Geekly articles weekly

Das Buch "Kali Linux. Penetrations- und Sicherheitstests

Bild Hallo habrozhiteli! 4. Ausgabe von Kali Linux 2018: Gewährleistung der Sicherheit durch Penetrationstests wurde für ethische Hacker, Pentester und IT-Sicherheitsexperten entwickelt. Der Leser muss über Grundkenntnisse der Windows- und Linux-Betriebssysteme verfügen. Kenntnisse der Informationssicherheit sind von Vorteil und helfen Ihnen, das im Buch vorgestellte Material besser zu verstehen. Was Sie lernen werden • Führen Sie die ersten Phasen der Penetrationstests durch, verstehen Sie den Umfang ihrer Anwendung • Führen Sie die Aufklärung und Abrechnung von Ressourcen in den Zielnetzwerken durch • Empfangen und Knacken von Passwörtern • Verwenden Sie Kali Linux NetHunter, um die Penetration drahtloser Netzwerke zu testen • Erstellen Sie kompetente Penetrationstestberichte • Orientieren Sie sich in der Struktur des PCI-DSS-Standards und der für Scan- und Penetrationstests verwendeten Tools

Publikationsstruktur


Kapitel 1 „Installieren und Konfigurieren von Kali Linux“. In diesem Kapitel werden Sie in Kali Linux 2018 eingeführt. Besonderes Augenmerk wird auf verschiedene Methoden zur Verwendung des Systems gelegt. Das Kapitel ist so geschrieben, dass auch ein unerfahrener Benutzer Kali Linux von einer Live-DVD ausführen kann. Installieren und konfigurieren Sie das System auf einer Festplatte, einer SD-Karte, die an einen USB-Anschluss eines Flash-Laufwerks angeschlossen ist. Installieren Sie Kali Linux auf einer virtuellen Maschine. Darüber hinaus können Sie mit AWS Kali Linux in der Cloud installieren.

Kapitel 2 „Einrichtung eines Prüflabors“. In diesem Kapitel wird beschrieben, wie Sie eine sichere virtuelle Umgebung erstellen, in der Sie die für jedes Kapitel entwickelten praktischen Beispiele legal implementieren können. Das Kapitel enthält auch detaillierte Anweisungen zum Einrichten virtueller Maschinen wie Metasploitable 2 und Metasploitable 3, die als Zielmaschinen in Penetrationsexperimenten (Pentests) verwendet werden.

Kapitel 3, Penetrationstestmethode. Hier werden verschiedene Testmethoden vorgestellt, um das Ausmaß von Pentests zu planen und zu bestimmen. Dort finden Sie auch eine Beschreibung der praktischen Schritte und Technologien für Penetrationstests.

Kapitel 4 „Empfangen eines Fingerabdrucks und Sammeln von Informationen“. In der ersten Phase der Penetrationstests werden mehrere gängige Tools für die Intelligenz verwendet, darunter das Hacken der Google-Datenbank. In dieser Veröffentlichung finden Sie neue Informationen zu Tools zum automatischen Sammeln von Informationen wie Devploit, RedHawk und Shodan.

Kapitel 5, Scan- und Ausweichtechniken. In diesem Kapitel wird beschrieben, wie Sie mit dem leistungsstarken Nmap-Tool Ziele, Knoten und Dienste ermitteln. Mit Hilfe von Netdiscover und Striker wird das automatische Scannen und Sammeln von Informationen durchgeführt. Darüber hinaus wird in diesem Kapitel ein Tool wie Nipe beschrieben, das Benutzern Datenschutz und Anonymität bietet.

Kapitel 6, Vulnerability Scan. Praktische Beispiele zeigen, wie Sie Schwachstellen in einem Zielcomputer finden. Es enthält schrittweise Anweisungen zur Verwendung leistungsfähiger automatisierter Tools zur Bewertung von Schwachstellen wie Nessus 7 und OpenVAS. Sie finden neue Informationen zum Lynis Linux-Tool zum Scannen und Überprüfen von Sicherheitslücken sowie zum SPARTA-Tool, mit dem Sicherheitslücken bewertet und aufgelistet werden sollen. Die Arbeit aller Instrumente wird in einem Prüflabor durchgeführt, und es wird garantiert, dass reale Bewertungen genau modelliert werden.

Kapitel 7, Social Engineering. Es werden die Grundprinzipien und Methoden erörtert, mit denen professionelle Sozialingenieure Menschen so manipulieren, dass sie Informationen preisgeben oder andere Aktionen ausführen.

Kapitel 8 „Gezielter Betrieb“. In diesem Kapitel wenden Sie Methoden und Werkzeuge für den Betrieb von Computersystemen (Exploits) an. Exploits nutzen Schwachstellen und Fehler in Systemen aus, wodurch der Benutzer Zugriff auf das System erhält.

Kapitel 9, „Eskalation von Berechtigungen und Aufrechterhaltung des Zugriffs“. Hier erfahren Sie, wie Sie den Zugriff erhöhen und andere Konten im System hacken können. Gehackte Konten werden verwendet, um den Zugriff auf das System aufrechtzuerhalten und weiteren Zugriff auf das Netzwerk zu erhalten.

Kapitel 10, „Testen von Webanwendungen“. In diesem Kapitel werden einige grundlegende Tools zum Testen von Webanwendungen sowie Cloud-Anwendungen vorgestellt, da diese auf denselben Protokollen basieren und viele derselben Plattformen verwenden.

Kapitel 11, „Testen von drahtlosen Netzwerken auf Penetration“. In diesem Kapitel wird die Konfiguration von Tools erläutert, mit denen die Daten erfasst werden, die für den Einbruch in drahtlose Netzwerke und deren Zugriff erforderlich sind, einschließlich der Einrichtung gefälschter Zugriffspunkte.

Kapitel 12, Mobile Penetrationstests mit Kali NetHunter. In diesem Kapitel wird ein praktischer Ansatz für Penetrationstests mit mobilen Geräten vorgestellt. Die Installation und Konfiguration der erforderlichen Anwendungen wird ausführlich beschrieben, und der Prozess des Scannens und Bewertens von Schwachstellen, Man-in-the-Middle-Angriffen und drahtlosen Angriffen, die von mobilen Anwendungen ausgeführt werden können, wird demonstriert.

Kapitel 13, „PCI DSS: Scannen und Penetrationstests“. Hier wird ein Standard eingeführt, sechs Aufgaben und 12 Anforderungen beschrieben und ein Übersichts-Penetrationstest gegeben. Der Schwerpunkt liegt auf den PCI DSS-Versionen 11.3.1 und 11.3.2.

Kapitel 14, Berichterstellungstools für Penetrationstests. Verschiedene Arten von Berichten und Verfahren, die am Ende des Tests durchgeführt werden, werden diskutiert, und die Verwendung der Dradis-Plattform zum Organisieren und vollständigen Dokumentieren eines Penetrationstests wird demonstriert.

Auszug. Penetrationstest-Methodik


Einer der wichtigsten Faktoren, die den Erfolg eines Penetrationstests beeinflussen, ist die Standardtestmethode. Das Fehlen von Standardmethoden zur Durchführung eines Penetrationstests bedeutet die mangelnde Gleichmäßigkeit. Wir sind sicher, dass Sie kein Tester sein möchten, der einen zufälligen Test durchführt, das eine oder andere Tool verwendet und keine Ahnung hat, welche Ergebnisse dieser Test bringen sollte.

Eine Methodik besteht aus einer Reihe von Standardregeln, praktischen Maßnahmen und Verfahren, die bei der Arbeit mit Programmen zur Überprüfung der Informationssicherheit implementiert werden. Die Penetrationstestmethode bestimmt in erster Linie den Testplan. Dieser Plan enthält nicht nur den Zweck des Tests, sondern auch die Aktionen, die ausgeführt werden müssen, um den tatsächlichen Sicherheitsstatus des Netzwerks, der Anwendungen, des Systems oder einer beliebigen Kombination davon zu bewerten.

Der Tester muss über praktische Testfähigkeiten verfügen. Er muss die Werkzeuge besitzen, mit denen der Test durchgeführt wird. Nur eine genau definierte Penetrationstestmethode, theoretisches Wissen und praktische Fähigkeiten des Testers ermöglichen einen vollständigen und zuverlässigen Penetrationstest. Gleichzeitig sollte die Methodik den Tester jedoch nicht daran hindern, seine Vermutungen zu analysieren.

Penetrationstest-Methodik


Um festzustellen, welchen Test Sie jetzt durchführen müssen, müssen Sie wissen, welche Tests in welchen Bereichen existieren und für welche Zwecke sie angewendet werden. Alle Tests können in drei Gruppen unterteilt werden.

  • Die Methoden der "White Box". In dieser Testgruppe kennt der Tester das zu testende System gut und hat vollen Zugriff auf alle seine Komponenten. Tester arbeiten mit dem Client und haben Zugriff auf Verschlusssachen, Server, laufende Software, Netzwerkdiagramme und manchmal sogar Anmeldeinformationen. Diese Art von Test wird normalerweise durchgeführt, um neue Anwendungen vor ihrer Inbetriebnahme zu testen und das System im Rahmen seines Lebenszyklus - System Development Life Cycle (SDLC) - regelmäßig zu überprüfen. Solche Aktivitäten können Schwachstellen identifizieren und beseitigen, bevor sie in das System gelangen und es beschädigen können.
  • Die Methoden der "Black Box". Diese Testgruppe ist anwendbar, wenn der Tester nichts über das zu testende System weiß. Diese Art des Testens ähnelt am ehesten einem echten Angreiferangriff. Der Tester muss alle Informationen erhalten, indem er die ihm zur Verfügung stehenden Methoden und Werkzeuge kreativ anwendet, ohne jedoch über die mit dem Kunden geschlossene Vereinbarung hinauszugehen. Diese Methode hat jedoch auch ihre Nachteile: Obwohl sie einen echten Angriff auf ein System oder eine Anwendung imitiert, kann ein Tester, der nur sie verwendet, einige Schwachstellen überspringen. Dies ist ein sehr teurer Test, da er viel Zeit in Anspruch nimmt. Während der Durchführung untersucht der Tester alle möglichen Angriffsrichtungen und meldet erst danach die Ergebnisse. Darüber hinaus muss der Tester sehr vorsichtig sein, um das zu testende System nicht zu beschädigen und keine Fehlfunktion zu verursachen.
  • Die Methoden der "grauen Box". Der Test berücksichtigt alle Vor- und Nachteile der ersten beiden Tests. In diesem Fall stehen dem Tester nur begrenzte Informationen zur Verfügung, die einen externen Angriff auf das System ermöglichen. Tests werden normalerweise in begrenztem Umfang durchgeführt, wenn der Tester ein wenig über das System weiß.

Um unabhängig von den verwendeten Penetrationstests die besten Testergebnisse zu erzielen, muss der Tester die Testmethode einhalten. Als nächstes werden wir einige der beliebtesten Standardtestmethoden genauer diskutieren.

  • OWASP-Testhandbuch.
  • PCI Penetration Testing Guide.
  • Penetrationsteststandard.
  • NIST 800-115.
  • Open Source Security Testing Methodology Guide (OSSTMM).

OWASP-Testhandbuch


Open Web Application Security Project (OWASP) - Dieses Projekt bringt Open Source-Softwareentwickler zusammen. Die Mitglieder dieser Community erstellen Programme zum Schutz von Webanwendungen und Webdiensten. Alle Anwendungen werden unter Berücksichtigung der Erfahrung im Umgang mit Programmen erstellt, die Webdienste und Webanwendungen schädigen. OWASP ist der Ausgangspunkt für Systemarchitekten, Entwickler, Lieferanten, Verbraucher und Sicherheitsexperten, dh alle Fachleute, die an Design, Entwicklung, Bereitstellung und Sicherheitstests aller Webdienste und Webanwendungen beteiligt sind. Mit anderen Worten, OWASP engagiert sich für die Erstellung sicherer Webanwendungen und Webdienste. Der Hauptvorteil des OWASP-Testhandbuchs besteht darin, dass Sie anhand der vorgestellten Testergebnisse eine umfassende Beschreibung aller Bedrohungen erhalten. Der OWASP-Testleitfaden identifiziert alle Gefahren, die den Betrieb des Systems und der Anwendungen beeinträchtigen können, und bewertet die Wahrscheinlichkeit ihres Auftretens. Mithilfe der in OWASP beschriebenen Bedrohungen können Sie die Gesamtbewertung der durch Tests identifizierten Risiken ermitteln und geeignete Empfehlungen entwickeln, um die Mängel zu beheben.

Der OWASP-Testleitfaden konzentriert sich hauptsächlich auf die folgenden Themen.

  • Methoden und Tools zum Testen von Webanwendungen.
  • Informationsbeschaffung.
  • Authentifizierung
  • Geschäftslogik testen.
  • Testdaten.
  • Denial-of-Service-Angriffstests.
  • Überprüfung der Sitzungsverwaltung.
  • Testen von Webdiensten.
  • AJAX-Test.
  • Ermittlung des Risikograds.
  • Die Wahrscheinlichkeit von Bedrohungen.

PCI Penetration Testing Guide


Hier finden Sie die Richtlinien für Unternehmen, die die Anforderungen von PCI (Payment Card Industry - Payment Card Industry) erfüllen. Darüber hinaus finden Sie im Handbuch Standards nicht nur für den PCI v3.2-Standard. Es wurde vom PCI-Sicherheitsrat erstellt, der Penetrationstestmethoden als Teil von Schwachstellenmanagementprogrammen definiert.

Der PCI Data Security Standard (PCI DSS) Version 3.2 wurde im April 2016 vom PCI SSC (Payment Card Industry Security Standards Board) veröffentlicht. Nach der Aktualisierung des Standards wurden die Anforderungen geklärt, zusätzliche Anweisungen erschienen und sieben neue Anforderungen.

Um Probleme im Zusammenhang mit Verstößen gegen die Vertraulichkeit personenbezogener Daten von Karteninhabern zu beseitigen und vor bestehenden Exploits zu schützen, wurden verschiedene Änderungen am PCI DSS V. 3.2-Standard vorgenommen, von denen sich die meisten auf Dienstanbieter beziehen. Zu diesen Änderungen wurden neue Änderungen bei den Penetrationstests hinzugefügt, wonach Segmentierungstests für Dienstleister mindestens alle sechs Monate oder nach signifikanten Änderungen der Kontrollen / Segmentierungsmethoden durchgeführt wurden. Darüber hinaus enthält dieser Standard mehrere Anforderungen, nach denen Service Provider kritische Sicherheitsmanagementelemente das ganze Jahr über kontinuierlich überwachen und warten müssen.

Standard-Penetrationstests


Der Penetrationsteststandard besteht aus sieben Hauptabschnitten. Sie decken alle Anforderungen, Bedingungen und Methoden für die Durchführung von Penetrationstests ab: von der Intelligenz bis zu Versuchen, Pentests durchzuführen; Phasen der Informationserfassung und Bedrohungsmodellierung, in denen Tester inkognito arbeiten, um die besten Überprüfungsergebnisse zu erzielen; Phasen der Schwachstellenforschung, -ausnutzung und -nachnutzung, in denen praktisches Wissen über Sicherheitstester mit Daten kombiniert wird, die während Penetrationstests erhalten wurden; und als letzte Phase - Berichterstattung, in der alle Informationen in einer für den Kunden verständlichen Form bereitgestellt werden.

Heute ist die erste Version, in der alle Standardelemente unter realen Bedingungen getestet und zugelassen werden. Die zweite Version befindet sich in der Entwicklung. Darin werden alle Anforderungen detailliert, verfeinert und verbessert. Da der Plan für jeden Penetrationstest einzeln entwickelt wird, können verschiedene Tests verwendet werden: vom Testen von Webanwendungen bis zur Durchführung von Tests, die zum Testen nach der "Black Box" -Methode vorgesehen sind. Mit diesem Plan können Sie sofort den erwarteten Komplexitätsgrad einer bestimmten Studie bestimmen und ihn je nach Organisation in den von der Organisation benötigten Mengen und Bereichen anwenden. Vorläufige Forschungsergebnisse finden Sie im Abschnitt zum Sammeln von Informationen.

Als Grundlage für die Durchführung von Penetrationstests sind nachstehend die Hauptabschnitte der betrachteten Norm aufgeführt.

  • Vorabvereinbarung für die Interaktion.
  • Sammeln von Informationen.
  • Bedrohungsmodellierung.
  • Schwachstellenanalyse.
  • Bedienung.
  • Nachnutzung.
  • Verfassen von Berichten.

NIST 800-115


Eine Sonderpublikation der Sonderpublikation des Nationalen Instituts für Standards und Technologie, NIST SP 800-115, ist ein technischer Leitfaden zum Testen und Bewerten der Informationssicherheit. Die Veröffentlichung wurde vom Information Technology Laboratory (ITL) am NIST erstellt.

In diesem Handbuch wird die Sicherheitsbewertung als der Prozess interpretiert, mit dem ermittelt wird, wie effektiv die zu bewertende Organisation bestimmte Sicherheitsanforderungen erfüllt. Wenn Sie das Handbuch anzeigen, werden Sie feststellen, dass es eine große Menge an Informationen zum Testen enthält. Obwohl das Dokument selten aktualisiert wird, ist es nicht veraltet und kann als Referenz für die Erstellung einer Testmethode dienen.

Dieses Handbuch enthält praktische Anleitungen zur Entwicklung, Implementierung und Wartung von technischen Informationen, Sicherheitstests sowie Prüfungsverfahren und -verfahren, die ein Schlüsselelement oder technische Sicherheits- und Prüfungstests abdecken. Diese Empfehlungen können für verschiedene praktische Aufgaben verwendet werden. Suchen Sie beispielsweise nach Schwachstellen in einem System oder Netzwerk und überprüfen Sie die Einhaltung einer Richtlinie oder anderer Anforderungen.

NIST 800-115 bietet einen umfangreichen Penetrationstestplan. Es stellt sicher, dass das Penetrationstestprogramm den Empfehlungen entspricht.

Handbuch zur Open Source-Sicherheitstestmethode
OSSTMM ist ein Dokument, das schwer zu lesen und zu verstehen ist. Es enthält jedoch eine große Menge relevanter und sehr detaillierter Sicherheitsinformationen. Es ist auch der bekannteste Sicherheitsleitfaden der Welt mit ungefähr einer halben Million Downloads pro Monat. Der Grund für diese Beliebtheit ist folgender: Diese Anweisungen sind allen anderen Dokumenten in der Sicherheitsbranche etwa ein Jahrzehnt voraus. Das Ziel von OSSTMM ist die Entwicklung von Standards zur Überprüfung der Internetsicherheit. Dieses Dokument soll den detailliertesten Basisplan für Tests bilden, der wiederum einen gründlichen und umfassenden Penetrationstest bietet. Unabhängig von anderen organisatorischen Merkmalen wie dem Unternehmensprofil eines Penetrationstest-Dienstleisters kann der Kunde mit diesem Test den Grad der technischen Bewertung überprüfen.

Rahmen: Allgemeine Penetrationstests


Trotz der Tatsache, dass sich die Standards in der Anzahl der Bedingungen unterscheiden, können Penetrationstests in die folgenden Stufen unterteilt werden.

1. Intelligenz.

2. Scannen und Auflisten.

3. Zugriff erhalten.

4. Eskalation von Berechtigungen.

5. Behalten Sie den Zugang bei.

6. Spuren fegen.

7. Berichterstattung.

Lassen Sie uns jede Phase genauer betrachten.

Intelligenz


Dies ist der erste und sehr wichtige Schritt in einem Penetrationstest. Es kann viel Zeit in Anspruch nehmen. Viele Tester teilen diese Phase in zwei Teile: aktive und passive Intelligenz. Ich bevorzuge es, diese beiden Phasen zu kombinieren, da die Ergebnisse für sich selbst sprechen werden.

Intelligenz (Aufklärung) ist ein systematischer Ansatz, wenn Sie versuchen, so viele Informationen wie möglich über das Zielsystem oder die Zielmaschine zu lokalisieren und zu sammeln. Dies wird auch als Trace-Sammlung bezeichnet.

Die folgenden Methoden können verwendet werden, um diesen Prozess auszuführen (tatsächlich kann die Liste der Methoden viel breiter sein).

  • Social Engineering (dies ist eine aufregende Methode).
  • Recherche im Internet (über Suchmaschinen wie Google, Bing, LinkedIn usw.).
  • Reisen durch Mülleimer (Sie können sich die Hände schmutzig machen).
  • Kalte Anrufe.

Sie können eine der aufgelisteten Methoden auswählen, um Informationen über das Zielsystem oder den Zielcomputer zu erhalten. Aber was müssen wir zu diesem Zeitpunkt noch wissen?

Natürlich kann jede Information für uns nützlich sein. Aber wir müssen ein vorrangiges Ziel haben. Bitte beachten Sie, dass die gesammelten Daten, die zum gegenwärtigen Zeitpunkt möglicherweise unnötig erscheinen, später nützlich sein können.

Die folgenden Informationen sind für uns zunächst sehr wichtig.

  • Namen der Kontakte in der Organisation.
  • Wo befindet sich die Organisation (sofern solche Daten verfügbar sind)?
  • E-Mail-Adressen (diese Daten können später für Phishing verwendet werden, dh für die Erfassung vertraulicher Daten).
  • Telefonnummern wichtiger Personen, die in diesem Unternehmen arbeiten (nützlich für Phishing).
  • Vom Unternehmen verwendete Betriebssysteme wie Windows oder Linux.
  • Stellenanzeigen.
  • Zusammenfassung der Mitarbeiter (Vergangenheit und Gegenwart).

Auf den ersten Blick scheinen all diese Daten nützlich zu sein (es sei denn, sie verwechseln Stellenanzeigen). Angenommen, Sie treffen einen Systemadministrator. Wenn Sie die grundlegenden Anforderungen kennen, erhalten Sie viele Informationen über das interne System des Unternehmens. Dies kann verwendet werden, um eine Angriffsrichtung zu entwickeln.

Für die gleichen Zwecke und dienen als Lebenslauf der Mitarbeiter. Wenn Sie wissen, was Menschen tun können, können Sie leicht feststellen, mit welchen Systemen sie arbeiten und welche ihnen nicht zur Verfügung stehen.

Dies mag Ihnen langweilig erscheinen. Aber denken Sie daran: Je mehr Informationen Sie sammeln, desto mehr Möglichkeiten haben Sie, jetzt und später Entscheidungen zu treffen.

Wir glauben, dass während der gesamten Interaktion auf Intelligenz zurückgegriffen werden sollte.

»Weitere Informationen zum Buch finden Sie auf der Website des Herausgebers
» Inhalt
» Auszug

25% Rabatt auf Gutschein für Händler - Kali Linux
Nach Bezahlung der Papierversion des Buches wird ein elektronisches Buch per E-Mail verschickt.

Source: https://habr.com/ru/post/de465123/

More articles:


All Articles