Flug unter dem Radar: Techniken zur Umgehung von Netzwerksicherheitsmaßnahmen
In der Phase der Aufklärungsarbeit identifiziert das Team potenzielle Netzwerkverteidigungen. Um diese zu umgehen oder unbemerkt zu passieren, müssen sie verschiedene Methoden testen, wie das Spoofen von Geräten oder das unerkannt Durchdringen von Sicherheitsmaßnahmen.
Nmap-Scans und Stealth-Optionen
Nmap’s TCP SYN-Scan ist die Standard- und beliebteste Option, um schnell tausende Ports pro Sekunde in einem nicht durch restriktive Firewalls behinderten Netzwerk zu scannen:
nmap -sS <target>Stealth-Optionen von Nmap
Nmap bietet verschiedene Techniken, um Scans zu verschleiern:
| Option | Beispiel | Beschreibung |
|---|---|---|
-sF | nmap -sF www.company.tld | Sendet ein TCP FIN-Paket, um nicht zustandsbehaftete Firewalls zu umgehen. |
-f | nmap -f 192.168.1.50 | Fragmentiert Pakete in 8-Byte-Stücke, um die Identifikation durch Firewalls/IDS zu erschweren. |
--randomize-hosts | nmap --randomize-hosts 192.168.1.1-100 | Randomisiert die Reihenfolge der zu scannenden Hosts. |
Spoofing-Techniken
Verwendung von Decoys
Durch den Einsatz von Decoys kann der Datenverkehr von vertrauenswürdigen oder zufälligen Geräten zu stammen scheinen:
nmap -D decoy1,decoy2,decoy3 <target>Beispiel mit spezifischem Decoy:
nmap -D 192.168.1.10 scanme.nmap.orgVerwendung von zufällig generierten Decoys:
nmap -sS -sV -D RND:3 scanme.nmap.orgSpoofen der IP-Adresse
Um ein IDS zu verwirren, kann eine gefälschte IP-Adresse als Quelle angegeben werden:
nmap -S <gefälschte_IP> <target>Beispiel:
nmap -S www.google.com scanme.nmap.orgSpoofen der MAC-Adresse
Das Fälschen der MAC-Adresse kann den Datenverkehr als von einem bestimmten Gerät stammend erscheinen lassen:
-
Zufällige MAC-Adresse basierend auf einem Hersteller:
nmap -sT --spoof-mac apple scanme.nmap.org -
Spezifische MAC-Adresse:
nmap -sT --spoof-mac B7:B1:F9:BC:D4:56 scanme.nmap.org
Modifikation der Portnummer
Durch die Angabe einer spezifischen Quellportnummer können Sicherheitsgeräte getäuscht werden:
-
Verwendung einer spezifischen Portnummer:
nmap --source-port <portnum> <target> -
Kurzform:
nmap -g <portnum> <target>
Beispiel mit Port 53 (DNS):
nmap --source-port 53 scanme.nmap.orgVerlangsamung von Scans
Um der Erkennung durch IDS wie Snort zu entgehen, die auf hohe Scanraten reagieren, können Scans verlangsamt werden:
nmap -T1 <target>Die Kombination mit anderen Stealth-Optionen erhöht die Wahrscheinlichkeit, unbemerkt zu bleiben.
Umgehung von Network Access Control (NAC)
Neben dem Spoofen von Geräten können auch Techniken eingesetzt werden, um NAC-Systeme zu umgehen. Dies erfordert ein tiefes Verständnis der eingesetzten Sicherheitsmechanismen und deren Schwachstellen.
NmapNetzwerksicherheitSpoofingStealthScanIDSFirewallCybersecurity