In bestimmten F?llen k?nnen wir Einnahmen erzielen, wenn ein Leser einen Kauf t?tigt oder ein Formular auf unseren Seiten oder auf der Website eines Partners ausfüllt. Wir halten uns an eine strenge Werbepolitik und stellen sicher, dass kommerzielle M?glichkeiten niemals unsere redaktionelle Unabh?ngigkeit beeintr?chtigen oder beeinflussen. Die erzielten Einnahmen tragen zur Finanzierung der Mission von Techopedia bei, die Nr. 1 Quelle für Glücksspielwissen zu sein.
So wichtig sie auch ist, die Cybersicherheit wird immer noch durch das Budget eingeschr?nkt.
Zum Glück gibt es einige fantastische kostenlose Tools, die Sie zu Ihrem Cybersecurity-Arsenal hinzufügen k?nnen, um Ihr Netzwerk zu schützen.
Kostenlos und quelloffen
Kostenlose Software? Klingt gut, aber kann man ihr auch vertrauen?
Wenn es sich um Open Source handelt, k?nnen Sie das. Open Source ist eine Art der Softwareentwicklung, die den Endnutzern Transparenz bietet. Sie k?nnen den Quellcode, aus dem die Anwendung besteht, einsehen und überprüfen. Sie k?nnen sich selbst davon überzeugen, dass die Anwendung nichts Unheimliches oder Hinterh?ltiges mit ihren Daten anstellt.
Neben der überprüfung des Quellcodes k?nnen die Benutzer – sofern sie Programmierer sind – den Quellcode ?ndern, um Fehler zu beheben oder neue Funktionen hinzuzufügen. Die ?nderungen werden an die Betreuer des Produkts weitergeleitet. Wenn die Betreuer mit den ?nderungen einverstanden sind, werden sie in das Produkt aufgenommen.
Davon profitieren sowohl die Nutzer der Open-Source-Anwendung – die so genannte Community – als auch die Entwickler der Produkte. Je mehr Augen den Code überprüfen, desto besser.
Wie Linus Torvalds, der Hauptverantwortliche für den Linux-Kernel, bekanntlich sagte: “…given enough eyeballs, all bugs are shallow.”
Open Source ist nicht narrensicher
Das bedeutet nicht, dass Open-Source-Software keine Fehler haben kann. Alle gro?en Softwareprojekte enthalten Bugs. Es bedeutet aber, dass Fehler, wenn sie entdeckt werden, schnell erkannt und behoben werden, und dass die Korrekturen bald als Patches zur Verfügung stehen.
Wenn Sie die Korrekturen sofort brauchen, weil sie für Sie wichtig sind, k?nnen Sie den Quellcode herunterladen, sobald die Fehlerbehebungen hinzugefügt wurden. Sie k?nnen den Code dann kompilieren und eine Version für sich selbst erstellen, die die Korrekturen enth?lt, so dass Sie nicht auf die offizielle Ver?ffentlichung warten müssen.
Alle Anwendungen, die wir uns in diesem Artikel ansehen, sind Open Source. Einige von ihnen sind die De-facto-Standards in ihrem Bereich. Dies ist ein Beweis für das Engagement der Gemeinschaften, Betreuer und Projektleiter, die hinter diesen Anwendungen stehen. Es gibt noch viele weitere Open-Source-Tools, die Sie verwenden k?nnen, um Ihre Cybersicherheit zu verbessern und Ihr Netzwerk zu verwalten und zu sichern.
Dies sind die fünf, auf die ich pers?nlich immer wieder zurückgreife.
1. Nmap: Netzwerk-Mapping-Tool
Zu wissen, was mit Ihrem Netzwerk verbunden ist, ist eine Grundvoraussetzung für die Planung von Patches und Upgrades, um zu wissen, was Sie schützen müssen, und welche Ger?te Sie gef?hrden k?nnten.
Der nmap network mapper ist ein leistungsf?higes Scan- und Reporting-Tool. Es erkennt, welche Ger?te mit Ihrem Netzwerk verbunden sind, und scannt diese Ger?te dann auf Informationen wie Betriebssystemtyp und -version, offene Ports, IP-Adresse und mehr. Es erkennt und berichtet auch über Ger?te, die über Wi-Fi verbunden sind.
Es handelt sich um eine plattformübergreifende Anwendung, die in Versionen für Linux-, Windows- und Mac-Computer erh?ltlich ist. Die Installation ist einfach. Mit diesem Einzeiler wird es unter Ubuntu installiert:
Sobald Sie es installiert haben, verwenden Sie -h (help), um die Zusammenfassung der Hilfe anzuzeigen, oder verwenden Sie man nmap um die Handbuchseite zu lesen. Die Optionen, die wir in diesem Beispiel verwenden, sind:
- -T4: Gründliche (aggressive) überprüfung
- -A: Für Betriebssystem- und Versionserkennung, Skript-Scans und Traceroute-Informationen
- -v: Ausführliche Ausgabe
Da nmap viele Ausgaben generiert, ist es praktisch, die Ausgaben in eine Datei umzuleiten, die Sie nach Abschluss des Scans überprüfen k?nnen.
Mit diesem Befehl wird nmap angewiesen, ein ganzes Netzwerk zu scannen. Dabei wird die klassenlose Inter-Domain-Routing-Notation (CIDR) verwendet. Das “/24” steht für die Subnetzmaske. Es gibt an, wie viele führende, zusammenh?ngende Bits in der Subnetzmaske auf eins gesetzt sind. Der Wert von 24 bedeutet 3 S?tze von 8 Bits. 8 Bits, die alle auf 1 gesetzt sind, stehen für 255 im Bin?rformat, so dass diese Subnetzmaske 255.255.255.0 lautet.
Sie k?nnen die Ergebnisse des Scans mit der Funktion less Befehl:
Bl?ttern Sie durch die Scanergebnisse und sehen Sie sich die Details an, die für jedes Ger?t aufgedeckt wurden. Hier ist, was nmap über das Ger?t mit der IP-Adresse 192.168.1.15 zu sagen hatte. Es wurden vier offene Ports entdeckt.
Wenn der Zweck des Ports ermittelt werden kann, wird Ihnen mitgeteilt, wofür er verwendet wird. Wenn nmap sich nicht sicher sein kann, schl?gt es eine m?gliche Verwendung für den Port vor. Alles, was unerkl?rlich oder verd?chtig ist, rechtfertigt eine genauere Untersuchung.
Sie k?nnten in Erw?gung ziehen, den Scan -T5 (gründlichster Scan) direkt auf diese einzelne IP-Adresse anzuwenden. Je gründlicher die Scans sind, desto l?nger dauern sie. In der nmap-Dokumentation wird -T5 als der verrückte Modus bezeichnet, also rechnen Sie mit einer langen Wartezeit.
2. Wireshark: Paketerfassung und -analyse
Mit dem Tool nmap k?nnen Sie schnell feststellen, welche Ger?te mit Ihrem Netzwerk verbunden sind, und Sie erhalten so viele Informationen wie m?glich über jedes Ger?t.
Um jedoch zu sehen, welcher Netzwerkverkehr sich in Ihrem Netzwerk und zwischen Ihren Ger?ten bewegt, ben?tigen Sie ein Tool zum Erfassen und Analysieren von Datenpaketen, das gemeinhin als Packet Sniffer bezeichnet wird. Wireshark erfüllt genau diese Aufgabe.
Wireshark ist plattformübergreifend und für Windows-, Linux- und Mac-Computer verfügbar. Um Wireshark unter Ubuntu zu installieren, verwenden Sie diesen Befehl:
Sie werden gefragt, ob Sie die Paketaufzeichnung für normale, nicht als root angemeldete Benutzer aktivieren m?chten. Wenn Sie festlegen, dass Sie root sein müssen, um Wireshark auszuführen, führen Sie die Wireshark-Codebasis mit erweiterten Rechten aus.
Wenn Sie Wireshark für Nicht-Root-Benutzer freigeben, kann es sein, dass diese einen Teil des Netzwerkverkehrs mitschneiden, den Sie lieber für sich behalten m?chten. Ich installiere es im Allgemeinen so, dass Sie root sein müssen, um Netzwerkverkehr aufzeichnen zu k?nnen.
Wenn Sie den folgenden Bildschirm sehen, drücken Sie “Tab”, um die “Schaltfl?che” zu markieren, und drücken Sie die Leertaste. W?hlen Sie die gewünschte Option aus.
Wenn die Installation abgeschlossen ist, k?nnen Sie Wireshark mit diesem Befehl starten:
Die verfügbaren Netzwerkschnittstellen, über die Sie Datenverkehr erfassen k?nnen, werden aufgelistet. Doppelklicken Sie auf eine Schnittstelle, um die Erfassung von Paketen zu starten.
Wireshark beginnt mit der Aufzeichnung des Netzwerkverkehrs an der ausgew?hlten Netzwerkschnittstelle. Die Anzeige ?ndert sich und zeigt nun drei Bereiche an. Der Datenverkehr wird im oberen Bereich angezeigt.
Um die Details eines Pakets zu sehen, markieren Sie es im oberen Fensterbereich. Informationen auf niedriger Ebene über das Paket werden im mittleren und unteren Bereich angezeigt. Das mittlere Fenster enth?lt eine zusammenklappbare Baumansicht mit lesbaren Werten. Das untere Fenster zeigt die Rohdaten des Pakets in Hexadezimal und ASCII.
Auf dem Screenshot sieht das sehr beengt aus, aber wenn man es über einen ganzen Monitor ausbreitet, ist es eine informationsreiche, intuitive Ansicht.
Ein Gro?teil der Leistungsf?higkeit von Wireshark liegt in seiner Filterfunktion. Sie k?nnen Filter erstellen, um einzuschr?nken, was erfasst wird, und um zu filtern, was angezeigt wird. In der Regel ist es besser, alles zu erfassen – ohne Filter – und die angezeigten Informationen w?hrend der Analysephase zu filtern.
Wenn Sie w?hrend der Erfassungsphase filtern, kann es passieren, dass Sie versehentlich ein Paket oder eine Folge von Paketen herausfiltern, die eigentlich h?tten erfasst werden sollen.
Hier sind einige Beispielfilter.
Um Pakete mit 192.168.1.15 als Quell- oder Zieladresse auszuw?hlen:
Um Pakete mit der Quell-IP-Adresse 192.168.1.15 auszuw?hlen:
Um Pakete mit der Ziel-IP-Adresse 192.168.1.15 auszuw?hlen.
So w?hlen Sie die Pakete in einem Gespr?ch zwischen zwei IP-Adressen aus:
Um alle HTTP- und DNS-Pakete anzuzeigen:
Zur Auswahl von TCP-Paketen mit 4000 als Quell- oder Zielport:
Um alle HTTP-GET-Anfragen anzuzeigen:
Um alle TCP-Pakete zu finden, die das Wort techopedia enthalten:
3. Osquery: Zustand von Computern und Servern entdecken
Mit der Anwendung osquery k?nnen Sie mithilfe einfacher SQL-Anweisungen Fragen zum Zustand Ihrer Computer und Server stellen. Sie ist für Windows-, Linux- und Mac-Computer verfügbar.
Um es unter Ubuntu zu installieren, besuchen Sie die osquery-Download-Seite und laden Sie die “.deb”-Paketdatei herunter. Wechseln Sie in das Verzeichnis der heruntergeladenen Datei und installieren Sie osquery mit diesen Befehlen. Ersetzen Sie den Namen Ihrer heruntergeladenen Datei durch den im Beispiel verwendeten Namen.
Starten Sie osquery im interaktiven Modus mit diesem Befehl (beachten Sie das “i” am Ende von osqueryi.)
Die interaktive Shell osquery wird ge?ffnet. Sie geben SQL-Befehle an der Eingabeaufforderung “osquery” ein und beenden sie mit einem Semikolon (;), und drücken Sie “Enter”, damit sie ausgeführt werden.
Befehle, die Sie an die Shell senden m?chten, wie z. B. “quit”, werden mit einem vorangestellten Punkt “.” versehen und als Punktbefehle bezeichnet. Der Befehl zum Beenden der Shell lautet also “.quit”, gefolgt von “Enter”. Denken Sie daran, dass SQL-Befehle ihr übliches abschlie?endes Semikolon ben?tigen, Punktbefehle dagegen nicht.
Um die Liste der Tabellen zu sehen, verwenden Sie den Befehl .tables, und um die Felder in einer Tabelle zu sehen, verwenden Sie den Befehl .schema.
Da Sie nun die Namen der Felder in der Tabelle kennen, k?nnen wir eine SQL-Anweisung erstellen und ausführen:
Ein Beispiel für eine sicherheitsrelevante Abfrage ist die Tabelle suid_bin, die Details zu den Anwendungen enth?lt, bei denen entweder das SUID- oder das GUID-Bit gesetzt ist. Diese erm?glichen es normalen Benutzern, Anwendungen mit erweiterten Rechten auszuführen.
Bedrohungsakteure nutzen dies manchmal aus, um die Berechtigungen von Malware zu erweitern und Hintertüren zu verstecken. Es ist eine gute Praxis, die SUID- und GUID-erm?chtigten Bin?rdateien unter Beobachtung zu halten.
4. Nikto: Web Site Vulnerability Scanner
Nicht zu vergessen sind die Websites und Portale von Unternehmen. Nikto wird diese auf viele Arten von Schwachstellen scannen. Die Autoren sagen, dass es das tut:
- Suche nach 6700 potenziell gef?hrlichen Dateien oder Programmen.
- Suche nach veralteten Versionen von über 1250 Servern.
- Prüfung auf versionsspezifische Probleme auf über 270 Servern.
Die Installation von nikto ist einfach. Unter Ubuntu verwenden Sie diesen Befehl:
We’ll run nikto against a test website that was designed with built-in vulnerabilities so that you can practice scanning. Note that a nikto scan can take a little while—40 or more minutes isn’t uncommon—it is a very thorough process.
We tell nikto which webserver to scan by using the -h (host) option. We’ll also use the -o (output) option to specify a filename for our report. Nikto will work out from the filename extension what format we want the report created in. The recognized formats are CSV, HTML, TXT, and XML.
Obwohl wir die Erstellung eines Berichts angefordert haben, wird w?hrend des Scans weiterhin eine Ausgabe an das Terminalfenster gesendet. Dadurch wird sichergestellt, dass der Prozess weiterl?uft und nicht v?llig zum Stillstand gekommen ist.
Wechseln Sie nach Abschluss des Scans zu dem Ort, an dem der Bericht gespeichert wurde, und doppelklicken Sie auf die Datei “report.html”. Der Bericht wird in Ihrem Browser ge?ffnet.
5. Kali Linux: Absolut umfangreich
Wenn Sie Ihre Sicherheit auf Herz und Nieren prüfen wollen, sollten Sie Kali Linux ausprobieren. Es handelt sich um eine Linux-Distribution, die von Grund auf für Penetrationstests entwickelt wurde. Sie enth?lt zahlreiche Tools, mit denen Sie Ihre Verteidigungsma?nahmen auf genau die gleiche Weise testen k?nnen wie die Bedrohungsakteure.
Leider k?nnen diese Tools sowohl zum Guten als auch zum Schlechten eingesetzt werden, so dass sie auch bei den B?sewichten sehr beliebt sind. Umso wichtiger ist es, dass Sie sich selbst – oder jemand in Ihrem Unternehmen – mit diesen Tools vertraut machen, damit Sie Schwachstellen in Ihrem Netzwerk und auf Ihrer Website erkennen und diese ausbessern k?nnen.
Der einfachste Weg, Kali Linux zu verwenden, besteht darin, ein ISO herunterzuladen und es als virtuelle Maschine in einem Hypervisor wie VirtualBox zu installieren.
Wireshark, Nikto und nmap sind vorinstalliert, zusammen mit fast allen anderen Erkundungs-, Angriffs- und Exploit-Tools, die Sie sich vorstellen k?nnen. Sie müssen nur noch herausfinden, welche Tools Sie sammeln und zu Ihrem Arsenal hinzufügen m?chten, und diese dann aufspüren und installieren.
Einige bemerkenswerte Tools und Frameworks, die in Kali Linux enthalten sind, sind:
- Das Metasploit-Framework: Eine Reihe von Tools zum Erkennen und Ausnutzen von Schwachstellen. Es basiert auf einer Datenbank mit über 140.000 allgemeinen Schwachstellen und über 3.000 Exploits (CVEs). Dies ist ein kostenloses und quelloffenes Angebot von Rapid7, das auch kommerzielle Angebote mit professionellem Support hat.
- Burp Suite: Ein Tool für Penetrationstests, das für webbasierte Anwendungen und allgemeine Website-Sicherheitsprobleme entwickelt wurde. Auch hier handelt es sich um die Open-Source-Version eines kommerziellen Produkts.
- Das Social Engineering Toolkit: Eine Reihe von Tools, die die es Ihnen erm?glichen, Social-Engineering-Angriffe wie Phishing- und Spear-Phishing-Angriffe durchzuführen. Damit k?nnen Sie Anf?lligkeitstests für Ihre eigenen Mitarbeiter durchführen, aber Sie sehen, dass es ein zweischneidiges Schwert ist, wenn solche Software so einfach zu erwerben ist.
Kali ist eine auf Debian basierende Distribution. Standardm??ig verwendet sie die XFCE Desktop-Umgebung. Selbst in einer virtuellen Maschine sollten Sie sie reaktionsschnell, flott und übersichtlich finden.
Das Hauptsystemmenü bietet Ihnen die wichtigsten Kategorien von Software und Werkzeugen, die Sie aufschlüsseln k?nnen.
Kali ist eine auf Debian basierende Distribution. Standardm??ig verwendet sie die XFCE-Desktop-Umgebung. Selbst in einer virtuellen Maschine sollten Sie sie reaktionsschnell, flott und übersichtlich finden.
