: práce autora

5.5 Audit softwaru a aktualizací Základními prvky obrany jak již bylo dříve zmíněno je FW a AV software. Jejich správná funkčnost, zapnutí veškerých ochranných prvků a pravidelná aktualizace jak obou programů, tak celého operačního systému a webových prohlížečů je důležitou součástí celého testování. Webové prohlížeče jsou v přímém kontaktu s vnější sítí a mohou pouhým zadáním URL adresy stáhnout virus nebo trojský kůň. Pro kontrolu veškerého uvedeného softwaru použijeme program GFILAnguard. Plná verze poskytující velkou šíři testovacích IP adres je však placená a pro naše potřeby testů nejdůležitějších zařízení, jako jsou servery, postačí 30ti denní verze. Základní obsahuje 5 IP adres pro test. Je však možnost rozsah zvýšit bezplatně. Program se ovládá jednoduše díky přehlednému GUI. Scanner lze spustit jak nad jednotlivými IP adresami, tak je možné zadat rozsah adres. Jak ukazuje Test lokálního PC byli nalezeny chybějící aktualizace a zranitelná místa. Podle chybějících patchů, na které je možné se přímo v programu podívat a nainstalovat, se určují zranitelná místa pomocí databází zranitelností SANS, CVE, OVAL.


61

Ty mohou být dále využity k průniku do systému pomocí dalších programů, jako jsou Core Impact nebo Metasploit využívající exploity k napadení daného cíle. Kromě výše zmíněných a použitých testů nabízí tento software utility pro shromažďování informací, které jsou uvedené v Shromažďování informací.

Obr. 18 Test lokálního PC Zdroj: práce autora

5.6 Ověření bezpečností politiky hesel uživatelů Jak již bylo napsáno v Chyba! Nenalezen zdroj odkazů. je důležitým prvkem dodržet dané předpisy a používat tzv. silná hesla. Tato část penetračního testu je časově nejnáročnější a závisí na výkonu použité počítačové sestavy. Jde spíše o volitelný prvek testu a závisí na zákazníkovi a čase. Avšak základní část jako kontrola, zda uživatelé dodržují předpisy, by měla proběhnout. Možné metody jsou využití slovníkových útoků, které závisí na velikosti použitého slovníku nebo využití brutální síly v podobě hádání hesel, či programů pro generování hesel podle zadaných parametrů. Z důvodu časové náročnosti nebylo příliš možné v testovaném subjektu uskutečnit sérii penetračních testů.

62


5.7 Core Impact a Metasploit Tento komerční software, který se specializuje na penetrační testy, jsem bohužel neměl možnost plně využít z administrativních důvodů a uvádím ho zde spíše teoreticky podle video prezentací výrobce, manuálu a dostupných údajů na webu firmy Core Security http://www.coresecurity.com. Samotný program poskytuje kompletní utility pro scan sítě, portů, detekci operačního systému a provádí automatizovaný průzkum zranitelných míst. RPT (Rapid Penetration Test) vypisuje aktivní hostitele v síti a možný využitelný exploit k průniku do systému. Nejde pouze o nástroj k testování PC, ale umožňuje i testovat veškeré druhy serverů, routery a koncová zařízení. Z možností, které jsem měl k poznání daného programu, představuje velice účinný nástroj k auditu sítě nejen díky funkcím, které nabízí, ale pravidelné aktualizaci zranitelných míst a exploitů pro jejich nalezení. Dalším programem, se kterým jsem se snažil pracovat je Metasploit. Je to software vytvořený pro testování zranitelností pomocí exploitů. Nevýhodou je jeho omezená platnost zkušební verze, která čítá pouhých 7 dní a nutnost vypnutých zabezpečení, kde je naistalován nebo vytvoření výjimek a pravidel, protože mnoho exploitů je považováno samotným antivirovým programem za hrozbu pro lokální počítač. Výhodou oproti Core Impact se jeví jeho cena, která pokud testovaný systém scanujeme pomocí volně dostupných verzí programu k zjištění údajů, které nám určí jaký typ exploitu použít, můžeme se poté pokusit explioatovat daný systém pomocí Metasploitu, který je cenově dostupnější. Omezená verze pro naše testy stačí je možnost použít Armitrage což je GUI pro samotný Metasploit. Je k dispozici v Backtracku 5 viz GUI Armitage pro Metasploit nebo na stránkách http://www.fastandeasyhacking.com/download.


63

Obr. 19 GUI Armitage pro Metasploit Zdroj: práce autora

5.8 Nalezení potenciálních zranitelností podle běžících služeb a verze OS Podle nalezených portů a na nich běžících služeb můžeme lehce zkoumat v databázi zranitelností, zda existuje nějaké kritické místo a upozornit na něj případně ho zabezpečit softwarem nebo pokud existuje oprava aktualizovat co nejdříve systém a dané nebezpečí odstranit nebo alespoň snížit možnost útoku na dané místo. Použité databáze:  http://web.nvd.nist.gov/view/vuln/search?execution=e2s1  http://cve.mitre.org/cve/cve.html Jedná se o stejný proces, jaký poskytuje program GFILanguard automaticky, při svém scanu sítě nebo samotného systému.

64


5.9 Systémy zranitelné vůči DoS Nalezené servery, které jsou přístupné z internetu, ať už se jedná o servery v DMZ, nebo využívají forwarding přes border router, jsou zranitelné vůči DoS útokům. Tato část testu je volitelná zákazníkem, neboť samotný útok by znepřístupnil službu nebo by mohlo dojít ke škodám na daném serveru nebo finanční ztrátě podniku. V této sekci se hlavně jedná o kontrolu případných zařízení detekujících DoS, DDoS útoky, které jsou dnes běžně používány. Zda je nainstalován software detekce průniku nebo přímo aplikace, které detekují a brání síť proti přesným tipům útoků.

5.10 Zakrytí stop po penetračních testech Tato část testu je nutná pouze pokud byly použity exploity pro průnik do systému nebo využito trojských koní a virů pro získání přístupu. Cílem je vymazání veškerého obsahu tak, aby byl systém a celá síť uvedena do stavu před samotnou zkouškou bezpečnosti, aby nebylo poznat, že byli provedeny nějaké bezpečnostní testy. Jde o stejný princip, jako když se hacker snaží zakrýt veškeré stopy po svém úspěšném útoku.

5.11 Zpráva a výsledky Tab. 3

Údaje o testu

Autoři: Verze: Datum: Název firmy: Typ testu: Cíl: Metoda testu:

Lukáš Vaščák 1.0 18. 5. 2012 Firma Penetrační testy malé podnikové LAN sítě. Stanovení potenciálních hrozeb. BlackBox

Postup penetračního testování Tab. 4

65

Výsledek testu

Test Whois lookup DNS lookup Traceroute Port scan – external GW Port scan – internal GW

Firewall

Service Pack update Antivirus software FTP server Mail server Users PC security Wirelles network

Software update

Password security

DoS security

Výsledek Běžné informace. Přenos zóny zakázán Otevřeny porty 21 (FTP), 23 (telnet), 25 (SMTP) a 80 (http) Otevřeny porty pro http, DNS a SNMP pro správu sítě. Ostatní porty filtrované firewallem na routeru. Software FW v pořádku (podle hodnocení www.avcomparatives.org existují lepší bezplatné možnosti) Hardwarový v síti není. Aktualizace na nejnovější nebo skoro nejnovější úrovni. Některé PC vypnuty automatickou aktualizaci virové databáze Umístěn v chráněné LAN Není v DMZ. Využíváno forwardingu na border routeru. Umístěn v chráněné LAN. Není v DMZ. Využíváno forwardingu na border routeru. Sdílené soubory obsahují citlivé informace. Nezaheslovány. Zabezpečení WPA2. Heslo složeno ze slov, více jak 20 znaků. Možný slovníkový útok. Chybějící aktualizace pluginů prohlížečů a některých uživatelských softwarů. Možné využití škodlivého softwaru nebo exploitů. Díky nejnovější verzi serverového OS, přihlášení do domény vyžaduje dodržení bezpečnosti hesla. Chybějící systém detekce průniku. Žádný software pro detekci DoS útoků.

Stupeň hrozby Low/Nízká None/Žádná None/Žádná Low/Nízká Low/Nízká

Medium/Střední Uknown/Neznámá Low/Nízká Medium/Střední Medium/Střední Medium/Střední Medium/Střední Low/Nízká

High/Velká

Low/Nízká

Critical/Kritická

66

Obr. 20 Graf výsledků testu Zdroj: práce autora


Postup penetračního testování Tab. 5

67

použitý software

Software Nmap 5.51 + ZenMap SoftPerfect NetScan

Dostupný z

Popis Síťový http://nmap.org/download.html scanner http://www.softperfect.com/downl Síťový oad/ scanner

GFI LANGuard 2011

http://www.gfi.cz/lannetscan/

Metasploit 4.3 + Armitage

Exploitační SW. http://www.metasploit.com/downl Dostupný i oad/ v BackTrack 5

BackTrack 5

http://www.backtracklinux.org/downloads/

NetInfo 7.8

http://netinfo.tsarfin.com/downlo ad.html

NSLookup

Součástí většiny OS nebo dostupný na více webových stránkách.

Tracerout/Tra cert

Dostupný v OS nebo na webových stránkách.

Core Impact Security v12

http://www.coresecurity.com.

inSSIDer 2.1

http://www.metageek.net/product s/inssider/

Bezpečností scanner sítě

Freeware Freeware Placený produkt, 30 denní verze, Základní cena 960Kč Placený produkt, 7 denní verze, Základní cena ±3000$

Nástroj pro testování bezpečnosti sítě

Freeware

Poskytující základní funkce pro přehled o síti

Placený produkt, 14 denní verze, Základní cena 39,95$/Euro

Aplikace pro zjištění údajů z DNS serverů. Trasování paketů sítí Software pro penetrační testování Scanner WiFi sítě

Freeware Freeware Placený produkt, Základní cena 40000$ Freeware

68

Závěr

6 Závěr Hrozba útoku z vnější sítě nebo i z vnitřní od vlastních zaměstnanců, je v poslední době poměrně ožehavé téma a s pokrokem v oboru informačních technologií se objevují další a další zranitelná místa vhodná pro potenciálního útočníka. Ve své bakalářské práci jsem se zabýval penetračním testováním podnikové LAN malé společnosti, jejíž název byl z bezpečnostních důvodů pozměněn. V počátku práce jsem nastínil hlavní ochranné mechanismy firemních sítí a co jsou vlastně penetrační testy a jaký je jejich průběh a metodika. Prvním cílem po seznámení se s teoretickou částí, byl výběr vhodného softwaru, který bude použit, následné seznámení se s možnostmi, které poskytují a v závěru provedení vlastních zkoušek. Z výsledků je patrné, že i přes celkem malou síť a firmu a jejich finanční možnosti, které mohou být na IT technologie vynakládány, je na tom společnost z hlediska bezpečnosti poměrně dobře. Během celého průběhu testu nebyly nalezeny vážnější chyby, kromě nulové ochrany proti dnes často používaným DoS a DDoS útokům, ale s ohledem na zaměření firmy na trhu není předpoklad takovýchto napadení příliš reálný. Samozřejmě není možné říci, že by byly servery a celá LAN síť v naprostém bezpečí, ale některé drobné nedostatky je možné odstranit bez nutnosti investice. Jedná se hlavně o heslo k Wi-Fi síti, údaje uložené ve sdílených složkách a občasné chybějící aktualizace softwaru na klientských stanicích. Z hlediska srovnání výše popsaných produktů a ze zadání srovnání komerčního a volně dostupného softwaru mohu čistě teoreticky říci o Core Impact, že je vskutku profesionálním nástrojem na patřičné úrovni, poskytující jak pentesterům, tak administrátorům a správcům sítě širokou škálu možností k ověření bezpečnosti sítě. Poměrně vysoká cena může být odrazující, ale je v ní zahrnuta i pravidelná aktualizace softwaru a jeho komponent. Core Impact poskytuje stejné možnosti jaké má například NMap nebo Netscan a rozšiřuje je o nástroj exploitace systému. Více o tomto programu nemohu říci, ale pro srovnání Metasploit, který je známý exploitační program, je cenově mnohem přijatelnější. Pro scan sítě využívá NMapu, pokud se jedná o verzi s Armitage. Je volně dostupný na vyzkoušení po dobu 7 dnů. GFILanguard spojuje možnosti NMapu, Netscanu do jednoho kompletního balíčku v přehledném GUI a doplňuje své možnosti o audit dalších bezpečnostních prvků. Díky napojení na databázi zranitelností přímo informuje o zranitelném místě a posouvá hranice možností dál, díky schopnosti okamžité opravy dané chyby, pokud je dostupná aktualizace nebo záplata dané chyby. Linuxová verze BackTrack 5, která je volně dostupná, je silný nástroj pro zkušené uživatele. Nevýhodou je nutnost znát práci v příkazovém řádku a pro začínající uživatele dlouhé vyhledávání jednotlivých parametrů příkazu a jejich správné kombinace. Oproti tomu, seskupuje veškeré nástroje pro celkový test sítě, ať už se jedná o bezdrátové Wi-Fi připojení nebo pomocí kabeláže. Počínaje

Závěr

69

zjišťováním informací, přes hledání zranitelných míst, testy odposlechu nebo přesměrování provozu až po útoky proti nedostupnosti. Vše uzavřeno nástroji pro přehledný výpis veškerých testů. Nevýhodou je, že obsahuje nástroje, které jsou placené a z toho důvodu jsou některé starší verze nepoužitelné nebo přímo nefunkční. NMap je a bude stále asi pro správce sítě i běžné uživatele jako volně dostupný software stále číslem jedna. Pomocí ZenMapu zpřehledňuje a pro začátečníky usnadňuje ovládání. Funkce, které nabízí, poskytují už i další nástroje, ale díky dokumentaci v mnoha jazycích je snadné ho používat. Základní funkce však dávají velký přehled o stavu sítě a umožní jednotlivé nápravy sítí všech velikostí. Jediný problém, který jsem zaznamenal, byl při hromadném pingu sítě, kdy byl NMap oproti jiným programům výrazně pomalejší, a při rozšířených funkcích celého scanu byly jiné programy poskytující stejné výsledky mnohonásobně rychlejší.

70

Literatura

7 Literatura 4SAFETY: Firewall. 4safety [online]. 2011 [cit. 2012-05-21]. Dostupné z: http://www.4safety.cz/text/firewall About CVE. CVE [online]. 1992-2012 [cit. 2012-05-21]. Dostupné z: http://cve.mitre.org/about/index.html CORE SECURITY [online]. 2012 [cit. 2012-05-21]. Dostupné z: https://cs.coresecurity.com/ GFI SOFTWARE. GFI [online]. 2011 [cit. 2012-05-21]. Dostupné z: http://www.gfi.cz/ HANÁČEK, PETR A JAN STAUDEK. Bezpečnost informačních systémů: Metodická příručka za-bezpečování produktů a systémů budovaných na bázi informačních technologií. [online]. Soubor ve formátu PDF. 2000 [cit. 2012-05-21]. HERZOG, PETE. OSSTMM 3: The Open Source Security Testing Methodology Manual [online]. 2010, 209 s. [cit. 2012-05-20]. Dostupné z: http://www.isecom.org/mirror/OSSTMM.3.pdf JIROVSKÝ, VÁCLAV. Kybernetická kriminalita: nejen o hackingu, crackingu, virech a trojských koních bez tajemství. 1. vyd. Praha: Grada, 2007, 284 s. ISBN 978-80-247-1561-2. KRČMÁŘ, PETR. Root.cz: Proč není NAT totéž co firewall. Root.cz [online]. 2007 [cit. 2012-05-21]. Dostupné z: http://www.root.cz/clanky/proc-neninat-totez-co-firewall/ LYON, GORDON. Nmap - Free Security Scanner For Network Exploration & Security Audits [online]. 1997 [cit. 2012-05-21]. Dostupné z: http://nmap.org/ M. THOMAS, THOMAS. Zabezpečení počítačových sítí bez předchozích znalostí. Brno: CP Bo-oks, a.s., 2005. ISBN 80-251-0417-6. Penetrační testy v bezpečnostní analýze informačního systému. Svetsiti [online]. 2007 [cit. 2012-05-21]. Dostupné z: http://www.svetsiti.cz/clanek.asp?cid=Penetracni-testy-v-bezpecnostnianalyze-informacniho-systemu-28102007 SOFTPERFECT NETWORK SCANNER [online]. 2000-2012 [cit. 2012-05-21]. Dostupné z: http://www.softperfect.com/products/networkscanner/ WHITAKER, ANDREW A DANIEL NEWMAN. Penetration Testing and Network Defence: The practical guide to simulating, detecting and responding to network attacks. Indianapolis: Cisco Press, 2005. ISBN 1-58705-208-3

Přílohy

71

Přílohy

72

1.

Přílohy

Domain whois výpis domain:

firma.cz

registrant: SB:BH2512-RIPE_XX admin-c: nsset:

BH2512-RIPE NSS:IOL1-RIPE:1

registrar: REG-CT status:

paid and in zone

registered: 30.09.1996 02:00:00 changed:

22.11.2006 08:45:00

expire:

28.10.2012

contact:

SB:BH2512-RIPE_XX

org:

Firma a.s.

name:

Firma a.s.

address:

Ulice + popisná

address:

„Adresa firmy“

address:

PSČ

address:

CZ

e-mail:

[email protected]

registrar: REG-CT created:

10.08.2001 22:13:00

contact:

BH2512-RIPE

name:

Bedrich Horny

address:

CZ

phone:

+420 549420121

fax-no:

+420 549420313

e-mail:

[email protected]

registrar: REG-CT created: nsset: nserver:

10.08.2001 22:13:00 NSS:IOL1-RIPE:1 ns2.tel.cz (194.228.2.1)

Přílohy

73

nserver:

dns.iol.cz (194.228.2.61)

tech-c:

SB:IOL1-RIPE

registrar: REG-CT created:

01.10.2007 02:00:00

changed:

10.10.2007 11:22:23

contact: org:

SB:IOL1-RIPE Telefónica Czech Republic, a.s.

name:

Telefónica Czech Republic, a.s.

address:

Za Brumlovkou 266/2

address:

Praha 4

address:

14022

address:

CZ

phone:

+420.271466183

e-mail:

[email protected]

registrar: REG-CT created: 2.

10.08.2001 22:13:00

changed: 31.05.2011 11:35:24 Network whois záznam inetnum:

11.111.111.0 - 11.111.111.111

netname:

NEXTEL-XDSL

descr:

XDSL NETWORK-ADSL

country:

CZ

admin-c:

HVJI1-RIPE

tech-c:

HVJI1-RIPE

status:

ASSIGNED PA

notify:

[email protected]

mnt-by:

AS5610-MTN

changed:

[email protected] 20041007

source:

RIPE

72

Přílohy

person:

Jiri Hvezda

address:

Telefonica O2 Czech Republic, a.s.

address:

Za Brumlovkou 2

address:

Prague 4 - 140 22

address:

The Czech Republic

phone:

+420 2 84084222

e-mail:

[email protected]

e-mail:

[email protected]

nic-hdl:

HVJI1-RIPE

notify: changed: source:

[email protected] [email protected] 20020722 RIPE

% Information related to '11.111.111.0/20AS5610' route:

83.208.160.0/20

descr:

CZ.CZNET

origin:

AS5610

mnt-by:

AS5610-MTN

changed:

[email protected] 20040301

source:

RIPE

Přílohy

3.

DNS záznam

Obr. 21 DNS záznam Zdroj: práce auotra

75

76

4.

5.

Přílohy

Tracerout/tracert hop

rtt

rtt

rtt

ip address

1

1

1

1

192.168.1.1

2

7

8

8

10.101.0.1

3

8

8

8

202.139.55.69

4

11

10

10

212.96.178.10

5

15

14

18

91.210.16.160

6

17

22

15

194.228.190.210

7

14

14

14

88.103.202.22

8

13

15

14

88.103.202.22

9

41

43

43

11.111.111.11

Sken portů a služeb FTP - 21

Error: TimedOut

SMTP - 25

220 remote.bioster.cz Microsoft ESMTP MAIL Service ready at Wed, 16 May 2012 17:38:48 +0200

HTTP - 80

HTTP/1.1 302 Found Content-Length: 149 Content-Type: text/html; charset=utf-8 Location: HTTPS://firma.cz/remote Server: Microsoft-IIS/7.0 X-Powered-By: ASP.NET Date: Wed, 16 May 2012 15:38:49 GMT Connection: close

POP3 - 110

Error: TimedOut

IMAP - 143

Error: TimedOut

Přílohy

6.

Výstup NetScanu

Obr. 22 Scan sítě Zdroj: práce autora

77

Návrh postupu pro ověření odolnosti podnikové LAN proti síťovým útokům

Recommend Documents