Welche Hacker über Ihre Netzwerk -, dass Sie nicht

Ob Sie sie nennen Hackern, Crackern oder Cyberkriminellen spielt keine Rolle. Was zählt ist, was Sie sie nennen – sie sind nach einem Weg in Ihr Netzwerk suchen

Sie können nicht erkennen, aber Hacker scannen Ihre Internet-Verbindung auf der Suche nach einer Öffnung

Was!. werden sie tun, wenn sie einen zu finden? Sie werden einen Angriff gegen diese Öffnung zu starten, um zu sehen, wenn sie eine Sicherheitslücke, die es ihnen ermöglichen, remote ausführen einige Befehle wodurch sie Zugriff auf Ihr Netzwerk zu nutzen.

Aber alles beginnt mit dem Scannen Ihres Netzwerks. [ 1999003]

Automatisierte Tools sind eine wunderbare Sache

Cyber-Kriminelle nicht jedes einzelne Netzwerk über das Internet eine nach der anderen scannen. Sie haben Werkzeuge, die nach dem Zufallsprinzip zu scannen automatisierten jeden IP-Adresse über das Internet

Hacker sind nicht faule Menschen -. Nur sehr effizient. Und sehr intelligent. Die Werkzeuge, die sie verwenden können, mit einer Reihe von Internet-Adressen zu scannen vorgespannt werden. Da dieses Tool findet eine Internet-Adresse mit bestimmten Öffnungen es eine Liste mit der Adresse und der Öffnung. Diese Liste wird dann in ein anderes Werkzeug, das aktiv versucht, dass die Öffnung mit verschiedenen Programmen zu nutzen zugeführt. Wenn kein Exploit funktioniert, bewegt Programm des Hackers auf den nächsten potenziellen Opfer.

Wenn Sie den Scan-Aktivitäten in Ihrer Firewall-Logs zu sehen, wissen Sie, wo Sie sind, die aus gescannten und was sie versuchen zum Ziel. Mit dieser Daten sollten Sie überprüfen, ob Sie mit Software, die diese Schnittstelle verwenden sind bewaffnet, und wenn es keine neu entdeckte Öffnungen hat. Bei Verwendung von Software hören an diesem Port gescannt und es ist ein Patch verfügbar ist, sollten Sie das Patch sofort angewendet -, weil die Hacker kann etwas, das Sie nicht wissen,

. HINWEIS: Es ist unsere Erfahrung, dass viele Unternehmen flicken ihre Microsoft Windows-Software, aber selten tun sie prüfen Patches für alle andere Software im Unternehmen verwendet werden

Wie bereits erwähnt, werden Sie diese Aktivität in Ihrer Firewall-Logs zu sehen -. Das heißt, wenn jemand tatsächlich Überprüfung Ihrer Firewall-Logs.

Oh, hat meine Firewall-Logs?

, als die meisten Unternehmer sind, über ihre Firewall-Logs gebeten Allerdings ist die typische Reaktion der Regel etwas wie „Oh, mein Firewall-Logs?“ Ja, alle Firewalls erzeugen Protokolldateien. Die meisten von ihnen nur zeigen, was blockiert worden, die wie mit Bildern aller Diebe, die im Gefängnis ist, während die Bank auf der Straße ausgeraubt wird.

Würden Sie nicht den gesamten Datenverkehr sehen? Dies erzeugt mehr Arbeit, aber wenn Ihre Firewall protokolliert einzige Aktivität es kennt, sind Sie Sicherheit ist völlig abhängig von der Fähigkeit der Firewall und der Art, wie es konfiguriert ist.

Viele Firewall-Unternehmen wollen ihre Anzahl reduzieren Tech-Support-Anrufe. Ihr Geschäftsmodell dreht sich um mit technischen Support zur Verfügung, aber in den Prozess sie sind auch der Suche nach Möglichkeiten zur Verringerung der Anzahl der Leute rufen in. Dies ist nicht unbedingt eine schlechte Sache, aber wenn ihre Produkte haben weniger Funktionen, wodurch weniger Leistungen als Ergebnis – das ist eine schlechte Sache

Die meisten Firewalls für die Kleinunternehmen Markt Mangel Funktionen, die die meisten kleinen Unternehmen würden profitieren konzipiert.. Viele von ihnen haben alle technischen Schlagworte wie „Deep Packet Inspection“, „Spyware-Prävention“, „Intrusion Detection“ und viele andere, aber sie nicht in die Detailebene notwendig, um wirksam sein zu gehen.

Erstens haben viele Firewalls, die für kleine Unternehmen „entwickelt“ werden beginnen mit Unternehmen, die 100 haben – 250 Benutzer. Diese könnten in Betracht gezogen werden kleine Unternehmen durch das Bureau of Labor Statistics, aber für Zwecke Technologie Unternehmen dieser Größe haben ihre eigenen IT-Mitarbeiter (96% tun). Nicht nur ein IT Person, sondern ein IT-Mitarbeiter, die bedeutet, dass jemand ist wahrscheinlich für die Sicherheit verantwortlich. Wenn nicht, dann müssen sie jemand trainieren sie in der richtigen Aufstellung, Installation und Überwachung von Sicherheitsgeräten

Die Unternehmen betrachten wir kleine überall von 3 haben -. 50 PCs. Die Unternehmen am oberen Ende dieser Skala vielleicht haben jemanden, der Umgang mit IT-Themen gewidmet. Aber diese Person ist in der Regel so mit PC Unterstützung Fragen, die sie haben wenig Zeit „übrig“, um Firewall-Protokolle wirksam zu überwachen, überschwemmt.

zu dem unteren Ende dieser Skala, sie haben in der Regel entweder eine externe Person oder Firma verantwortlich oder sie haben einen Mitarbeiter, „ist ziemlich gut mit Computern“, die andere Aufgaben als auch hat. Selten wird diese kleinen Unternehmen haben jemanden beobachten die Firewall-Logs auf einer einheitlichen Grundlage. Jemand könnte sie aussehen als ob es ein Problem, aber diese Protokolle zu drehen, wenn gefüllt, so dass die wertvollen Informationen verloren gehen, bevor es überhaupt überprüft. Und das ist eine Schande. Ohne Überprüfung der Protokolle Sie keine Ahnung, was oder wer versucht, mit dem oder was bekommen in.

Ein Beispiel Log-Datei

Lassen Sie uns Überblick über einige Protokolle. Dies geschieht, um ein Protokoll von einem Client sein. Die Spalten sind entsprechend gekennzeichnet. Dieser Bericht wurde aufgeräumt, um es leichter zu erklären und zu verstehen

Datum Uhrzeit Source IP Source Port Ziel-IP-Destination Port

2007.06.18. 12: 04: 03,416 218.10.111.119 12200 55.66.777.1 6588

2007.06.18 12: 16: 05.192 41.248.25.147 4925 55.66.777.1 5900

2007.06.18 13: 08: 02.256 218.10.111.119 12200 55.66 .777.1 6588

2007.06.18 13: 22: 10,224 58.180.199.163 4637 55.66.777.1 2967

Was ist das Anzeigen

Nun, die erste Quell-IP ( Internet-Adresse) aus Heilongjiang, einer Provinz in China. Das Ziel ist unseren Kunden (verstümmelt um Unschuldige zu schützen), aber die wichtigen Daten ist das Ziel-Port. Das kennzeichnet, was sie suchen.

Hafen 6588 kann ein paar verschiedene Dinge sein. Sie konnten das Scannen werden für einen Trojaner, der diese Schnittstelle verwenden. Wenn ihre Scan antwortet mit der typische Antwort des Remote Access Trojan, sie wissen, sie haben einen infizierten System gefunden. Port 6588 kann auch ein Proxy-Server (die wir nicht beschreiben) mit einem aktuellen Bug sein. Dieser Fehler macht es einfach für einen Hacker zu nutzen, wodurch ihnen Fernzugriff auf das System, das die Proxy-Server-Software. Die Hacker-System wird ihnen sagen, was Dienst auf Port 6588 lauscht, damit sie wissen, welche Werkzeuge zu verwenden, um diesen Hafen anzugreifen.

Die zweite Zeile im Log-Datei oben ist aus Afrika. Port 5900 ist VNC, die durch viele, viele Systemadministratoren verwendet wird, um eine Remote-Verbindung zu einem System zur Wartung auf dieser Ebene ausführen. Diese Software hat ein paar Heldentaten hatten und man erst im vergangenen Jahr konnte die Angreifer die Fernsteuerung des Systems haben mit VNC installiert, ohne irgendwelche Passwörter zu knacken!

Zeile 3 hat unser Freund aus China wieder versuchen. Gleichen Port. Sie müssen versuchen ein paar Heldentaten gegen diesen Port. Vielleicht haben sie etwas, das die allgemeine Sicherheitsgemeinschaft ist nicht bekannt, noch nicht.

In Zeile 4 in unseren Logs sehen wir eine neue IP-Adresse in der Quelle. Dieser ist aus Korea zu bemerken, es ist das Scannen Port 2967. Dies geschieht, um den Port, der von Symantec Antivirus-Software lauscht auf neue Updates sein.

Es ist eine bekannte Schwachstelle, die Angreifern über das Netzwerk beliebigen Code ausführen kann unbekannten Angriffsmethoden. Wenn Hacker finden diesen Port sie wissen genau, was zu nutzen, um zu versuchen. Mit anderen Worten, ist der Sicherheits-Software, die entworfen, um zu schützen Systeme tatsächlich eine Möglichkeit für Hacker durch einen Softwarefehler. Es könnte sein, dass es einen neuen „Loch“ in Symantec-Software, die Hacker wissen aber Symantec nicht. Der bisherige Loch wurde so entweder die Hacker sind für noch nicht gepatchten Symantec-Software suchen, oder sie von einem neuen Loch kennen und suchen nach Wegen, um sie zu infizieren suchen gepatcht.

Ohne Überprüfung Ihrer Protokolle Sie haben keine Ahnung, was zu versuchen, bekommen in Ihr Netzwerk.

Ohne eine korrekt konfigurierte Firewall, würde diese Art von Angriff sicher durchzukommen. Dies geschieht, um eine Firewall konfiguriert wir, damit wir wissen von Ports wie folgt und wir blockiert den Zugriff von außen, da dieser Client verwendet keine Symantec-Produkte.

Wenn man Sicherheit mit einem Unternehmer habe ich immer fragen: „Wann war das letzte Mal Ihr Netzwerk wurde für Öffnungen gescannt? “ Sie in der Regel mit zu reagieren, „Never“. Auf die ich antworten: „Oh du bist da falsch. Sie haben eingescannt, die Sie gerade nicht durch die wissen!“

Regelmäßige Scans von Ihrem Netzwerk zeigen, was die Hacker sehen Ihres Netzwerks . Es ist ein einfacher Prozess und sollte mindestens einmal pro Monat durchgeführt werden. Die Ergebnisse sollten Sie in einem sehr gut lesbar, verständlich Bericht vorgelegt werden.

Nächste Schritte

Das erste, was Sie tun sollten, überprüfen Sie die Firewall, um sicherzustellen, es ist die Protokollierung aller Aktivitäten. Dann ist Ihre Aufgabe, zu starten Überprüfung der Protokolle entweder jeden Tag oder zu einem Minimum, einmal pro Woche. Einige Router haben die Firewall „built-in“. Ich habe oft festgestellt, diese sind sehr in ihrer Fähigkeit, zu schützen beschränkt. Noch ist die Begrenzung ihrer Protokollierungsfunktionalität. Typischerweise sind diese Geräte nur zeigen, was blockiert. Oft sind diese Router / Firewalls haben die Möglichkeit zu haben, die Protokolle per E-Mail an jemanden, wenn sie mit Einträgen gefüllt. Dies ist eine nette Option, wie Sie sie an jemanden, der (sollten) überprüfen wird sie im Detail und Sie über alle Einträge mit betroffen sein gerichtet haben.

Wenn Ihre Firewall hat die Detailebene keine in diesem Artikel beschrieben wird, sollten Sie ernsthaft erwägen Upgrade. Sie können Ihre bestehenden Router halten nur schalten Sie die Firewall-Funktion und kaufen Sie eine dedizierte Firewall.

Dann wirst du wissen, was die Hacker wissen Ihre Netzwerk.