Weekly_ww20
2022, May 27
Uge 20
Aktiv monitorering kender vi at scanne. Dette er ofte støjende og nemt at opdage. Det er også et godt værktøj for en adminsitrator, som ønsker at vide hvad der er på deres netværk.
Mål for ugen
Praktiske og læringsmål for ugen er som følger
Praktiske mål
(ingen)
Læringsmål
- Den studerende kan aktiv monitorering og scanne med passende værktøjer
- Den studerende kan forklare attack surface, og interne vs. eksterne tools.
Leverancer
- Ingen
Tidsplan
Nedenfor er den foreløbige tidsplan, som vil ændre sig afhængigt af input fra de studerende (m.fl.)
Mandag
Tidsplanen:
| Tidspunkt | Aktivitet |
|---|---|
| 8:15 | Lektier fra sidst: Mitra att&ck |
| 9:15 | Scanning, sniffing og attack surfaces |
| 10:15 | Intern scanning |
| 11:15 | Frokost |
| 12:00 | Scannere på internettet: whois, ssllabs, shodanhq, security trail |
| 13:20 | lektier |
| 13:30 | the end |
Kommentarer
- I kender allerede til passive og aktive handlinger, sniffing og så videre
- Mitre active scanning
- CIS critical controls: e.g control 1: inventory, eller control 7: Continuous Vulnerability Management
- Attack surface
- alle programmer, services og enheder som kan angribes, ie. det hele. Traditionelt set kun det der vender mod internettet, men det er ved at ændre sig.
- vi vil have fokus på netværksdelen
- fra okta
- fra fortinet
- kombiner attack surface og attack vectors med lateral movement
- tænk intern og ekstern attack surface, og attack surface på alle enheder.
- Hvordan afhænger dette af lokaliteten i netværket?
- alle programmer, services og enheder som kan angribes, ie. det hele. Traditionelt set kun det der vender mod internettet, men det er ved at ændre sig.
- Interne tools
- nmap er uundgåelig
- sslscan: en af mine personlige favoritter
- den er 10 år gammel, men stadigt valid :-)
- openvas/nessus virker mere som “system sikkerhed” tools
- download en VM hvis I vil teste
- architecture
- Internet baserede scannere
- noget kører kontinuert, andre on demand
- hvorfor køre det via en internet service og ikke direkte hjemmefra?
- whois: whois on ucl.dk
- ssllabs: test af ucl.dk
- sslscan gør det samme.
- security trails
- De har en ASI platform
- Vi har allerede snakket om denne
- shodanhq
Links:
- CIS CSC20 #3 Continuous Vulnerability Management
- Vulnerability management - (kildekritik: afsender ikke vetted)
OBS! (med udråbstegn): Vi laver aktive ting på netværket ofte mod servere og services der kører. Så slå hjernen til og lav ikke en hail mary ting, hvis det ikke virker i første forsøg. Vi har mulighed for at forstyrre netværket og services - hvis vi vil være destruktive, så skal det være med vilje.
Der er ting som jeg synes er relevante, men som ikke er spot on
- Reconnaisance på ipv6 netværk: RFC 7707 og RFC 9099
- Openscap: wikipedia, getting started, howto
Lektier til næste gang
- Se emnelisten igennem
- Sammenlign med Jeres noter
- Skriv to-tre sætninger til hver om hvad I vil snakke om i 5’ish minutter
- Vi snakker om det på mandag