So wichtig sie auch ist, die Cybersicherheit wird immer noch durch das Budget eingeschränkt.
Zum Glück gibt es einige fantastische kostenlose Tools, die Sie zu Ihrem Cybersecurity-Arsenal hinzufügen können, um Ihr Netzwerk zu schützen.
Kostenlos und quelloffen
Kostenlose Software? Klingt gut, aber kann man ihr auch vertrauen?
Wenn es sich um Open Source handelt, können Sie das. Open Source ist eine Art der Softwareentwicklung, die den Endnutzern Transparenz bietet. Sie können den Quellcode, aus dem die Anwendung besteht, einsehen und überprüfen. Sie können sich selbst davon überzeugen, dass die Anwendung nichts Unheimliches oder Hinterhältiges mit ihren Daten anstellt.
Neben der Überprüfung des Quellcodes können die Benutzer – sofern sie Programmierer sind – den Quellcode ändern, um Fehler zu beheben oder neue Funktionen hinzuzufügen. Die Änderungen werden an die Betreuer des Produkts weitergeleitet. Wenn die Betreuer mit den Änderungen einverstanden sind, werden sie in das Produkt aufgenommen.
Davon profitieren sowohl die Nutzer der Open-Source-Anwendung – die so genannte Community – als auch die Entwickler der Produkte. Je mehr Augen den Code überprüfen, desto besser.
Wie Linus Torvalds, der Hauptverantwortliche für den Linux-Kernel, bekanntlich sagte: “…given enough eyeballs, all bugs are shallow.”
Open Source ist nicht narrensicher
Das bedeutet nicht, dass Open-Source-Software keine Fehler haben kann. Alle großen Softwareprojekte enthalten Bugs. Es bedeutet aber, dass Fehler, wenn sie entdeckt werden, schnell erkannt und behoben werden, und dass die Korrekturen bald als Patches zur Verfügung stehen.
Wenn Sie die Korrekturen sofort brauchen, weil sie für Sie wichtig sind, können Sie den Quellcode herunterladen, sobald die Fehlerbehebungen hinzugefügt wurden. Sie können den Code dann kompilieren und eine Version für sich selbst erstellen, die die Korrekturen enthält, so dass Sie nicht auf die offizielle Veröffentlichung warten müssen.
Alle Anwendungen, die wir uns in diesem Artikel ansehen, sind Open Source. Einige von ihnen sind die De-facto-Standards in ihrem Bereich. Dies ist ein Beweis für das Engagement der Gemeinschaften, Betreuer und Projektleiter, die hinter diesen Anwendungen stehen. Es gibt noch viele weitere Open-Source-Tools, die Sie verwenden können, um Ihre Cybersicherheit zu verbessern und Ihr Netzwerk zu verwalten und zu sichern.
Dies sind die fünf, auf die ich persönlich immer wieder zurückgreife.
1. Nmap: Netzwerk-Mapping-Tool
Zu wissen, was mit Ihrem Netzwerk verbunden ist, ist eine Grundvoraussetzung für die Planung von Patches und Upgrades, um zu wissen, was Sie schützen müssen, und welche Geräte Sie gefährden könnten.
Der nmap network mapper ist ein leistungsfähiges Scan- und Reporting-Tool. Es erkennt, welche Geräte mit Ihrem Netzwerk verbunden sind, und scannt diese Geräte dann auf Informationen wie Betriebssystemtyp und -version, offene Ports, IP-Adresse und mehr. Es erkennt und berichtet auch über Geräte, die über Wi-Fi verbunden sind.
Es handelt sich um eine plattformübergreifende Anwendung, die in Versionen für Linux-, Windows- und Mac-Computer erhältlich ist. Die Installation ist einfach. Mit diesem Einzeiler wird es unter Ubuntu installiert:
Sobald Sie es installiert haben, verwenden Sie -h
(help), um die Zusammenfassung der Hilfe anzuzeigen, oder verwenden Sie man nmap
um die Handbuchseite zu lesen. Die Optionen, die wir in diesem Beispiel verwenden, sind:
- -T4: Gründliche (aggressive) Überprüfung
- -A: Für Betriebssystem- und Versionserkennung, Skript-Scans und Traceroute-Informationen
- -v: Ausführliche Ausgabe
Da nmap viele Ausgaben generiert, ist es praktisch, die Ausgaben in eine Datei umzuleiten, die Sie nach Abschluss des Scans überprüfen können.
Mit diesem Befehl wird nmap angewiesen, ein ganzes Netzwerk zu scannen. Dabei wird die klassenlose Inter-Domain-Routing-Notation (CIDR) verwendet. Das “/24” steht für die Subnetzmaske. Es gibt an, wie viele führende, zusammenhängende Bits in der Subnetzmaske auf eins gesetzt sind. Der Wert von 24 bedeutet 3 Sätze von 8 Bits. 8 Bits, die alle auf 1 gesetzt sind, stehen für 255 im Binärformat, so dass diese Subnetzmaske 255.255.255.0 lautet.
Sie können die Ergebnisse des Scans mit der Funktion less
Befehl:
Blättern Sie durch die Scanergebnisse und sehen Sie sich die Details an, die für jedes Gerät aufgedeckt wurden. Hier ist, was nmap über das Gerät mit der IP-Adresse 192.168.1.15 zu sagen hatte. Es wurden vier offene Ports entdeckt.
Wenn der Zweck des Ports ermittelt werden kann, wird Ihnen mitgeteilt, wofür er verwendet wird. Wenn nmap sich nicht sicher sein kann, schlägt es eine mögliche Verwendung für den Port vor. Alles, was unerklärlich oder verdächtig ist, rechtfertigt eine genauere Untersuchung.
Sie könnten in Erwägung ziehen, den Scan -T5 (gründlichster Scan) direkt auf diese einzelne IP-Adresse anzuwenden. Je gründlicher die Scans sind, desto länger dauern sie. In der nmap-Dokumentation wird -T5 als der verrückte Modus bezeichnet, also rechnen Sie mit einer langen Wartezeit.
2. Wireshark: Paketerfassung und -analyse
Mit dem Tool nmap können Sie schnell feststellen, welche Geräte mit Ihrem Netzwerk verbunden sind, und Sie erhalten so viele Informationen wie möglich über jedes Gerät.
Um jedoch zu sehen, welcher Netzwerkverkehr sich in Ihrem Netzwerk und zwischen Ihren Geräten bewegt, benötigen Sie ein Tool zum Erfassen und Analysieren von Datenpaketen, das gemeinhin als Packet Sniffer bezeichnet wird. Wireshark erfüllt genau diese Aufgabe.
Wireshark ist plattformübergreifend und für Windows-, Linux- und Mac-Computer verfügbar. Um Wireshark unter Ubuntu zu installieren, verwenden Sie diesen Befehl:
Sie werden gefragt, ob Sie die Paketaufzeichnung für normale, nicht als root angemeldete Benutzer aktivieren möchten. Wenn Sie festlegen, dass Sie root sein müssen, um Wireshark auszuführen, führen Sie die Wireshark-Codebasis mit erweiterten Rechten aus.
Wenn Sie Wireshark für Nicht-Root-Benutzer freigeben, kann es sein, dass diese einen Teil des Netzwerkverkehrs mitschneiden, den Sie lieber für sich behalten möchten. Ich installiere es im Allgemeinen so, dass Sie root sein müssen, um Netzwerkverkehr aufzeichnen zu können.
Wenn Sie den folgenden Bildschirm sehen, drücken Sie “Tab”, um die “Schaltfläche” zu markieren, und drücken Sie die Leertaste. Wählen Sie die gewünschte Option aus.
Wenn die Installation abgeschlossen ist, können Sie Wireshark mit diesem Befehl starten:
Die verfügbaren Netzwerkschnittstellen, über die Sie Datenverkehr erfassen können, werden aufgelistet. Doppelklicken Sie auf eine Schnittstelle, um die Erfassung von Paketen zu starten.
Wireshark beginnt mit der Aufzeichnung des Netzwerkverkehrs an der ausgewählten Netzwerkschnittstelle. Die Anzeige ändert sich und zeigt nun drei Bereiche an. Der Datenverkehr wird im oberen Bereich angezeigt.
Um die Details eines Pakets zu sehen, markieren Sie es im oberen Fensterbereich. Informationen auf niedriger Ebene über das Paket werden im mittleren und unteren Bereich angezeigt. Das mittlere Fenster enthält eine zusammenklappbare Baumansicht mit lesbaren Werten. Das untere Fenster zeigt die Rohdaten des Pakets in Hexadezimal und ASCII.
Auf dem Screenshot sieht das sehr beengt aus, aber wenn man es über einen ganzen Monitor ausbreitet, ist es eine informationsreiche, intuitive Ansicht.
Ein Großteil der Leistungsfähigkeit von Wireshark liegt in seiner Filterfunktion. Sie können Filter erstellen, um einzuschränken, was erfasst wird, und um zu filtern, was angezeigt wird. In der Regel ist es besser, alles zu erfassen – ohne Filter – und die angezeigten Informationen während der Analysephase zu filtern.
Wenn Sie während der Erfassungsphase filtern, kann es passieren, dass Sie versehentlich ein Paket oder eine Folge von Paketen herausfiltern, die eigentlich hätten erfasst werden sollen.
Hier sind einige Beispielfilter.
Um Pakete mit 192.168.1.15 als Quell- oder Zieladresse auszuwählen:
Um Pakete mit der Quell-IP-Adresse 192.168.1.15 auszuwählen:
Um Pakete mit der Ziel-IP-Adresse 192.168.1.15 auszuwählen.
So wählen Sie die Pakete in einem Gespräch zwischen zwei IP-Adressen aus:
Um alle HTTP- und DNS-Pakete anzuzeigen:
Zur Auswahl von TCP-Paketen mit 4000 als Quell- oder Zielport:
Um alle HTTP-GET-Anfragen anzuzeigen:
Um alle TCP-Pakete zu finden, die das Wort techopedia enthalten:
3. Osquery: Zustand von Computern und Servern entdecken
Mit der Anwendung osquery können Sie mithilfe einfacher SQL-Anweisungen Fragen zum Zustand Ihrer Computer und Server stellen. Sie ist für Windows-, Linux- und Mac-Computer verfügbar.
Um es unter Ubuntu zu installieren, besuchen Sie die osquery-Download-Seite und laden Sie die “.deb”-Paketdatei herunter. Wechseln Sie in das Verzeichnis der heruntergeladenen Datei und installieren Sie osquery mit diesen Befehlen. Ersetzen Sie den Namen Ihrer heruntergeladenen Datei durch den im Beispiel verwendeten Namen.
Starten Sie osquery im interaktiven Modus mit diesem Befehl (beachten Sie das “i” am Ende von osqueryi.)
Die interaktive Shell osquery wird geöffnet. Sie geben SQL-Befehle an der Eingabeaufforderung “osquery” ein und beenden sie mit einem Semikolon (;
), und drücken Sie “Enter”, damit sie ausgeführt werden.
Befehle, die Sie an die Shell senden möchten, wie z. B. “quit”, werden mit einem vorangestellten Punkt “.” versehen und als Punktbefehle bezeichnet. Der Befehl zum Beenden der Shell lautet also “.quit”, gefolgt von “Enter”. Denken Sie daran, dass SQL-Befehle ihr übliches abschließendes Semikolon benötigen, Punktbefehle dagegen nicht.
Um die Liste der Tabellen zu sehen, verwenden Sie den Befehl .tables, und um die Felder in einer Tabelle zu sehen, verwenden Sie den Befehl .schema.
Da Sie nun die Namen der Felder in der Tabelle kennen, können wir eine SQL-Anweisung erstellen und ausführen:
Ein Beispiel für eine sicherheitsrelevante Abfrage ist die Tabelle suid_bin, die Details zu den Anwendungen enthält, bei denen entweder das SUID- oder das GUID-Bit gesetzt ist. Diese ermöglichen es normalen Benutzern, Anwendungen mit erweiterten Rechten auszuführen.
Bedrohungsakteure nutzen dies manchmal aus, um die Berechtigungen von Malware zu erweitern und Hintertüren zu verstecken. Es ist eine gute Praxis, die SUID- und GUID-ermächtigten Binärdateien unter Beobachtung zu halten.
4. Nikto: Web Site Vulnerability Scanner
Nicht zu vergessen sind die Websites und Portale von Unternehmen. Nikto wird diese auf viele Arten von Schwachstellen scannen. Die Autoren sagen, dass es das tut:
- Suche nach 6700 potenziell gefährlichen Dateien oder Programmen.
- Suche nach veralteten Versionen von über 1250 Servern.
- Prüfung auf versionsspezifische Probleme auf über 270 Servern.
Die Installation von nikto ist einfach. Unter Ubuntu verwenden Sie diesen Befehl:
We’ll run nikto against a test website that was designed with built-in vulnerabilities so that you can practice scanning. Note that a nikto scan can take a little while—40 or more minutes isn’t uncommon—it is a very thorough process.
We tell nikto which webserver to scan by using the -h
(host) option. We’ll also use the -o
(output) option to specify a filename for our report. Nikto will work out from the filename extension what format we want the report created in. The recognized formats are CSV, HTML, TXT, and XML.
Obwohl wir die Erstellung eines Berichts angefordert haben, wird während des Scans weiterhin eine Ausgabe an das Terminalfenster gesendet. Dadurch wird sichergestellt, dass der Prozess weiterläuft und nicht völlig zum Stillstand gekommen ist.
Wechseln Sie nach Abschluss des Scans zu dem Ort, an dem der Bericht gespeichert wurde, und doppelklicken Sie auf die Datei “report.html”. Der Bericht wird in Ihrem Browser geöffnet.
5. Kali Linux: Absolut umfangreich
Wenn Sie Ihre Sicherheit auf Herz und Nieren prüfen wollen, sollten Sie Kali Linux ausprobieren. Es handelt sich um eine Linux-Distribution, die von Grund auf für Penetrationstests entwickelt wurde. Sie enthält zahlreiche Tools, mit denen Sie Ihre Verteidigungsmaßnahmen auf genau die gleiche Weise testen können wie die Bedrohungsakteure.
Leider können diese Tools sowohl zum Guten als auch zum Schlechten eingesetzt werden, so dass sie auch bei den Bösewichten sehr beliebt sind. Umso wichtiger ist es, dass Sie sich selbst – oder jemand in Ihrem Unternehmen – mit diesen Tools vertraut machen, damit Sie Schwachstellen in Ihrem Netzwerk und auf Ihrer Website erkennen und diese ausbessern können.
Der einfachste Weg, Kali Linux zu verwenden, besteht darin, ein ISO herunterzuladen und es als virtuelle Maschine in einem Hypervisor wie VirtualBox zu installieren.
Wireshark, Nikto und nmap sind vorinstalliert, zusammen mit fast allen anderen Erkundungs-, Angriffs- und Exploit-Tools, die Sie sich vorstellen können. Sie müssen nur noch herausfinden, welche Tools Sie sammeln und zu Ihrem Arsenal hinzufügen möchten, und diese dann aufspüren und installieren.
Einige bemerkenswerte Tools und Frameworks, die in Kali Linux enthalten sind, sind:
- Das Metasploit-Framework: Eine Reihe von Tools zum Erkennen und Ausnutzen von Schwachstellen. Es basiert auf einer Datenbank mit über 140.000 allgemeinen Schwachstellen und über 3.000 Exploits (CVEs). Dies ist ein kostenloses und quelloffenes Angebot von Rapid7, das auch kommerzielle Angebote mit professionellem Support hat.
- Burp Suite: Ein Tool für Penetrationstests, das für webbasierte Anwendungen und allgemeine Website-Sicherheitsprobleme entwickelt wurde. Auch hier handelt es sich um die Open-Source-Version eines kommerziellen Produkts.
- Das Social Engineering Toolkit: Eine Reihe von Tools, die die es Ihnen ermöglichen, Social-Engineering-Angriffe wie Phishing- und Spear-Phishing-Angriffe durchzuführen. Damit können Sie Anfälligkeitstests für Ihre eigenen Mitarbeiter durchführen, aber Sie sehen, dass es ein zweischneidiges Schwert ist, wenn solche Software so einfach zu erwerben ist.
Kali ist eine auf Debian basierende Distribution. Standardmäßig verwendet sie die XFCE Desktop-Umgebung. Selbst in einer virtuellen Maschine sollten Sie sie reaktionsschnell, flott und übersichtlich finden.
Das Hauptsystemmenü bietet Ihnen die wichtigsten Kategorien von Software und Werkzeugen, die Sie aufschlüsseln können.
Kali ist eine auf Debian basierende Distribution. Standardmäßig verwendet sie die XFCE-Desktop-Umgebung. Selbst in einer virtuellen Maschine sollten Sie sie reaktionsschnell, flott und übersichtlich finden.