• Häufig gestellte Fragen
• Artikel
• Tutorials
• Web-Tools
• Referenz
• Blog
• Proxy
• Software
• Handys

• Microsoft Security Artikel
• Planning Server-Sicherheit
• Planen Sie einen Sicherheits-Update-Infrastruktur
• Security Auditing Veranstaltungen
• Authentifizierung Typen
• Planung und Umsetzung und Authentication Solution
• Planung und Durchführung einer Genehmigung Lösung
• Definieren eines Baseline Security-Vorlage
• Designing Network Infrastructure Security
• Ermittlung Sicherheit gemeinsame Probleme für alle Server-Rollen
• Umsetzung Access Control
• Umsetzung Konto-und Sicherheits-Policies
• Durchführung der Abschlussprüfung
• Netzwerk-Angriffe
• Als Reaktion auf Netzwerk-Angriffe und sicherheitsrelevante Ereignisse
• Resultierender Reihe von Maßnahmen
• Absichern von Anwendungs-und Terminal-Server
• Sicherung der Datenbank-Server
• Absichern von Domänencontrollern
• Absichern von File-und Print-Server
• Absichern von E-Mail-Server
• Absichern von Web-Servern
• Freigegebenen Ordner Berechtigungen
• Verständnis und Gestaltung von Public-Key-Infrastruktur
• Understanding Business-Anforderungen für Sicherheit Design
• Verständnis Certificate Authorities
• Understanding Security-Vorlagen
• Wireless Connection Security
• Umsetzung IAS
• Artikel Menü
• »Windows Server
• »Microsoft Networking
• »Microsoft Security
• »Active Directory
• »Microsoft IIS
• »Microsoft IPSec
• »Microsoft DNS
• »Microsoft DHCP
• »Microsoft WINS
• »Microsoft Dateisysteme
• »Remote Access
• »Microsoft Exchange
• »Microsoft SMS
• »Microsoft ISA Server
• »Microsoft Biztalk Server
• Main Menu
• »Networking
• »Physical Layer
• »Data Link Layer
• »Network Layer
• »Network Security
• »Wireless Networks
• »VoIP
• »Telefonie
• »Mobile Telefonie
• »Elektronik
• »Radio
• »Fernsehen
• »Kryptologie
• »Passwörter
• »Smart Cards
• »Datenschutz
• »Malware
• »Sicherheitslücken
• »Unix
• »Macintosh
• »Microsoft Windows
• »Die Web -
• »Web-Publishing
• »E-Mail
• »Instant Messaging
• »Datenbanken
• »Computer-Hardware
• »CPU's
• »Memory
• »Storage
• »Video
• »Audio
• »Multimedia
• »Satellite
• »Java
• »IT-Management
• »Wissenschaft
• »Verschiedenes

Netzwerk-Angriffe

Verständnis Netzwerk Angriffe

Ein Netzwerk angreifen kann definiert werden als jede Methode, ein Verfahren oder Mittel zur bösartig Versuch, die Sicherheit des Netzes.

Es gibt eine Reihe von Gründen, warum eine Person (en) möchte Angriff Unternehmensnetzwerke. Die Personen Durchführung Netzwerk-Attacken werden gemeinhin als Netzwerk Angreifer oder Hacker oder Cracker.

Ein paar verschiedene Arten von bösartigen Aktivitäten, die von Netzwerk Angreifer und Hacker sind hier zusammengefasst:

• Illegal mit Benutzerkonten und Berechtigungen.
• Hardware-Diebstahl.
• Diebstahl-Software.
• Ausführen von Code, um Schäden Systeme.
• Ausführen von Code, um Schäden und korrupten Daten.
• Änderung der gespeicherten Daten.
• Daten zu stehlen.
• Anhand der Daten für finanziellen Gewinn oder für Wirtschaftsspionage
• Durchführen von Maßnahmen, die verhindern, dass legitime autorisierten Benutzern den Zugriff auf Netzwerk-Dienste und Ressourcen.
• Durchführen von Maßnahmen zum Abbau der Netzwerk-Ressourcen und Bandbreite.

Ein paar Gründe, warum Netzwerk Angreifer versuchen, Angriff Unternehmensnetzwerke sind hier:

• Personen, die Ruhm oder irgendeine Art von Anerkennung. Script-Kiddies in der Regel suchen irgendeine Form von Ruhm, wenn sie versuchen, zum Absturz zu bringen Web-Sites und andere öffentliche Ziele auf dem Internet. Ein Skript Kiddie auch der Suche nach irgendeiner Form von der Annahme oder der Anerkennung von der Hacker-Community oder von schwarzen Hut Hacker.
• Mögliche Motive für strukturierte externe Bedrohungen umfassen:
• Gier
• Wirtschaftsspionage
• Politik
• Terrorismus
• Rassismus
• Strafgerichtshof Auszahlungen
• Missfallen Mitarbeiter könnte zu Schäden an der Organisation der Daten, Zuverlässigkeit oder der finanziellen Leistungsfähigkeit.
• Es gibt jedoch einige Netzwerk Angreifern, die einfach genießen Sie die Herausforderung, zu versuchen, die Sicherheit der Systeme streng gesicherten Netzwerken. Diese Art von Angreifer einfach sehen ihre Aktionen als Mittel, mit denen bestehende Sicherheitslücken ausgesetzt sein könnten.

Netzwerk-Angriffe lassen sich in die folgenden vier Arten von Angriffen:

• Interne Bedrohungen
• Externe Bedrohungen
• Unstrukturierte Bedrohungen
• Strukturierte Bedrohungen

Bedrohungen für das Netzwerk kann aus einer Reihe verschiedener Quellen, daher auch der Grund, warum Netzwerk-Angriffe werden entweder als externen Netzwerk Angriffe / Bedrohungen oder internen Netzwerk-Angriffe / Gefahren:

• Bedrohungen von außen: Externe Netzwerk-Bedrohungen oder Angriffe durch Personen ohne Unterstützung durch interne Mitarbeiter oder Auftragnehmer. Diese Angriffe sind in der Regel durch eine schädliche erfahrene Person, eine Gruppe von erfahrenen Personen, ein erfahrener schädliche Organisation oder von unerfahrenen Angreifer (Script Kiddies). Externe Gefahren werden in der Regel durch die Verwendung eines vordefinierten Plan und die Technologien (Werkzeuge) oder Techniken der Angreifer (n). Eines der wichtigsten Merkmale der externen Bedrohungen ist, dass es in der Regel mit Scan-und das Sammeln von Informationen. Sie können also erkennen, eine externe Angriffe durch Prüfung bestehenden Firewall-Logs. Sie können auch auf die Installation eines Intrusion Detection System, externe Bedrohungen schnell zu identifizieren.
Bedrohungen von außen kann weiter kategorisiert, die entweder strukturiert oder unstrukturiert Bedrohungen Bedrohungen:
• Strukturierte externe Bedrohungen: Diese Bedrohungen stammen aus einem bösartigen Einzelnen, eine Gruppe von bösartigen Person (en) oder aus einer bösartigen Organisation. Strukturierte Bedrohungen sind in der Regel, die vom Netzwerk Angreifer, die eine vorsätzliche Gedanken über die tatsächlichen Schäden und Verluste, die sie verursachen. Mögliche Motive für strukturierte externe Bedrohungen gehören Gier, Politik, Terrorismus, Rassismus und strafrechtliche Auszahlungen. Die Angreifer sind hoch qualifiziert auf die Netzwerk-Planung, die Methoden zur Vermeidung von Maßnahmen zur Gefahrenabwehr, Intrusion Detection Systeme (IDS), Verfahren für den Zugang, und Hacking-Tools. Sie verfügen über die erforderlichen Fähigkeiten für die Entwicklung neuer Techniken Netzwerk angreifen und die Fähigkeit zur Modifizierung bestehender Hacking-Tools für ihre Betriebe. In bestimmten Fällen, der Angreifer könnte unterstützt werden durch eine interne autorisierten Person.
• Unstrukturierte externen Bedrohungen: Diese Bedrohungen stammen von einem unerfahrenen Angreifer, in der Regel aus einem Skript Kiddie. Ein Skript Kiddie ist die verwendete Terminologie bezieht sich auf einen unerfahrenen Angreifer, der mit dem Knacken Werkzeuge oder Skript-Tools problemlos über das Internet, um ein Netzwerk angreifen. Script Kiddies sind in der Regel nicht ausreichend qualifiziert, um die Gefahren für ihre eigene. Script-Kiddies können als langweilig Personen, die irgendeine Form von Ruhm, indem Sie versuchen, Web-Sites zum Absturz zu bringen und andere öffentliche Ziele auf dem Internet.
Angriffe von außen können auch auftreten, entweder lokal oder remote:
• Remote-Angriffe von außen: Diese Angriffe sind in der Regel auf die Dienste, die eine Organisation, Angebote an die Öffentlichkeit. Die verschiedenen Formen, die Remote-Angriffe von außen können, sind hier:
• Remote-Angriffe, die auf die Dienstleistungen für interne Benutzer. Das Remote-Angriff in der Regel tritt auf, wenn es keine Firewall-Lösung zum Schutz dieser internen Dienstleistungen.
• Remote-Angriffe, die auf der Suche Modems für den Zugriff auf das Firmennetz.
• Denial-of-Service (DoS)-Attacken, um eine außergewöhnliche Belastung Verarbeitung auf Servern in einem Versuch zu verhindern, dass autorisierte Benutzer nicht bedient.
• War-Dialing der private branch exchange Unternehmen (PBX).
• Versuche, Brute-Force-Passwort authentifiziert werden.
• Lokale Angriffe von außen: Die Angriffe der Regel stammen aus Situationen, in denen EDV-Anlagen gemeinsam genutzt werden, und den Zugang zum System erhalten.
• Interne Bedrohungen: Interne Angriffe aus unzufrieden oder unglücklich innen Mitarbeiter oder Auftragnehmer. Interne Angreifer haben irgendeine Form der Zugriff auf das System und in der Regel versuchen, um sich zu verstecken ihre Angriff als normaler Prozess. Zum Beispiel, interne unzufriedener Mitarbeiter vor Ort Zugang zu bestimmten Ressourcen auf das interne Netzwerk bereits. Sie könnten auch einige administrative Rechte auf dem Netz. Eines der besten Mittel zum Schutz gegen interne Angriffe ist die Umsetzung eines Intrusion Detection-System, und zu konfigurieren, um für die externe und interne Angriffe. Alle Formen von Angriffen sollten protokolliert und die Protokolle sollten überprüft und verfolgt werden.

In Bezug auf die Netzwerk-Angriffe, die Kern-Komponenten, die einbezogen werden sollten, wenn Sie Design-Netzwerk-Sicherheit sind:

• Netzwerk Angriff Prävention.
• Netzwerk Angriff Erkennung.
• Netzwerk Angriff Isolation.
• Netzwerk-Angriffe werden.

Was ist Hacking?

Die Terminologie, Hacking, wurde zunächst verwendet, um den Prozess der Suche nach Lösungen für die eher technischen Fragen oder Problemen. In diesen Tagen, Hacking wird verwendet, um auf das Verfahren, durch Eindringlinge arglistig Versuch, die Sicherheit der Unternehmens-Netzwerke zu zerstören, zu interpretieren oder Diebstahl vertraulicher Daten, oder um zu verhindern, dass eine Organisation aus laufender.

Unterschiedliche Terminologie verwendet wird, um auf kriminelle Hacker:

• Cracking
• Computerkriminalität
• Cyberespionage
• Phreaking

Für den Zugriff auf ein Netzwerk-System, den Eindringling (Hacker) führt eine Reihe von Aktivitäten:

• Footprinting: Dies ist im Grunde der erste Schritt in Hacking ein Firmennetzwerk. Hier der Eindringling versucht, um möglichst viele Informationen über das Netzwerk durch die gezielte Verwendung von Quellen, welche die Öffentlichkeit Zugang. Das Ziel der footprinting ist es, eine Karte des Netzwerks zu bestimmen, welche Betriebssysteme, Anwendungen und Adressbereiche genutzt werden, und dass sie die offenen Ports zugänglich.
Die Methoden der Fußabdruck eines Netzes sind hier:
• Zugang zu Informationen öffentlich zugänglich auf der Unternehmens-Website, um alle zweckdienlichen Informationen.
• Versuchen Sie alle anonymen File Transfer Protocol (FTP) Grundstücke und Intranet-Sites, die nicht gesichert werden.
• Sammeln Sie Informationen über die Domain-Namen des Unternehmens und die IP-Adresse Block verwendet wird.
• Test für die Gastgeber in die IP-Adresse Block des Netzes. Tools wie Ping oder fping sind in der Regel verwendet werden.
• Verwendung von Tools wie Nslookup, den Eindringling versucht, Domain Name System (DNS) Zonentransfers.
• Ein Werkzeug wie Nmap wird verwendet, um herauszufinden, was die Betriebssysteme sind, die verwendet werden.
• Tools wie Tracert werden verwendet, um Router und Subnet-Informationen zu sammeln.
• Port Scanning: Port-Scanning oder einfach scannen, ist das Verfahren, durch die Eindringlinge sammeln Informationen über die Netzwerk-Dienste auf einem Ziel-Netzwerk. Hier ist der Eindringling versucht, offene Ports auf dem Zielsystem.
Die verschiedenen Scan-Methoden, die von Angreifern Netzwerk sind:
• Vanilla Scan / SYNC-Scan: TCP-SYN-Pakete werden an den Häfen von jeder Adresse in dem Versuch, eine Verbindung zu allen Ports. Port-Nummern 0 - 65535 verwendet werden.
• Strobe-Scan: Hier wird der Angreifer versucht, eine Verbindung zu einer bestimmten Reihe von Ports, die offen sind in der Regel auf Windows-Hosts oder UNIX / Linux-basierten Rechnern.
• Sweep: Eine große Anzahl von IP-Adressen gescannt werden in einem Versuch zu erkennen, dass ein System verfügt über einen offenen Port.
• Passiv-Scan: Hier wird der gesamte Netzwerkverkehr betreten oder verlassen, ist das Netzwerk erfasst und Verkehr wird dann analysiert, um festzustellen, was die offenen Ports auf dem Rechner innerhalb des Netzwerks.
• User Datagram Protocol (UDP)-Scan: Leere UDP-Pakete werden an den verschiedenen Häfen der eine Reihe von Adressen, um festzustellen, wie das Betriebssystem reagiert. Geschlossen UDP-Ports reagieren mit dem Port Unreachable-Nachricht, wenn eine leere UDP-Pakete empfangen werden. Andere Betriebssysteme reagieren mit dem Internet Control Message Protocol (ICMP) Fehler Päckchen.
• FTP Bounce: Um die Lage des Angreifers, der Scan wird von einem Zwischenhändler File Transfer Protocol (FTP)-Server.
• FIN Scan: FIN TCP-Pakete, die festlegen, dass der Absender will, um eine TCP-Session an jeden Port für eine Reihe von IP-Adressen.
• Enumeration: Die unbefugte Eindringlinge verwendet eine Reihe von Methoden zur Erfassung von Informationen über Anwendungen und Hosts, auf das Netzwerk und die Benutzer-Accounts im Netzwerk genutzt werden. Enumeration ist besonders erfolgreich in Netzwerken, die ungeschützte Netzwerk-Ressourcen und Dienstleistungen:
• Netzwerk-Dienste, die ausgeführt werden, die aber nicht genutzt werden.
• Standard-Benutzer-Accounts, die keine Passwörter angegeben.
• Gast-Konten, die aktiv sind.
• Erwerb: Der Zugang Angriffe durchgeführt werden, wenn ein Angreifer nutzt eine Schwachstelle Sicherheit, so dass er / sie kann den Zugang zu einem System oder im Netzwerk. Trojanische Pferde und Passwort-Hacking-Programme sind in der Regel genutzt werden, um System-Zugang. Wenn der Zugang erhalten, der Eindringling ist in der Lage zu ändern oder zu löschen und hinzufügen, ändern oder entfernen, Netzwerk-Ressourcen.
Die verschiedenen Arten des Zugangs Angriffe sind hier:
• Unbefugte Zugang System beinhaltet die Praxis der Nutzung der Schwachstellen von Betriebssystemen, oder der Ausführung eines Skripts oder ein Hacker-Programm, um Zugang zu einem System.
• Unerlaubte Privileg Eskalation ist eine häufige Art von Angriff. Privilege Eskalation tritt auf, wenn ein Eindringling versucht, ein hohes Niveau hinsichtlich des Zugangs wie Administratorrechte verfügen, um die Steuerung des Systems.
• Unerlaubte Datenmanipulation mit der Auslegung, Änderung und Löschen von vertraulichen Daten.
• Privilege Eskalation: Wenn ein Angreifer zunächst Zugriff auf das Netzwerk, niedrige Konten sind in der Regel verwendet werden. Privilege Eskalation tritt auf, wenn ein Angreifer eskaliert seine Privilegien, um eine höhere Ebene der Zugang, wie Administratorrechte, um die Steuerung des Systems.
Das Privileg, Eskalation Methoden von Angreifern sind hier:
• Der Angreifer sucht den Registrierungsschlüssel für das Kennwort.
• Der Angreifer kann die Suche für Informationen über Administratorrechte verfügt.
• Der Angreifer kann einen Passwort Kracken Werkzeug zur gezielten Benutzer-Accounts.
• Der Angreifer kann einen Trojaner in einem Versuch, um die Anmeldeinformationen eines Benutzer-Accounts mit Administratorrechten.
• Installieren backdoors: Ein Hacker kann auch ein Verfahren, wie eine Form der Gewährung des Zugangs-Code mit der Absicht, sie mit zu einem späteren Zeitpunkt. Backdoors sind in der Regel durch die Angreifer installiert, so dass sie leicht Zugang zum System zu einem späteren Zeitpunkt. Nachdem ein System kompromittiert ist, können Sie alle installierten Backdoors, indem Sie das System von einer Sicherungskopie, die sicher ist.
• Entfernen Nachweis von Aktivitäten: Angreifer typischerweise versuchen, entfernen Sie alle Beweise für ihre Aktivitäten.

Was sind Hacker oder Netzwerk Angreifer?

Ein Hacker-oder Netzwerk-Angreifer ist jemand, der böswillig Angriffe Netze, Systeme, Computer, Anwendungen, und wer nimmt, korrumpiert, ändert, löscht oder stiehlt vertrauliche Informationen.

Ein Hacker kann sich auf eine Reihe von verschiedenen Personen, die Tätigkeiten ausführen, die auf Hacking-Systeme und-Netze, und es kann sich auch auf Personen, die Tätigkeiten ausführen, die nichts zu tun mit kriminellen Aktivitäten:

• Programmierer, die komplexe technische Probleme Hack, um mit Lösungen.
• Script-Kiddies, die mit leicht verfügbaren Instrumente im Internet zu hacken Systeme.
• Strafgerichtshof Hacker stehlen oder zu zerstören, die Firmendaten.
• Aktivisten protestieren, die den Zugriff auf bestimmte Web-Sites als Teil ihrer Strategie protestieren.

Hacker sind in diesen Tagen nach der hat sie tragen. Dieses Konzept ist unten dargestellt:

• Black Hat Hacker bösartigen oder kriminellen Hackern, Hack auf der Systems und Computer zu beschädigen oder Daten, die versuchen zu verhindern, dass Unternehmen aus der Erbringung ihrer Dienstleistungen. Einige schwarze Hut Hacker einfach Hack Sicherheit geschützte Systeme zu gewinnen Prestige in der Hacker-Community.
• White hat Hacker sind legitim Security-Experten, die versuchen, um Sicherheitslücken im Betriebssystem-Plattformen. White hat Hacker haben die Verbesserung der Sicherheit als Motiv. Sie nicht schädigen oder Firmendaten stehlen, sie suchen auch nicht alle bekannt. Diese Security-Experten sind in der Regel einiges Wissen über die Hacker-Methoden, die von schwarzen Hut Hacker.
• Grey hat Hacker: Es handelt sich um Personen, die Motive, die zwischen der schwarzen Hut und weißer Mütze Hacker Hacker.

Die Arten von Netzwerk-Attacken

Zwar gibt es viele verschiedene Arten von Netzwerk-Attacken, nur wenige können als die am häufigsten, die Netzwerk-Attacken. Diese Netzwerk-Attacken werden in diesem Abschnitt des Artikels:

• Daten verändert oder Daten Manipulation bezieht sich auf ein Netzwerk angreifen, wo vertrauliche Firmendaten wird, gelöscht oder geändert werden. Daten Änderung erfolgreich ist, wenn Daten geändert wird, ohne den Absender tatsächlich bewusst, dass es manipuliert wurde.
Ein paar Methoden zur Verhinderung von Angriffen, die auf Kompromisse die Integrität der Daten sind hier aufgelistet:
• Verwenden Sie digitale Signaturen, um zu gewährleisten, dass die Daten nicht geändert worden, während es übertragen oder einfach gespeichert werden.
• Umsetzung Access Control Lists (ACLs) zu steuern, welche Benutzer Zugriff auf Ihre Daten.
• Regelmäßig Sicherungskopien von wichtigen Daten.
• Fügen Sie Code in Anwendungen, die Validierung der Daten-Eingang.
• Lauschangriffe: Diese Art von Netzwerk-Angriff tritt auf, wenn ein Angreifer überwacht oder hört den Netzwerkverkehr auf der Durchreise, und dann interpretiert alle ungeschützten Daten. Während Sie müssen spezielle Geräte und Zugang zu den Telefon-Unternehmen Wechsel Einrichtungen zu belauschen Telefonate, müssen Sie lauschen auf einer Internet-Protokoll (IP) ist ein Netzwerk-Sniffer-Technologie, um den Verkehr zu übertragen. Dies ist im Wesentlichen aufgrund der Transmission Control Protocol / Internet Protocol (TCP / IP)-Protokoll wird eine offene Architektur, die unverschlüsselt überträgt Daten über das Netzwerk.
Einige Methoden der Verhütung von Eindringlingen aus Abhören im Netzwerk finden Sie hier:
• Umsetzung Internet Protocol Security (IPSec) zu sichern und zu verschlüsseln, IP-Daten, bevor sie über das Netzwerk gesendet.
• Umsetzung von Sicherheitsrichtlinien und-verfahren zu verhindern, dass Angreifer von Anbringen einem Sniffer im Netzwerk.
• Installieren Sie Antivirensoftware zum Schutz des Unternehmensnetzwerks vor Trojanern. Trojaner sind in der Regel genutzt, um sensible und zu erfassen, wertvolle Informationen, wie Benutzer-Credentials.
• IP-Adresse Spoofing oder IP-Spoofing oder Identität: IP-Adresse Spoofing tritt auf, wenn ein Angreifer nimmt an, dass die Quelle Internet-Protokoll (IP)-Adresse von IP-Paketen, um es den Anschein, als ob das Paket aus eine gültige IP-Adresse. Das Ziel einer IP-Adresse Spoofing-Attacke ist es, Computer in einem Netzwerk. Die Mehrheit der IP-Netze nutzen, die IP-Adresse des Nutzers zu überprüfen, Identitäten, Router und auch der Regel ignorieren, wenn Quell-IP-Adressen-Routing-Pakete. Router die Ziel-IP-Adressen, Pakete zu der Zieladresse Netzwerk.
Diese Faktoren könnte ein Angreifer einen Router zu umgehen und auf eine Reihe von weiteren Angriffen, einschließlich:
• Einleitung einer Überprüfung für einen Denial-of-Service (DoS)-Attacken.
• Einleitung des Man-in-the-Middle (MITM) Angriffe zu entführen Sitzungen.
• Umleiten von Verkehr.
Einige Methoden der Verhütung von IP-Adresse Spoofing-Angriffe sind hier aufgelistet:
• Verschlüsseln den Datenverkehr zwischen Router und externe Hosts.
• Definieren Sie Filter Eindringen auf Routern und Firewalls zu stoppen eingehenden Datenverkehr, in dem die Quell-Adresse aus einer vertrauenswürdigen Hosts, auf dem internen Netzwerk
• Sniffer-Attacken: Sniffing bezieht sich auf den Prozess, die von Angreifern zur Erfassung und Analyse von Netzwerkverkehr. Der Inhalt der Pakete in einem Netzwerk analysiert. Die Werkzeuge, die Angreifer für Schnupfen sind Sniffern oder mehr korrekt, Protokoll-Analysatoren. Während die Protokoll-Analysatoren sind eigentlich Netzwerk-Troubleshooting-Werkzeuge, sie werden auch von Hackern für bösartige Zwecke. Sniffer sind für die Überwachung, Erfassung und die Netzwerk-Informationen, wie Passwörter und wertvolle Kundeninformationen. Wenn eine Person hat den physischen Zugang zu einem Netzwerk, wird er / sie kann einfach fügen Sie ein Protokoll-Analysator für die Netz-und dann erfassen Verkehr. Remote Schnupfen kann auch durchgeführt werden und wird in der Regel von Netzwerk-Angreifer.
Es gibt Protokoll-Analysatoren oder Sniffern für die meisten Netzwerk-Technologien, einschließlich:
• Asynchronous Transfer Mode (ATM)
• Ethernet
• Fiber Channel
• Serielle Anschlüsse
• Small Computer System Interface-(SCSI)
• Wireless
Es gibt eine Reihe von gemeinsamen Sauganleger, die werden von Administratoren und Netzwerk-Sicherheit böswilligen Hackern:
• Dsniff
• Ethereal
• Etherpeek
• Network Associates ist Sniffer
• Ngrep
• Sniffit
• Snort
• Tcpdump
• Windump
Zum Schutz gegen Sniffern, Umsetzung Internet Protocol Security (IPSec), um den Netzwerkverkehr zu verschlüsseln, so dass alle erfassten Informationen können nicht interpretiert werden.
• Passwort-Angriffe: Passwort Angriffe oder Passwort-Cracker sind auf Erraten Sie das Kennwort für ein System, bis das richtige Passwort ist. Eine der wichtigsten Sicherheits-Schwachstellen im Zusammenhang mit dem Kennwort Zugriff ist, dass alle der Sicherheit stützt sich auf die Benutzer-ID und das Passwort verwendet werden. Aber wer ist die Person mit der Mandate auf die Tastatur? Es sind nur einige der älteren Anwendungen, die sich nicht schützen Kennwort. Das Passwort ist schlicht und einfach an Informationen in einer klaren oder Nur-Text - keine Form der Verschlüsselung verwendet wird! Denken Sie daran, dass Netzwerk-Angreifer können Benutzer-ID und das Passwort ein und kann dann sich als autorisierte Benutzer Angriff und das Firmennetz. Angreifer können die Wörterbuch-Attacken oder Brute-Force-Angriffe, um Zugang zu Ressourcen mit den gleichen Rechten wie der autorisierte Benutzer. Eine große Gefahr wäre, wenn der Benutzer über ein gewisses Maß an administrative Rechte auf bestimmte Teile des Netzes. Eine noch größere Gefahr würde bestehen, wenn die gleichen Kennwort sind für alle Systeme. Der Angreifer hätte dann Zugriff auf eine Reihe von Systemen.
Es gibt zwei Möglichkeiten, in dem Kennwort Angriffe durchgeführt werden:
• Online Kracken: Das Netzwerk Angreifer schnuppert Netzwerkverkehr zu beschlagnahmen Authentifizierung Sitzungen in einem Versuch zu erfassen Passwort basierte Informationen. Es gibt Instrumente, die darauf ausgerichtet sind bei Schnupfen die Passwörter vom Verkehr.
• Offline Kracken: Das Netzwerk Angreifer Zugang zu einem System mit der Absicht, den Zugang zu Informationen Passwort. Der Angreifer läuft dann einige Password Cracker-Technologie zu entschlüsseln gültigen Benutzer-Account-Informationen.
Ein Wörterbuch-Angriff tritt auf, wenn alle die Worte der Regel für Passwörter versucht, um ein Passwort mit. Es gibt einige Technologien, kann eine Reihe von komplexen Wort-Kombinationen und Varianten.

Die Microsoft Windows Server 2003 Betriebssystem nur speichert Passwörter in verschlüsselter Form. Um das Passwort ein, müssen Sie über administrative Anmeldeinformationen für den Zugriff auf das System und Informationen. Betriebssysteme diesen Tagen auch die Passwort-Richtlinien. Passwort-Richtlinien verwendet werden können, um festzulegen, wie Passwörter verwaltet werden, und zur Definition der Merkmale von Passwörtern, die als akzeptabel.

Passwort-Einstellungen verwendet werden können, um-und durchzusetzen eine Reihe von Regeln für Passwörter:
• Legen Sie fest, ob Passwörter sind einfach oder komplex sein.
• Legen Sie fest, ob das Passwort Geschichte erhalten bleibt.
• Definieren Sie die Mindestlänge für Kennwörter.
• Definieren Sie die minimale Passwort-Alter.
• Definieren Sie die maximale Alter Passwort.
• Legen Sie fest, ob Kennwörter gespeichert werden mit reversibler Verschlüsselung oder irreversible Verschlüsselung.
Account-Sperre Maßnahmen umgesetzt werden sollten, wenn Ihre Umgebung ist besonders anfällig für Bedrohungen, die aus-Passwörter, die erraten werden. Die Umsetzung eines Kontos Aussperrung Politik sorgt dafür, dass das Konto des Nutzers ist gesperrt, nachdem eine Person bereits erfolglos versucht, für einige Zeit, um das korrekte Passwort. Wichtig zu merken, wenn sie ein Konto gesperrt ist, dass Sie eine Politik, die es erlaubt, ein gewisses Maß an Benutzer-Fehler, aber auch verhindert, dass Hacker mit Ihrer Benutzer-Accounts. Die folgenden Passwort und Account-Sperre Einstellungen befinden sich in den Account Lockout Politikbereich in Kontorichtlinien:
• Account Lockout-Schwelle: Diese Einstellung steuert die Anzahl der nach dem Versuch ein falsches Passwort in das Konto gesperrt wird aus dem System.
• Account-Sperre Dauer: Diese Einstellung steuert die Dauer, die ein Konto gesperrt ist, bleibt gesperrt. Eine Einstellung von 0 bedeutet, dass ein Administrator muss manuell entsperren Sie das Konto gesperrt.
• Reset Konto Aussperrung Zähler nach: Diese Einstellung bestimmt die Zeit, Dauer, muss im Anschluss an eine ungültige Anmeldeversuche, die vor dem Reset-Konto Aussperrung Zähler zurückgesetzt werden.
• Brute-Force-Attacke: Brute-Force-Angriffe einfach versuchen zu entschlüsseln, indem ein Algorithmus versucht jeden möglichen Schlüssel, um die richtige ist. Diese Art von Netzwerk-Angriff verwendet systematisch alle möglichen Alpha, numerischen und Sonderzeichen Tastenkombinationen finden Sie ein Passwort, das für einen Benutzer-Account. Brute-Force-Angriffe sind auch typisch für die Kompromiss-Netze nutzen, die Simple Mail Transfer Protocol (SNMP). Hier, das Netzwerk Angreifer initiiert eine Brute-Force-Attacke zu finden, die SNMP-Community-Namen, so dass er / sie umreißen die Geräte und Dienste auf dem Netz.
Einige Methoden der Verhütung von Brute-Force-Angriffe sind hier:
• Setzen Sie den Einsatz von langen Passwort-Strings.
• Für SNMP-Nutzung lange, komplexe Zeichenfolgen für Community-Namen.
• Umsetzung eines Intrusion Detection System (IDS). Durch die Prüfung der Verkehrs-Muster, ein IDS ist in der Lage, wenn Brute-Force-Angriffe sind im Gange.
• Denial of Service (DoS) Angriff: Ein DoS-Angriff richtet sich auf die Verhütung von ermächtigt, legitimen Nutzern den Zugriff auf das Netzwerk. Die DoS-Attacke ist nicht auf das Sammeln oder die Erhebung von Daten. Es ist Ziel der Verhinderung der normalen Nutzung der Computer oder das Netzwerk von autorisierten, berechtigten Benutzer. Die SYN Flood von 1996 war die früheste Form eines DoS-Angriff genutzt werden, die eine Schwachstelle der Transmission Control Protocol (TCP). Ein DoS-Angriff kann durch Senden von ungültigen Daten zu Anwendungen oder Netzwerkdienste, bis der Server hängt oder stürzt ab. Die häufigste Form eines DoS-Angriffs ist TCP-Attacken.
DoS-Attacken können Sie eine der folgenden Methoden, um zu verhindern, dass autorisierte Benutzer von der Nutzung der Netzwerk-Dienste, Computer, oder Anwendungen:
• Hochwasser das Netz mit ungültigen Daten bis Datenverkehr von autorisierten Netzwerk-Benutzer können nicht verarbeitet werden.
• Hochwasser das Netz mit ungültigen Netzwerk Service-Anfragen, bis der Host, dass vor allem kann nicht alle Anfragen von autorisierten Nutzer des Netzes. Das Netz würde sich überlastet.
• Stören die Kommunikation zwischen Hosts und Clients durch eine der folgenden Methoden:
• Änderung der System-Konfigurationen.
• Physische Zerstörung des Netzes. Absturz eines Routers zum Beispiel würde verhindern, dass Benutzer den Zugriff auf das System.
Es gibt eine Reihe von Werkzeugen leicht zugänglich und verfügbar auf dem Internet, die benutzt werden können, um DoS-Angriffe:
• Bonk
• LAND
• Smurf
• Teardrop
• Winnuke
Ein Netzwerk Angreifer können über das Ausmaß einer DoS-Attacke, indem sie den Angriff auf ein Netzwerk von mehreren Computern oder Systemen. Diese Art von Angriff wird als Distributed Denial of Service (DDoS)-Angriff. Netzwerk-Administratoren können große Schwierigkeiten in Abwehr von DDoS-Angriffen, weil Sperrung aller Angriffe auf Rechner, kann auch dazu führen, Sperrung autorisierte Benutzer. Die folgenden Maßnahmen können zum Schutz eines Netzes gegen DoS-Angriffe:
• Anwendung und Durchsetzung starken Passwort-Richtlinien.
• Back up-System-Konfiguration Daten regelmäßig.
• Deaktivieren oder entfernen Sie alle unnötigen Netzwerkdienste.
• Umsetzung der Disk-Quotas für Ihre Benutzer-und Service-Konten.
• Konfigurieren von Filtern auf Ihrem Router und Patch-Betriebssystemen.
Die folgenden Maßnahmen können zum Schutz eines Netzes gegen DDoS-Angriffe:
• Beschränken Sie die Anzahl der ICMP-und SYN-Paketen über Router-Schnittstellen.
• Filter privaten IP-Adressen mit Router Access Control Lists.
• Bewerben Eindringen und Ausstieg Filter auf allen Edge-Router.
• Man-in-the-Middle (MITM) Angriff: Ein Mann-in-the-Middle (MITM) Angriff tritt auf, wenn ein Hacker lauscht auf einem sicheren Kommunikationssitzung und überwacht, erfasst und kontrolliert die Daten, die zwischen den beiden Parteien zu kommunizieren. Der Angreifer versucht, Informationen, so dass er / sie kann die Identität der Empfänger und Absender zu kommunizieren.
Für eine Man-in-the-Middle (MITM) Angriff, um erfolgreich zu sein, die folgende Sequenz von Ereignissen auftreten:
• Der Hacker muss in der Lage sein, um Zugang zu den Kommunikations-Sitzung, um Verkehr, wenn der Empfänger und Absender, die sichere Kommunikation Tagung.
• Der Hacker muss in der Lage sein, um die Nachrichten, die zwischen den Parteien und dann Nachrichten senden, so dass die Sitzung aktiv bleibt.
Es gibt einige Public-Key-Kryptografie, wie z. B. Diffie-Hellman (DH) Austausch von Schlüsseln, die nicht anfällig für Man-in-the-middle "-Angriffe. Dies ist darauf zurückzuführen, das Diffie-Hellman (DH) Schlüssel-Austausch mit nicht-Authentifizierung.

Was sind Viren?

Ein Virus kann definiert werden als ein bösartiger Code, der Affekte und infiziert Dateien auf einem System. Zahlreiche Instanzen der Dateien werden dann neu erstellt. Viren in der Regel dazu führen, dass eine Art von Datenverlust und / oder Ausfall.

Es gibt zahlreiche Methoden, mit denen ein Virus kann sich in ein System:

• Durch infizierte Disketten.
• Durch eine E-Mail-Anhang mit dem Virus infiziert.
• Durch Herunterladen von Software mit dem Virus infiziert.

Einige Arten von Viren sind hier:

• Boot-Sektor-Viren: Das sind Viren, die Festplatte des Master-Boot-Record. Das Virus wird dann in den Speicher geladen, wenn das System gestartet oder neu gestartet wird.
• Datei-Viren-Programm oder Viren oder Parasiten Viren: Dies sind Viren, die sich an ausführbare Programme. Immer dann, wenn die bestimmten Programm ausgeführt wird, sind die Viren in den Speicher geladen.
• Mehrseitigen Viren: Dies sind Viren, die eine Kombination aus einem Boot-Sektor-Virus und eine Datei-Virus.
• Makro-Viren: Das sind Viren, die sich in Makro-Sprachen, die von Anwendungen, von denen Microsoft Word ist. Makro-Viren infizieren Systeme in der Regel per E-Mail.
• Polymorphe Viren: Diese Viren können als noch schwieriger gegen Viren zu wehren, weil sie ihren Code ändern. Virenschutz-Software findet polymorphe Viren oft schwieriger zu erkennen und zu entfernen.

Wenn Sie feststellen, dass ein Virus Ihr System infiziert hat, verwenden Sie die hier aufgeführten Empfehlungen:

• Scannen jedes Ihrer Systeme zu ermitteln, wie Ihre Infrastruktur infiziert ist.
• Um zu verhindern, dass das Virus von einer weiteren Ausbreitung. Sie sollten sofort trennen Sie alle infizierten Systemen.
• Alle infizierten Systemen installiert werden soll aus einem sauberen Backup-Kopie, also eine Sicherungskopie, die getroffen wurde, wenn das System sauber aus-Virus-Infektionen.
• Informieren Sie die Antivirus-Hersteller, so dass der Verkäufer die Viren-Datenbank wird ständig aktualisiert werden.

Ein paar Methoden zum Schutz Ihrer Netzwerk-Infrastruktur vor Viren finden Sie hier:

• Installieren Sie Virenschutz-Software auf die Systeme.
• Regelmäßig aktualisiert alle installierten Virenschutz-Software.
• Regelmäßig Back-Up-Systeme, nachdem sie zuvor auf Viren, und gelten als saubere von Virus-Infektion.
• Ihre Nutzer sollten ausgebildete nicht öffnen Sie eine beliebige E-Mail-Anhängen, die aus Persönlichkeiten, die sie nicht kennen.

Was sind Würmer?

Wie bereits erwähnt, ein Virus ist eine Form des bösartigen Code infiziert, dass Dateien auf dem System. Ein Wurm auf der anderen Seite ist eine autonome Code propagiert, dass über ein Netzwerk, auf Platz auf der Festplatte und Prozessor-Zyklen. Worms nicht infiziert nur Dateien auf einem System, kann aber propagieren zu anderen Systemen im Netzwerk. Der Zweck einer Wurm ist die Erschöpfung der verfügbaren System-Ressourcen. Daher auch der Grund, warum macht ein Wurm Kopien von sich selbst über und über und über. Worms basically make copies of itself or replicate until available memory is used, bandwidth is unavailable, and legitimate network users are no longer able to access network resources or services.

There are a few worms that are sophisticated enough to corrupt files, render systems un-operational, and even steal data. These worms usually have one or numerous viral codes.

A few previously encountered worms are listed here:

• The ADMw0rm worm took advantage of a buffer overflow in Berkeley Internet Name Domain (BIND).
• The Code Red worm utilized a buffer overflow vulnerability in Microsoft Internet Information Services (IIS) version 4 and IIS version 5.
• The LifeChanges worm exploited a Microsoft Windows weakness which allowed scrap shell files to be utilized for running arbitrary code.
• The LoveLetter worm used a Visual Basic Script to replicate or mass mail itself to all individuals in the Windows address book.
• The Melissa worm utilized a Microsoft Outlook and Outlook Express vulnerability to mass mail itself to all individuals in the Windows address book.
• The Morris worm exploited a Sendmail debug mode vulnerability.
• The Nimda worm managed to run e-mail attachments in Hypertext Markup Language (HTML) messages through the exploitation of HTML IFRAME tag.
• The Slapper worm exploited an Apache Web server platform buffer overflow vulnerability.
• The Slammer worm exploited a buffer overflow vulnerability on un-patched machines running Microsoft SQL Server.

What are Trojan Horses?

A Trojan horse or simply Trojan, is a file or e-mail attachment which is disguised as being a friendly, legitimate file. When executed though, the file corrupts data and can even install a backdoor which hackers can utilize to access the network.

A Trojan horse differs to a virus or worm in the following ways:

• Trojan horses disguise themselves as friendly programs. Viruses and worms are much more obvious in their actions.
• Trojan horses do not replicate like worms and viruses do.

A few different types of Trojan horses are listed here:

• Keystroke loggers monitor the keystrokes that a user types and then e-mails the information to the network attacker.
• Password stealers are disguised as legitimate login screens which wait for users to provide their passwords so that they can be stolen by hackers. Password stealers are aimed at discovering and stealing system passwords for hackers.
• Remote administration tools (RATs) are used by hackers to gain control over the network from some remote location.
• Zombies are typically used to initiate distributed denial of service (DDoS) attacks on the hosts within a network.

Predicting Network Threats

To protect your network infrastructure, you need to be able to predict the types of network threats to which it is vulnerable. This should include an analysis of the risks that each identified network threat imposes on the network infrastructure.

A model known as STRIDE is used by security experts to classify network threats:

• S poofing identity: These are attacks that are aimed at obtaining user account information. Spoofing identity type attacks typically affect data confidentiality.
• T ampering with data: These are attacks that are aimed at modifying company information. Data tampering usually ends up in affecting the integrity of data. A man-in-the-middle attack is a form of data tampering.
• R epudiation: Repudiation takes place when a user performs some form of malicious action on a resource and then later denies carrying out that particular activity. Network administrators usually have no evidence which they can use to back up their suspicions.
• I nformation disclosure: Here, private and confidential information is made available to individuals who should not have access to the particular information. Information disclosure usually impacts data confidentiality and network resource confidentiality.
• D enial of service: These attacks affect the availability of company data and network resources and services. DoS attacks are aimed at preventing legitimate users from accessing network resources and data.
• E levation of privilege: Elevation of privilege occurs when an attacker escalates his/her privileges to obtain a high level of access like administrative privileges, in an attempt to gain control of the network system.

Identifying Threats to DHCP Implementations
A few threats specific to DHCP implementations are listed here:

• Because the IP address number in a DHCP scope is limited, an unauthorized user could initiate a denial of service (DoS) attack by requesting or obtaining a large numbers of IP addresses.
• A network attacker could use a rogue DHCP server to offer incorrect IP addresses to your DHCP clients.
• A denial of service (DoS) attack can be launched through an unauthorized user performing a large number of DNS dynamic updates via the DHCP server.
• Assigning DNS IP addresses and WINS IP addresses through the DHCP server increases the possibility of hackers using this information to attack your DNS and WINS servers.

protect your DHCP environment from network attacks, use the following strategies:

• Implement firewalls
• Close all open unused ports
• If necessary, use VPN tunnels.
• You can use MAC address filters.

Identifying Threats to DNS Implementations
A few threats specific to DNS implementations:

• Denial of service (DoS) attacks occurs when DNS servers are flooded with recursive queries in an attempt to prevent the DNS server from servicing legitimate client requests for name resolution. A successful DoS attack can result in the unavailability of DNS services, and in the eventual shut down of the network.
• In DNS, footprinting occurs when an intruder intercepts DNS zone information. When the intruder has this information, the intruder is able to discover DNS domain names, computer names, and IP addresses which are being used on the network. The intruder then uses this information to decide on which computers he/she wants to attacks.
• IP Spoofing: After an intruder has obtained a valid IP address from a footprinting attack, the intruder can use the IP address to send malicious packets to the network, or access network services. The intruder can also use the valid IP address to modify data.
• In DNS, a redirection attack occurs when an intruder is able to make the DNS server forward or redirect name resolution requests to the incorrect servers. In this case, the incorrect servers are under the control of the intruder. A redirection attack is achieved by an intruder corrupting the DNS cache in a DNS server that accepts unsecured dynamic updates.

To protect an external DNS implementation from network attacks, use the following list of recommendations:

• DNS servers should be placed in a DMZ or in a perimeter network.
• Access rules and packet filtering should be configured firewalls to control both source and destination addresses and ports.
• Host your DNS servers on different subnets and ensure that the DNS servers have different configured routers.
• Install the latest service packs on your DNS servers
• All unnecessary services should be removed.
• Secure zone transfer data by using VPN tunnels or IPSec.
• Ensure that zone transfer is only allowed to specific IP addresses.
• For Internet facing DNS servers, disable recursion, disable dynamic updates, and enable protection against cache pollution
• You can use a stealth primary server to update secondary DNS servers which are registered with ICANN.

Identifying Threats to Internet Information Server (IIS) servers (Web servers)
The security vulnerabilities of the earlier versions of Internet Information Server (IIS), including IIS version 5, were continuously patched up by service packs and hotfixes available from Microsoft. Previously when IIS was installed, all services were enabled and started; all service accounts had high system rights; and permissions were assigned to the lowest levels. This basically meant that the IIS implementation was vulnerable to all sorts of attacks from hackers. Microsoft introduced the Security Lockdown Wizard in an attempt to address the security loopholes and vulnerabilities which existed in the previous versions of IIS. The Security Lockdown Wizard in IIS 6 has been included in the Web Service Extensions (WSE).

IIS is installed in locked-down mode with IIS 6. The only feature immediately available is to access static content. You actually need to utilize the WSE feature in the IIS Manager console tree to manually enable IIS to run applications and its features. By default, all applications and extensions are prohibited from running.

To protect IIS servers from network attacks, use the following recommendations:

• To prevent hackers from using default account names, all default account names, including the Administrator account and Guest account should be changed. You should utilize names for these accounts which are difficult to guess.
• To prevent a hacker from compromising Active Directory should the Web server be compromised, the Web server should be a stand-alone server or a member of a forest, other than the forest which is used by the private network.
• All the latest released security updates, service packs, and hotfixes should be applied to the Web server.
• All sample applications should be removed from a Web server. A few sample application files are installed by default with IIS 5.0.
• All unnecessary services should be removed or disabled. This would ensure that network attackers cannot exploit these services to compromise the Web server.
• Disable the utilization of parent paths. Hackers typically attempt to access unauthorized disk subsystem areas through parent paths.
• Apply security to each content type. Content should be categorized into separate folders, based on content type. You should then apply discretionary access control lists for each content type you have identified.
• To protect commonly attacked ports, use IPSec.
• To protect the secure areas of the Web server, use the Secure Socket Layer (SSL) protocol.
• To detect hacking activity, implement an intrusion detection system (IDS).
• A few recommendations for writing secure code for ASP or ASP.NET applications are summarized here:
• ASP pages should not contain any hard-coded administrator account names and administrator account passwords.
• Sensitive and confidential information and data should not be stored in hidden input fields on Web pages and in cookies.
• Verify and validate form input prior to it being processed.
• Do not use information from HTTP request headers to code decision branches for applications.
• Be wary of buffer overflows generated by unsound coding standards.
• Use Secure Sockets Layer (SSL) to encrypt session cookies.

Identifying Threats to Wireless Networks
A few threats specific to DNS implementations:

• Eavesdropping attacks: The hacker attempts to capture traffic when it is being transmitted from the wireless computer to the wireless access point (WAP).
• Masquerading: Here, the hacker masquerades as an authorized wireless user to access network resources or services.
• Denial of service (DoS) attacks: The network attacker attempts to prevent authorized wireless users from accessing network resources by using a transmitter to block wireless frequencies.
• Man-in-the-middle attacks: If an attacker successfully launches a man-in-the-middle attack, the attacker could be able to replay, and modify wireless communications.
• Attacks at wireless clients: The attacker starts a network attack at the actual wireless computer which is connected to an untrusted wireless network.

To protect wireless networks from network attacks, use the following strategies:

• Administrators should require all wireless communications to be authenticated and encrypted. The common technologies used to protect wireless networks from security threats are Wired Equivalent Privacy ( WEP ), Wi-Fi Protected Access ( WPA ), and IEEE 802.1X authentication
• Regularly apply all firmware updates to your wireless devices.
• Place the wireless network in a wireless demilitarized zone (WDMZ). A router or firewall should isolate the private corporate network from the WDMZ. DHCP should not be used in the wireless demilitarized zone.
• To ensure a high level of wireless security, your wireless devices should support 802.1X authentication using Extensible Authentication Protocol (EAP) authentication; Temporal Key Integrity Protocol ( TKIP ); and use IPSec to secure communication between the AP and the RADIUS server.
• The default administrative password utilized to manage the AP should be a complex, strong password.
• The SSID should not contain the name of the company, the address of the company, and any other identification-type information
• You should not utilize shared key encryption because it can lead to the compromise of the WEP keys.
• To protect the network from site survey mechanisms, disable SSID broadcasts.

Determining Security Requirements for Different Data Types

When determining security requirements for different data types it is often helpful to categorize data as follows:

• Public data: This category includes all data which is already publicly available on the company's Web site or news bulletins. Because the data is already publicly available, no risk is typically associated with the data being stolen. You do however need to maintain and ensure the integrity of public data.
• Private data: Data that falls within this category is usually well-known within your organization's environment but is not well-known to the outside public. A typical example of data that falls within this category is data on the corporate intranet.
• Confidential data: Data that falls within this category is data such as private customer information that should be protected from unauthorized access. The organization would almost always suffer some sort of loss if confidential data is intercepted.
• Secret data: This is data which can be considered more confidential and sensitive in nature than confidential data. Secret data consists of trade secrets, new product and business strategy information, and patent information. Secret data should have the highest levels of security.

Creating an Incidence Response Plan

The terminology, incident response, refers to planned actions in response to a network attack or any similar event that affects systems, networks and company data. An Incident Response plan is aimed at outlining the response procedures that should take place when a network is being attacked or security is being compromised.

The Incident Response plan should assist an organization with dealing with the incident in an orderly manner. Reacting to network attacks by following a planned approach defined by a security policy is the better approach.

These security policies should clearly define the following:

• The response to follow for each different type of incident.
• The individual(s) who are responsible for dealing with these incidents.
• The escalation procedures which should be followed.

An Incident Response plan can be divided into the following four steps:

• Response: Determine how network attacks and security breaches will be dealt with.
• Investigation: Determine how the attack occurred, why the specific attack occurred, and the extent of the attack.
• Restoration: All infected systems should be taken offline and then restored from a clean backup.
• Reporting: The network attack or security breach should be reported to the appropriate authorities.

Before you attempt to determine the existing state of a machine that is being attacked, it is recommended that you first record the information listed here:

• The name of the machine.
• The IP address of the machine.
• The installed operating system, operating system version, and installed service packs.
• All running processes and services.
• List all parties that are dependent on the server. These are the individuals which you need to inform of the current situation.
• Obtain the following valuable information:
• Application event log information.
• System event log information.
• Security event log information.
• All other machine specific event logs, such as DNS logs, DHCP logs, or File Replication logs.
• Record all information which indicates malicious activities. This should include:
• All files that have been modified, corrupted, or deleted.
• All unauthorized processes running.
• Try to identify and record the source of the network attack.

Bookmark Network Attacks

Latest Blog Posts

• Boston College: Ability to Use a Command Line is a Sign of Criminal Activity

• Google Hacked?

• Recycle your old phone – Make some money, and save the environment too!

• SourceForge vs. Freshmeat

• Fastest Web Browser: Google Chrome

• New Webmaster Forum

• Ubuntu Security Tools

• Terrorists Go Hi-Tech

• How to Dry a Cell Phone That's Come in Contact with Water

• The Best Christmas Gift for a Techie