Konzentratoren.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Nachdem wir in früheren Beiträgen die theoretischen Grundlagen der OSI-Modellebenen untersucht haben, betrachten wir nun die Angriffe, die gegen Geräte und Anwendungen, die auf jeder OSI-Ebene ausgeführt werden können, durchgeführt werden können.
Angriffe auf physischer Ebene sind seit langem bekannt, und es scheint, dass jeder weiß, wie man mit ihnen umgeht, aber manchmal kann man mit einem solchen Angriff vertrauliche Informationen erhalten.
Beginnen wir mit den einfachsten Netzwerkgeräten - Hubs (Hub). Wie Sie wissen, sendet der Hub, wenn er ein Paket an einen seiner Ports empfängt, es an alle anderen weiter.
Dabei erhalten alle an diesen Hub angeschlossenen Maschinen das gesendete Paket. Bei der Verwendung dieser Geräte wird die Bandbreite eines Netzwerksegments erheblich reduziert und, was aus Sicht der Informationssicherheit viel wichtiger ist, kann jeder Benutzer, der mit dem Hub verbunden ist, den gesamten Datenverkehr, der durch dieses Segment fließt, problemlos abhören.
Um dies in der Praxis zu testen, müssen Sie einfach mehrere Maschinen an den Hub anschließen und auf einer von ihnen die Startdiskette und die in den Anwendungen beschriebene Kali-Distribution oder eine andere Distribution ausführen
Linux, das dieses Dienstprogramm enthält. Hier und weiter sind alle in den Beispielen aufgeführten Dienstprogramme im Lieferumfang von Kali Linux enthalten, sofern nicht ausdrücklich anders angegeben.
Nachdem Sie das Kali Linux–Betriebssystem gestartet haben, müssen Sie nacheinander wählen: Privilege Escalation - Sniffers - Wireshark.
Als nächstes müssen Sie im geöffneten Anwendungsfenster die Schnittstelle angeben, von der der Datenverkehr abgefangen wird, und auf Start klicken.
Nun, jetzt ist das Interessanteste. Wir gehen von einer Maschine, die mit demselben Hub verbunden ist wie eine Website, die die Anmeldeinformationen unverschlüsselt über das Webformular sendet, und geben einen Benutzernamen und ein Passwort ein (vorzugsweise nicht echte). Wir senden diese Daten an den Server und erhalten eine Meldung über falsche Anmeldeinformationen.
Gehen Sie dann zum Wireshark-Fenster und sehen Sie sich den HTTP-Datenverkehr an, der vom lokalen Computer zum Webserver übertragen wurde.
In meinem Beispiel habe ich ein Webportal eines bekannten sozialen Netzwerks verwendet, das vor einigen Jahren bei der Übermittlung von Anmeldeinformationen keine Verschlüsselung verwendet und den Benutzernamen und das Passwort unverschlüsselt weitergegeben hat. In meinem Fall war der Login test und das Passwort ist p@ssw0rd. Im Protokoll wird das @ -Zeichen durch den hexadezimalen UTF-8-Code ersetzt.
Natürlich verwenden viele Websites Verschlüsselung bei der Übertragung von Anmeldeinformationen, aber dennoch kann ein erfahrener Hacker durch das Abhören des Datenverkehrs eine Menge nützlicher Informationen sammeln. Beispielsweise können Sie anhand der Server, auf die der Computer zugreift, versuchen, das auf dem Computer installierte Betriebssystem bis hin zu den Versionen der installierten Updates zu ermitteln. Sie können sich auch über installierte Anwendungen informieren. Solche Angriffe werden als "passiver Fingerabdruck" bezeichnet. Die auf diese Weise erhaltenen Informationen können später von einem Angreifer verwendet werden, um komplexere Angriffe zu implementieren.
Die obigen Beispiele zeigen, dass die Hubs nicht für die Verwendung in lokalen Netzwerken geeignet sind. Aber hetzen Sie nicht, sie wegzuwerfen. Wenn Ihr Netzwerk Failovercluster verwendet (die Notwendigkeit von Failoverclustern wird ausführlich in den Risikopostings beschrieben), können Sie Hubs verwenden, um die Knoten des Clusters intern zu verbinden. Tatsache ist, dass die Knoten im Cluster ständig Nachrichten austauschen müssen, die «Ich bin lebendig» sind, diese Nachrichten werden von den Knoten aneinander weitergeleitet. Da der Hub keine CAM-Tabellen erstellt, sondern Pakete direkt sendet, erkennt der zweite Knoten im Falle eines Ausfalls eines der Knoten schneller den Ausfall des zweiten Knotens. Die Switches bilden CAM-Tabellen, die eine gewisse Lebensdauer haben, und wenn einer der Knoten ausfällt, wird der zweite erst nach Ablauf dieser Lebensdauer davon erfahren. Wir werden jedoch später mehr über die Switches erfahren. Für kritische Geschäftsanwendungen wie E-Mail, Unternehmensdatenbank oder Website ist eine einfache Dauer von wenigen Sekunden äußerst schädlich und für eine Karriere als Systemadministrator einfach gefährlich. Daher ist die Verwendung von Hubs in Clustersystemen durchaus gerechtfertigt. Um diese Bedrohungen zu vermeiden, müssen Sie die in den folgenden Beiträgen beschriebenen Switches verwenden.
Jetzt ist es nicht mehr so einfach, einen Hub im Firmennetzwerk zu finden. Sie werden überall durch Switches ersetzt, und dies ist der beste Weg, um die oben beschriebenen Bedrohungen zu vermeiden. Falls Ihr Netzwerk über Hubs verfügt und Sie diese derzeit nicht ablehnen können, müssen Sie verhindern, dass Benutzer den Datenverkehr programmgesteuert abhören können. Dies ist am einfachsten, indem Sie den Benutzern die Administratorrechte auf ihren Arbeitsstationen entziehen. Außerdem muss verhindert werden, dass die Netzwerkkarte im Modus funktioniert, in dem Sie den gesamten Datenverkehr empfangen können, nicht nur den für diese Maschine vorgesehenen.