Angriffsszenarien im Netzwerk. Der große Security-Kurs
Artikel-Beschreibung
In diesem Kurs lernen Sie Netzwerke abzusichern, indem Sie sich in die Position des Angreifers begeben. Dadurch erfahren Sie, welche Informationen für einen Hacker wichtig sind und welche Einfallswege es in Ihr Netzwerk gibt.
Neben den üblichen Sicherungsmaßnahmen können Sie so ganz gezielt und zugeschnitten auf Ihre Netzwerkumgebung Maßnahmen ergreifen, um Ihre IT-Systeme zu schützen.
Zusätzlich geht Security-Experte Max Engelhardt speziell auf das Active Directory als häufigsten Verzeichnisdienst in Firmennetzwerken ein und erläutert, welche Angriffsmöglichkeiten hier in der Praxis immer wieder zu Erfolg führen und wie Sie sich dagegen schützen können.
Länge: 6:29 Stunden
Alle Video-Lektionen im Überblick:
Grundlagen und Setup Herzlich willkommen zu diesem Kurs Intro ISO/OSI- und TCP/IP-Modell MAC- und IP-Adressen TCP und UDP Was passiert in der Anwendungsschicht? Installation der Virtualbox und Konfiguration der VM Installation von Kali Linux Grundlagen Kali Linux Linux-Berechtigungen und apt-get Die 5 Phasen des Hacking Quiz: Grundlagen und Setup
Passives Sammeln von Informationen Intro Wie sammelt ein Angreifer öffentliche Informationen? Burp Suite einrichten So sammelt ein Angreifer Zugangsdaten Subdomains als Angriffsziel Passives Scannen in sozialen Netzwerken Wie schützt man sich vor passivem Scannen? Sensibilisierung zum Schutz vor Angriffen Selbsttests zum Schutz vor passivem Scannen Quiz: Passives Sammeln von Informationen
Aktives Scannen Intro Mit Nmap offene Ports erkennen Scannen eines HTTP-Ports Schwachstellen in Software durchsuchen Über Protokolle SMB und SSH angreifen Post-Exploit Scanning Zum Schutz unnötige Dienste deaktivieren Standardfreigaben in Windows bearbeiten Schwachstellenmanagement Quiz: Aktives Scannen
Exploitation Intro Pentesting mit Metasploit Reverse Shell vs. Bind Shell Web Shell mit Basic Pentesting 1 Web Exploit mit Metasploit Sichere Passwörter verwenden Präventive Maßnahmen gegen Exploits Reaktive Maßnahmen gegen Exploits Physische Sicherheit gewährleisten Quiz: Exploitation
Active Directory Intro Setup des Active Directory Aufbau des Active Diretory Authentifizierung in Active-Directory-Netzwerken NTLM-Relaying-Angriffe Poisoning und Relay-Angriffe verhindern mitm6-Angriff vorbereiten mitm6-Angriff durchführen Vor mitm6-Angriffen schützen Bloodhound-Angriff vorbereiten Bloodhound-Angriff durchführen Kerberoasting, Token und Ticket-Angriffe Quiz: Active Directory
Post-Exploitation Intro Angriffe per Datentransfer und Lateral Movement Rechteausweitung mit Linux Privilege Escalation Privilege Escalation Basic Pentesting 2 Kritische Schwachstellen in Microsoft Windows finden Lateral Movement erkennen und verhindern Privilege Escalation erkennen und verhindern Persistence: Dauerhaften Zugriff erlangen Quiz: Post-Exploitation
Sicherheitslücken in Anwendungen: Buffer Overflow Intro Übersicht und Tools Softwaretests: Fuzzing Mit Shellcode Programme manipulieren Exploit ausführen Buffer Overflow verhindern Quiz: Sicherheitslücken in Anwendungen: Buffer Overflow Fazit und Kursabschluss
Über den Trainer:
Max Engelhardt ist seit 2013 freiberuflicher IT-Sicherheitsberater. Dabei berät er seine Kunden in allen Aspekten der IT-Sicherheit in Form von Penetrationstests und Risikoeinschätzungen sowie beim Aufbau von SIEM/SOC-Systemen. Er hat gelernt, sich in die Position eines potenziellen Angreifers zu versetzen, um Schwachstellen in einem Computernetzwerk zu identifizieren und eine Verteidigungsstrategie zu entwickeln. Neben seiner Haupttätigkeit ist er Tutor an der EURO-FH und Bug Bounty Hunter bei Plattformen wie HackerOne oder Bugcrowd.
So lernen Sie mit diesem Videokurs:
In den Videokursen von heise Academy lernen Sie IT-Themen anschaulich und verständlich. In den Videos schauen Sie den Experten bei der praktischen Arbeit zu und lassen sich dabei alles genau erklären. Das Wissen ist in kleine Lernschritte und Aufgaben unterteilt. So können Sie den Kurs Lektion für Lektion durcharbeiten oder gezielt zu Themen springen, die Sie interessieren. Die persönliche Lernumgebung der heise Academy hält viele Funktionen für Sie bereit, die Sie beim Lernen unterstützen:
Flexibler Videoplayer mit vielen Steuerungsmöglichkeiten
Wissensquizz zur Lernkontrolle
Lernhistorie und Lernfortschritt
Lesezeichen und Notizen
Volltextsuche in den Videos
Frage-den-Experten-Modul
Übungsmaterial zum Mitmachen
Responsive Web-App und Videostreaming für alle Endgeräte
Technische Voraussetzungen:
Für diesen Videokurs werden lediglich ein Browser (mit eingeschalteter JavaScript-Funktionalität) und eine Internetverbindung benötigt.
DDoS-Angriff: So schützen Sie sich
Stehen über das Internet erreichbare Dienste, Anwendungen und Services plötzlich gar nicht mehr oder nur noch eingeschränkt zur Verfügung, verbirgt sich dahinter mit steigender Wahrscheinlichkeit eine DDoS-Attacke. Hackerangriffe dieser Art sind seit Pandemiebeginn angestiegen und werden komplexer. Doch was genau verbirgt sich hinter der kriminellen Taktik und wie können Sie Ihr Unternehmen vor damit verbundenen finanziellen und sicherheitstechnischen Risiken schützen?
Was ist ein DDoS-Angriff?
Der Begriff DDoS steht für “Distributed Denial of Service” und ist als Sonderform von „Denial of Service“ (DoS)-Angriffen zu sehen. Beide Varianten zielen darauf ab, mit erhöhtem Datenverkehr Störungen in Zielsystemen, wie zum Beispiel einem Webserver, hervorzurufen und dadurch die Geschäftstätigkeit von Unternehmen einzuschränken oder zum Erliegen zu bringen. Mit einer erhöhten Anzahl an Anfragen aus dem Internet sorgen Cyberkriminelle für die Überlastung von Systemen, was zum Absturz von Diensten und zu Verzögerungen von Transaktionen im Hintergrund führt.
Bei einem Distributed Denial of Service (DDoS) sind die Auswirkungen besonders verheerend: Hierbei kommen anstelle einzelner Systeme mehrere hundert bis tausend kompromittierte Endgeräte zum Einsatz, die gleichzeitig ein Ziel angreifen. Unternehmen sind dadurch in ihrer Handlungs- und Reaktionsfähigkeit stark eingeschränkt und sollten in kürzester Zeit Gegenmaßnahmen ergreifen, um den DDoS-Angriff abzuwehren.
Was passiert bei einem Distributed Denial of Service Angriff?
Netzwerkressourcen können nur eine bestimmte Anzahl an Anfragen zugleich verarbeiten. Wenn also eine sehr große Anzahl an Anfragen kontinuierlich an das System gestellt wird, überlastet und beeinträchtigt das die Verarbeitungskapazität. Bei Überschreitung einer gewissen Auslastungsgrenze werden die Anfragen deutlich langsamer oder gar nicht mehr beantwortet. Die Folge: Auf digitale Inhalte kann nicht mehr zugegriffen werden und im schlimmsten Fall sind Webseite und Systeme nicht mehr aktiv, der Kundenservice ist nicht erreichbar – und die Geschäftsumsätze brechen beispielsweise aufgrund nicht erreichbarer Webshops ein.
Der Ablauf einer DDoS-Attacke erfolgt oftmals nach einem typischen Schema: Cyberkriminelle verteilen ihre Angriffsprogramme bzw. Schadsoftware (Malware) unbemerkt auf einer Vielzahl schlecht geschützter Rechner, Server, Router, Videokameras und anderer IoT-Geräte und sind dadurch imstande, Anweisungen an diese zu senden. So werden die Endgeräte gezielt als Angriffswerkzeuge genutzt und bilden koordinierte Botnets, um ein Zielsystem mit Anfragen zu überhäufen – bis dieses lahmgelegt ist. Dabei spielt Cyberkriminellen die steigende Vernetzung intelligenter Geräte in die Karten: Sie erhalten stetig neue Möglichkeiten für den Auf- und Ausbau weitreichender Botnets. Je größer diese Netze werden, desto effizienter können Systeme wie Firmenserver angegriffen werden.
Welche Branchen sind von DDoS-Attacken betroffen?
DDoS-Angriffe betreffen oft Unternehmen aus den Bereichen Medien, E-Commerce und Gesundheitswesen sowie Bankwesen und Versicherungen. Es kommt aber auch immer wieder zu Angriffen auf produzierende Branchen und Rechenzentren. Generell kann jede Branche und jedes Unternehmen, unabhängig von der Größe, Opfer einer DDoS-Attacke werden. Denn mit der pandemiebedingten weiteren Verlagerung von Geschäftsprozessen in den digitalen Raum hat sich die potenzielle Angriffsfläche vergrößert – Hackern stehen mehr Ziele als je zuvor zur Verfügung. So werden laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) täglich bis zu 110.000 Botnet-Infektionen deutscher Systeme registriert. Entscheider sollten daher über präventive Sicherheitsmaßnahmen nachdenken, um das eigene Unternehmen vor Ausfällen zu schützen.
Ist eine DDoS-Attacke strafbar? Und wer haftet im Ernstfall?
Wenngleich DDoS-Angriffe im virtuellen Raum erfolgen, sind sie als reelle Angriffe auf Unternehmen und nach Paragraf 303b aus dem Strafgesetzbuch (StGB) als Computersabotage anzusehen. Angriffe dieser Art sind strafrechtlich verfolgbar: Dabei spielt es keine Rolle, ob es dahinterstehenden Cyberkriminellen etwa um die eigene finanzielle Bereicherung, eine politische Protestaktion oder die Schädigung eines Konkurrenzunternehmens geht.
Eine Ausnahme bilden beauftragte IT-Sicherheitsanalysten: Sie dürfen Hackerangriffe – sogenannte Penetrationstests – in Absprache mit dem jeweiligen Unternehmen durchführen, um bestehende Schwachstellen offenzulegen. Ansonsten ist die Nutzung von Schadsoftware in Deutschland nur im eigenen Netzwerk und auf eigener Hardware erlaubt. Ist ein Unternehmen bei einem Hackerangriff nicht hinreichend abgesichert, ist die Rechtslage laut Experten eindeutig: Entscheider können mit ihrem Privatvermögen zur Verantwortung gezogen werden.
DDoS-Angriff verhindern – So schützen Sie sich und Ihr Unternehmen
Zwar gibt es keine Standardantwort auf die Frage, wie DDoS-Angriffe vermieden werden können. Dennoch lassen sich einige generelle Handlungsempfehlungen festhalten, wie sich Unternehmen präventiv davor schützen können. Hierbei zahlt sich die vertrauensvolle Zusammenarbeit mit einem spezialisierten Dienstleister wie der Deutschen Gesellschaft für Cybersicherheit aus:
1. Server mit sicherheitsrelevanten Funktionen ausstatten
Webserver-Produkte wie Apache weisen meist einige Module und Funktionen auf, die die Erreichbarkeit bei DDoS-Angriffen verbessern. Das ist etwa durch eine Beschränkung der Anzahl der IP-Verbindungen pro IP-Adresse oder eine verzögerte Beantwortung der Anfragen möglich. Obwohl die IT-Sicherheit größtenteils Aufgabe der IT-Abteilung ist und diese die Konfiguration der Software so ändern sollten, dass möglichst wenig Angriffsfläche vorhanden ist, sollte dem Thema auch auf Geschäftsebene entsprechende Bedeutung zukommen.
2. Blackholing und Sinkholing: Filterung nach Adressen
Mit den Methoden Blackholing und Sinkholing sind interne IT-Teams imstande, bestimmte IP-Adressen bei einem Angriff zu blockieren. Beim Blackholing werden die angreifenden Adressen über eine geografische Ermittlung bereits am Router abgewendet. Zwar können somit auch legitime Nutzer dieser Region die Webseite nicht mehr aufrufen, doch bleibt sie so wenigstens für andere Regionen offen. Im Vergleich dazu wird beim Sinkholing nach den Zieladressen gefiltert, um diese temporär abzuschalten. Anfragen mit einer bestimmten Ziel-IP- oder URL-Adresse werden am Router verworfen. Ein Teil der Webseite ist auf diese Art nicht mehr erreichbar, allerdings werden Kollateralschäden auf anderen Webpräsenzen vermieden. Daher empfiehlt es sich zu prüfen, ob die genannten Methoden in Ihr System eingebunden werden können.
3. Penetrationstests: DDoS-Angriff simulieren und Sicherheitslücken erkennen
Da Cyber-Angriffe heutzutage äußerst komplex sind und über verschiedenste Einfallstore erfolgen, sind Unternehmen gut damit beraten, erfahrene Sicherheitsanalysten mit der Überprüfung der Systeme zu beauftragen. Im Zuge von Penetrationstests werden definierte IT-Bereiche durchleuchtet, um mögliche Angriffspunkte für Hacker zu identifizieren. Zudem wird durch eine fachkundige Einschätzung bestehender Sicherheitsprozesse eine wichtige Entscheidungsgrundlage für die weitere Optimierung geliefert. Die Pentester der DGC nutzen für die Durchführung der Angriffe unter anderem das eigens entwickelte IT-Security-Tool cyberscan.io®. Dieses ermöglicht durch automatisierte Scans die Identifizierung von Sicherheitsrisiken in der IT-Infrastruktur und befähigt Unternehmen dazu, reaktionsschnell Lücken zu schließen, um Sicherheitsvorfälle zu vermeiden.
4. Cyber Security Pakete: Rundumschutz für die Systeme
Jede Branche und jedes Unternehmen stellt individuelle Anforderungen an Sicherheitsstandards: Daher sollte ein passender Rundumschutz anstelle vorgefertigter Einzelmaßnahmen angestrebt werden. Hierbei kann die Deutsche Gesellschaft für Cybersicherheit unterstützen und für maximale Prävention sorgen: Im Rahmen von Cyber Security Partnerschaften werden abgestimmte Security Pakete zusammengestellt. Unternehmen erhalten damit nur wirklich benötigte Lösungen und Services, die zur kontinuierlichen Überwachung der eigenen IT-Infrastruktur wichtig sind und für hohe Sicherheitsstandards entlang ihrer Wertschöpfungskette sorgen. Neben den erwähnten Lösungen erweisen sich auch Security Awareness Trainings als unerlässlich: Hierbei werden Mitarbeitenden sowohl Grundlagen über unterschiedliche Malware vermittelt, um ein grundsätzliches Verständnis für diese herzustellen, sie werden aber auch für Angriffe sensibilisiert, beispielsweise durch Trickbetrüger über E-Mail und Telefon.
5. Cyber Defense Operation Center: Abwehr von Angriffen
Kommt es tatsächlich zu einem DDoS-Angriff, sind Unternehmen auf eine schnelle und kompetente Unterstützung angewiesen. Die IT-Sicherheitsexperten im Cyber Defense Operation Center (CDOC) der DGC sind erfahren im Umgang mit Hackerangriffen und finden binnen kurzer Zeit heraus, welche Bereiche der Infrastruktur betroffen sind und wie die Attacke abgewendet werden kann. Aktuelles Fachwissen und strategisches Vorgehen sind bei einem Sicherheitsvorfall wie einem DDoS-Angriff entscheidend, um längere Ausfälle und damit einhergehende finanzielle Verluste zu vermeiden.
Fazit
Von der Nichterreichbarkeit von Webseiten bis zum kompletten Stillstand des Geschäftsbetriebs können DDoS-Angriffe enorme Schäden anrichten. Deshalb ist es erfolgskritisch, frühzeitig vorzusorgen, bestehende IT-Sicherheitsmaßnahmen zu optimieren und mögliche Ausfälle der eigenen Dienste und Anwendungen zu vermeiden. Hierbei macht sich die Zusammenarbeit mit einem erfahrenen IT-Security-Dienstleister wie der DGC bezahlt. Die Sicherheitsexperten durchleuchten Systeme, Daten und Anwendungen umfassend: So sind Unternehmen für den Ernstfall gerüstet und profitieren von einer IT-Infrastruktur, die jederzeit volle Leistung erbringt.
Sie möchten Ihre Systeme wirksam vor DDoS-Attacken und anderen Angriffen aus der Cyberwelt schützen? Wir beraten Sie gerne – vereinbaren Sie gleich einen Termin mit uns.
Netzwerkattacken vermeiden
Schwachstelle Mensch
Eine besonders perfide Form ist die soziale Manipulation („Social Engineering“). Darunter versteht man eine zwischenmenschliche Beeinflussung, um bei Personen bestimmte Verhaltensweisen hervorzurufen, wie zum Beispiel die Preisgabe von vertraulichen Informationen oder das Klicken auf einen Link.
Das kann persönlich erfolgen, zum Beispiel durch Anruf eines „Servicetechnikers“, der angeblich die Zugangsdaten benötigt, oder auch indem man die Person dazu bringt, auf bestimmte Seiten zu surfen oder Mails zu öffnen, über die dann der Login abgegriffen oder der Rechner infiziert wird. Phishing Mails – und vor allem Speer Phishing – sind besonders gefährlich. Phishing funktioniert durch Masse (bei 1.000 Mails wird schon ein Adressat klicken), Speer Phishing durch Anpassung an eine konkrete Zielgruppe, wodurch Mails besonders vertrauenswürdig wirken.
Um für Angriffe gewappnet zu sein, müssen die eigenen Mitarbeiter mit Themen wie Passwortsicherheit, Phishing-Mails oder sicheres Verhalten am Arbeitsplatz vertraut gemacht werden: z. B. den Sperrbildschirm immer zu aktivieren, wenn man den Rechner verlässt. Das kann über verpflichtende Schulungen oder spielerische Gamification-Ansätze geschehen. Wahrscheinlich muss man sich immer wieder neue Ansätze überlegen, wie man die Mitarbeiter in die Verteidigung gegen Hacker einbindet.
