如何检查IPS?感染猴vs检查点





三年前,我们发表了一篇文章“ 用于最简单的Pentest的在线工具 ”。在这里,我们讨论了使用诸如Check Point CheckMeFortinet Test Your Metal工具检查网络外围保护的价格合理且快速的方法但是,当您想“制造”网络内部的噪音(最好对基础设施安全)时,有时需要进行更严格的测试。Infection Monkey这样的免费工具可以非常有用例如,我们决定通过Check Point网关扫描网络,并查看IPS的内容。尽管没有什么可以阻止您使用其他解决方案进行类似的实验来检查IPS系统或NGFW的工作方式。结果下切。



感染猴



该工具可以归类为BAS(突破和攻击模拟)系统,可让您以自动模式评估网络的安全性。同时,对基础架构执行安全的“渗透测试”。该工具是开源的,并且正在积极开发中。它的主要区别可能是所有测试都在您的网络内部进行,就像攻击者已经侵入您一样。大多数人仍然专注于外围保护,而忘记了其他措施的必要性。相同的IDS / IPS对于复杂的保护非常重要,因为 使您可以识别网络内部已经存在的威胁。感染猴子是评估公司信息安全成熟度的好方法。



支持平台



感染Monkey本身可以部署为虚拟机。支持以下平台:



  • 的VMware
  • 超V
  • AWS
  • 码头工人
  • 蔚蓝
  • 谷歌云平台


AWS有一个现成的模板,您可以将其与免费帐户一起使用。我们最常使用ESXi。该图像可以在办公室索取网站与我们合作



安装



它的安装非常简单,描述在这里,我认为没有理由重复此信息。还有一条指示开始检查。我们最好将重点放在测试结果上。



使用的攻击技巧



感染猴子使用几种攻击媒介,并允许您查看以下内容:



1)脆弱的主机查找具有弱密码,旧软件版本或已知漏洞的主机。以下是机载漏洞利用列表:



  • 中小企业资源管理器
  • WMI资源管理器
  • MSSQL资源管理器
  • MS08-067资源管理器
  • SSH Exploiter(本质上是蛮力的)
  • Shellshock开发者
  • SambaCry Exploiter
  • ElasticGroovy开发者
  • Struts2资源管理器
  • WebLogic开发人员
  • Hadoop /纱线展商
  • VSFTPD资源管理器


2)禁止互动可以找到在DOE或路由器级别应禁止的网络之间的交互。



3)水平扩散图形显示“恶意软件”的运动。僵尸程序如何在您的网络中“移植”。



所有这些都辅以详细的报告。例如,使用MITER ATT&CK矩阵:







扫描图:







零信任模型报告







对于您现有的防御也是一个很好的检查。他们能够检测到此活动吗?是否所有日志都已到达您的SIEM?



感染猴常见问题



在继续测试结果之前,我想回答一些有关感染猴的最常见问题。



此测试对我的基础设施有害吗?
. Infection Monkey ,



测试后可以清洁“被感染”的设备吗?
Infection Monkey



删除感染猴子后,“感染”系统上是否还有痕迹?
. . Windows %temp%\\~df1563.tmp. Linux — /tmp/user-1563



感染猴子会对系统造成压力吗?
. (Windows Server) Monkey 0.6% CPU 80



该程序是否需要Internet访问?
, , . (updates.infectionmonkey.com) «» (www.google.com).



测试方案



该方案非常简单。带有感染猴子的虚拟机位于专用段中。从中,我们通过Check Point网关扫描本地网段:







使用优化配置文件检查Point IPS结果



即使在Check Point课程中,我也试图显示默认设置的最大危险程度。这适用于所有供应商。您必须能够正确地“拧紧”螺母。在这种情况下,我决定先检查Check Point默认配置文件-Optimized。结果可以在下图中看到:







值得注意的是,使用默认配置文件Infection Monkey成功“黑客”了测试主机(尽管攻击很原始)。根本不包括所需的签名。



使用我的个人资料检查Point IPS结果



设置是根据“ 最大检查点课程中给出的建议进行的结果是完全不同的:







同时,IPS阻止了宿主的感染以及感染猴子的进一步传播。

值得注意的是Check Point具有很好的取证功能。日志本身是这样的:







在这里,您可以看到流量转储,CVE编号,攻击类型,有关它的详细信息以及配置检查点的建议。示例:







在这方面,Check Point做得很好,因为 他们拥有各种恶意软件的丰富知识库。



结论



当然,感染猴子不是万能药,不能解决所有潜在的网络安全问题。但是,对于免费工具而言,这不仅有趣。正如我所说,您可以在网络上“制造噪音”,并查看安全产品的性能。具有默认设置的相同NGFW的行为可能非常不令人满意。如果您对结果不满意,我们可以帮助您分析配置



我们计划在不久的将来针对另一种工具(Cymulate发布类似的测试,该工具可以免费使用。已经有更多的攻击选择。除结果外,我们还将分享有关如何加强保护的建议。为了不错过以下文章,请继续关注我们的频道(TelegramFacebookVKTS解决方案博客)!



All Articles