|
Lege of standaard wachtwoorden
|
Het leeg laten van een beheerderswachtwoord of het gebruiken van een standaard wachtwoord ingesteld door de leverancier. Dit is vaak heel gebruikelijk in hardware zoals routers en firewalls, hoewel sommige services die op Linux draaien een standaard beheerderswachtwoord kunnen bevatten (deze bevinden zich niet in Fedora 11).
|
| Vaak voorkomend in netwerk hardware zoals routers, firewalls, VPN's, en aan het netwerk gekoppelde opslag (NAS) apparaten. | | Veel voorkomend in legacy operating systemen, in het bijzonder diegene die services bundelen (zoals UNIX en Windows). | | Beheerders maken soms gebruikersaccount met veel rechten onder tijdsdruk aan en laten het wachtwoord leeg, daarmee maken ze een perfecte ingang voor kwaadwillige gebruikers die dat account ontdekken. |
|
|
Standaard gedeelde sleutels
|
Beveiligde services bevatten soms standaard beveiligingssleutels voor ontwikkelings of evaluatie test doeleinden. Als deze sleutels onveranderd blijven en ze worden in een productie omgeving op het Internet geplaatst, hebben alle gebruikers met dezelfde standaard sleutels toegang tot die gedeelde sleutel hulpbron, en alle gevoelige informatie die het bevat.
|
| Veel voorkomend in draadloze toegangs punten en voor-ingestelde beveiligde server apparaten. |
|
|
IP adres voor de gek houden (spoofing)
|
Een machine op afstand doet zich voor als een node in jouw locale netwerk, vindt kwetsbaarheden van je servers, en installeert een achterdeur programma of een paard van Troje om controle te krijgen over je netwerk hulpbronnen.
|
| Spoofing is erg moeilijk omdat het inhoudt dat de aanvaller TCP/IP volgorde nummers moet voorspellen om een verbinding naar de doelsystemen te coördineren, maar verschillende gereedschappen zijn beschikbaar die crackers helpen een dergelijke kwetsbaarheid uit te voeren. | Hangt af van de op het doel systeem draaiende services (zoals rsh, telnet, FTP en andere) die op-broncode-gebaseerde authenticatie technieken gebruiken, wat niet aanbevolen wordt in vergelijk met PKI of andere vormen van versleutelde authenticatie zoals gebruikt in ssh of SSL/TLS. |
|
|
Afluisteren
|
Het verzamelen van data dat tussen twee actieve nodes op een netwerk uitgewisseld wordt door het afluisteren van de verbinding tussen de twee nodes.
|
| Dit aanvals type werkt meestal met leesbare tekst verbindings protocollen, zoals Telnet, FTP, en HTTP overdracht. | | Een aanvaller op afstand moet toegang hebben tot een in gevaar gebracht systeem in een LAN om een dergelijke aanval uit te voeren; gewoonlijk heeft de cracker een actieve aanval (zoals IP spoofing of de-man-in-het-midden) gebruikt om een systeem in het LAN in gevaar te brengen. | | Preventieve maatregelen zijn services met versleutelde sleutel uitwisseling, eenmalige wachtwoorden, of versleutelde authenticatie om wachtwoord snuffelen te voorkomen; sterke versleuteling gedurende de overdracht is ook aanbevolen. |
|
|
Service kwetsbaarheden
|
Een aanvaller vindt een zwakte of kijkgat in een service die op het Internet draait; met deze kwetsbaarheid compromitteert de aanvaller het gehele systeem en alle data die het bevat, en kan mogelijk andere systemen in het netwerk in gevaar brengen.
|
| Op HTTP-gebaseerde services zoals CGI zijn kwetsbaar voor het uitvoeren van commando's op afstand en zelfs voor interactieve shell toegang. Zelfs als de HTTP service draait als een gebruiker zonder rechten zoals "nobody", kan informatie zoals configuratie bestanden en netwerk plattegronden gelezen worden, of de aanvalerl kan een dienstweigerings aanval starten die de systeem hulpbronnen laat opdrogen en het onbereikbaar maakt voor andere gebruikers. | | Services kunnen soms kwetsbaarheden hebben die niet opgemerkt worden tijdens de ontwikkeling en het testen; deze kwetsbaarheden (zoals buffer overloop, waarbij aanvallers een service laten crashen door het gebruik van willekeurige waardes die het geheugen buffer van een toepassing vullen, geven de aanvaller een interactieve commando prompt van waaruit ze willekeurige commando's kunnen uitvoeren) kunnen de hele beheers controle aan de aanvaller geven. | | Beheerders moeten er zeker van zijn dat services niet als de root gebruiker draaien, en moeten waakzaam blijven voor correcties of vernieuwingen voor toepassingen van leveranciers of beveiligings organisaties zoals CERT en CVE. |
|
|
Toepassings kwetsbaarheden
|
Aanvallers vinden fouten in bureaublad en werkstation toepassingen (zoals email clienten) en voeren willekeurige code uit, brengen paarden van Troje aan voor toekomstig in gevaar brengen, of laten systemen chrashen. Verdere uitbuiting kan plaatsvinden als het in gevaar gebrachte werkstation beheersrechten heeft op de rest van het netwerk.
|
| Werkstations en bureaubladen zijn gevoeliger voor uitbuiting omdat werknemers niet de kennis of ervaring hebben om in gevaar brengen te voorkomen of te ontdekken; het is noodzakelijk om mensen te informeren over de risico's die ze nemen als ze ongeoorloofde software installeren of ongevraagde bijlages van emails openen. | | Beschermingen kunnen aangebracht worden zodat email client software niet automatisch bijlages opent of uitvoert. Daarnaast kan de automatische vernieuwing van werkstation software met Red Hat Network of andere systeembeheerdiensten, de taak van multi-seat beveiligings opstellingen verlichten. |
|
|
Service weigerings (Denial of service - DoS) aanvallen
|
Een aanvaller of een groep van aanvallers coördineren tegen het netwerk of de server hulpbronen van een organisatie door het ongevraagd sturen van pakketten naar de doel host (of server, router, of werkstation). Dit veroorzaakt dat de hulpbronnen niet beschikbaar zijn voor rechtmatige gebruikers.
|
| De meest vermelde DoS aanval in de VS vond plaats in 2000. Verscheidene druk bezochte commerciële en regerings sites werden onbereikbaar gemaakt door een gecoördineerde ping overspoelings aanval door het gebruik van verscheidene in gevaar gebrachte systemen met hoge bandbreedte verbindingen die optraden als zombies, of doorsturende uitzend nodes. | | Bron pakketten zij meestal vervalsd (en ook opnieuw uitgezonden), wat het onderzoek naar de echte herkomst van de aanval moeilijk maakt. | Vooruitgang in toegangs filtering (IETF rfc2267) met gebruik van iptables en netwerk indringings detectie systemen zoals snort helpen beheerders met het opsporen en voorkomen van gespreide DoS aanvallen. |
|
