.
Il fiuto è un'altra tecnica da usare internamente. Un programma di utilità di bloccaggio del pacchetto o della ventosa può bloccare tutto il traffico che viaggia lungo il segmento della rete a cui è collegato. Installiamo normalmente le ventose durante l'organizzazione per bloccare il traffico della rete, sperante di identificare le informazioni importanti quali le identificazioni di utente e le parole d'accesso. Usiamo il fiuto per bloccare passivamente i dati che sono trasmessi attraverso la rete interna. I laptops sono solitamente la piattaforma ideale poiché sono portatili e facili da celare. Il sistema neppure non ha bisogno di un IP address poiché blocca passivamente il traffico. La macchina di fiuto copia i dati senza modificare il relativo soddisfare ed è difficile da rilevare anche con il software specializzato di rilevazione di intrusione. Ci sono programmi, quale AntiSniff, che hanno certo successo nella rilevazione delle ventose.
Gli ambienti commutati di Ethernet riducono il rischio di bloccaggio del pacchetto. Poiché la ventosa può bloccare il traffico soltanto sul relativo stesso segmento della rete, una ventosa in un ambiente commutato può vedere soltanto il traffico destinato per esso. Tuttavia, in un ambiente comune o nell'ambiente mixed, le ventose possono essere molto utili per bloccare il traffico importante. In più, il dsniff, scritto dalla canzone scavata, può fiutare attraverso gli interruttori. Gli usi del dsniff di tecniche fiutare sui segmenti commutati possono causare gli stati di smentita-de-servizio e quindi dovrebbero essere usati prudentemente durante la prova di penetrazione.
Tutto il traffico della rete che è trasmesso in testo libero è suscettibile del fiuto. Il telnet, il ftp ed altre sessioni del clear-text forniscono le informazioni importanti. La ventosa può bloccare un telnet completo e la sessione del ftp, compreso il nome dell'utente e la parola d'accesso. In più, il E-mail fiutato ed il traffico del HTTP possono rendere le parole d'accesso o gli indizii reali che permettono alle parole d'accesso di essere indovinati. Il E-mail fiutato può anche rendere il materiale confidenziale, gli argomenti legali, o altre informazioni che dovrebbero essere cifrate normalmente.
Se il pensiero che queste informazioni possono essere bloccate dalla vostra rete li interessa, la ventosa di bloccaggio di L0phtCrack's SMB certamente li interesserà. La ventosa di parola d'accesso del NT, bloccaggio di SMB, all'interno di L0phtCrack può fiutare le parole d'accesso del NT direttamente dalla rete. Se le parole d'accesso sono deboli (per esempio, parola del dizionario, short, un numero all'estremità), L0phtCrack potrà spezzare le parole d'accesso entro i minuti. Se le parole d'accesso sono forti (miscela delle lettere maiuscole e minuscole, dei caratteri speciali) potrebbe occorrere loro i mesi affinchè sia spezzata. Il fatto che la maggior parte delle parole d'accesso di uso LANMAN delle reti del NT rende ad argomenti più difettoso ancora. Le parole d'accesso di LANMAN sono richieste per essere trasmesse quando non-NT i clienti (Windows 9x) devono autenticare agli assistenti del NT. Le parole d'accesso di LANMAN non sono caso sensibile e sono quindi più facili da spezzarsi. All'inizio del piano d'azione difficile interno, inizi il bloccaggio di SMB per cominciare a bloccare e spezzare le parole d'accesso del NT.
Installiamo normalmente una ventosa nella sala di collaudo in cui siamo situati durante la prova. In più, proviamo a trovare un altro segmento della rete con i dati critici o il traffico in grande quantità della rete su cui disporre una ventosa. Spesso, i segmenti della rete che sono collegati al centro di dati, le zone di lavoro dei coordinatori di sistema, i servizi giuridici, i reparti umani di rapporti, o l'amministrazione maggiore fanno gli obiettivi eccellenti per le ventose. La chiave deve trovare una posizione in cui disporre la ventosa dove non sarà notato. Se gli armadi della rete possono essere raggiunti, potreste inserire la ventosa direttamente un orificio del mozzo o dell'interruttore e tentare di celare in qualche modo la ventosa. Poiché la maggior parte dei armadi della rete sono locked, ci concludiamo solitamente sul nascondere la ventosa in un ufficio, in un cubicolo, o in una stanza di congresso vuoto. Occasionalmente, abbiamo nascosto le ventose sotto i podiums nelle stanze di congresso. Spesso ci sono tanti legare che escono dal podium, nessuno notano un supplemento.
Una volta che la ventosa è installata nella posizione a distanza, dovete trovare un senso richiamare i dati da esso. Potete andare indietro e prendere più successivamente la ventosa e leggere i dati, usare uno scritto al ftp esso a intervalli normali, o usare un programma di telecomando per andare indietro e richiamare i dati e configurare il sistema come stato necessario. L'uso dei programmi di telecomando su queste ventose nascoste è abbastanza efficace. Questi programmi permettono che controlliate i dati state ricevendo dalla ventosa e facciate periodicamente i cambiamenti alla configurazione mentre imparate più circa la rete. Per esempio, se vedete le sessioni di inizio attività che usano che il passwd “di sintassi,” potete filtrare il traffico fiutato usando il ngrep o un altro ordine di filtrazione bloccare questo traffico in una lima. Più filtri che potete disporre sulla ventosa, più facile sarà di analizzare i dati. Tuttavia, faccia attenzione non rendere i vostri filtri troppo restrittivi o potete mancare i dati critici.
La prova interna è tanto come una serie di vulnerabilità collegate. Una volta che guadagnate l'accesso del coordinatore su un sistema, i sistemi supplementari cominciano cadere. Fortunatamente per il tester e purtroppo per l'organizzazione, le parole d'accesso del coordinatore su molti sistemi tendono ad essere le stesse all'interno dell'organizzazione. Ulteriormente, ci è solitamente almeno un cliente da ogni sistema compromesso che lavorerà ad un altro sistema. Per cominciate a spezzare i sistemi, sviluppate una lista delle informazioni che può essere utile nell'attacco degli altri sistemi: nomi di cliente, parole d'accesso, lime che possono offrire i suggerimenti di parola d'accesso, servizi vulnerabili e così via. In più, cerchi i rapporti di fiducia fra i sistemi. Spesso un sistema precedentemente abbiamo esplorato da un laptop che ha mostrato che nessuna volontà aperta degli orificii ha improvvisamente molti orificii aperti una volta esplorata da un sistema compromesso. Ciò è dovuto il fatto che il sistema può avere rapporti di fiducia o che può usare la filtrazione per permettere che soltanto gli ospiti sicuri colleghino a questi servizi. Di conseguenza, sia che sicuro caricare il vostro corredo del hacker sull'ospite compromesso e cominciare la fase di scoperta sui sistemi restanti.
Online: 322 users browsing the articles directory
. |