次の方法で共有

TechEd 2010: Attack & Defence: Authentication and Passwords!

  • [アーティクル]

Markus Murray – mein absoluter Lieblingsspeaker auf der TechEd !

Wahrscheinlich fürcht ich mich gleich wieder ;)

Er zeigt das Cain Tool her – er ist damit in der TechEd herumgegangen und hat eine lange Liste an Kennwörtern (IMAP) herausgefunden und gezeigt ;)

 

Ich lege einen Computeraccount an:

Am DC öffne ich einen Command Prompt:

net computer \\Kentpc /add

Damit legt er einen Computer an

und ich habe einen Attacker im internen Netzwerk – wie er immer auch reingekommen ist

net use \\10.11.12.30 /u:kentpc$ kentpc   (geht auf den DomainController)

geht nicht, weil ich ein Computeraccount bin

net use \\srv-dc-01 /u:kentpc$@truesec-event kentpc  - jetzt geht es, ich bin am DC ein authentifizierter Benutzer....  (gleicher Server)

d.h. wenn ich einen Rechner anlege, ohne Zugriff auf den Rechner zu haben , hat er dieses Defaultpassword für 30 Tage

 

damit kann er sich jetzt auf allen shares anmelden, wo alle authentifizierten Benutzer Zugriff haben

und das tun sie bei jedem Penetration Test – und sie finden bei jedem Penetration Test auf den Shares irgendwelche Dateien mit Kennwörtern drinnen

 

 

Ich bin ein Attaker und sitze im Netzwerk deiner Firma

Ich verwende ein Tool namens metasploid

Ich muss nun einen USer dazu bringen, sich mit mir zu verbinden

Damit kann ich mich als dieser USer auf einen anderen Rechner verbinden (und dieser Rechner gehört dann mir)

Auf jedem Rechner, der mir gehört, sehe ich ale Prozesse und kann jeden Benutzeraccount, der auf dieser Maschine angemeldet ist, übernehmen.

Das bedeutet, ich sollte in meinem UNternehmen die Verwendung von Domain Admin Accounts massiv einschränken und mich nur dort einloggen, wo es wirklcih notwendig ist

 

Wie kann ich als Admin mein Netzwerk schützen:

  • Restrict NTLM

Es gibt Group Policies, wo ich einiges einstellen kann:

Security Options, Restrict NTLM – damit kann ich Kerberos erzwingen (und hab viele Probleme nicht mehr) – Vorsicht, dass sollte ich vorher mit dem Audit überprüfen um zu sehen, welche NTLM Traffic ich habe

  • Require strict KDC validation

sollte man aufdrehen, weil es Methoden gibt, wie ich rechner dazubringen kann, sich bei mir u authentifizieren, statt am DC

  • IPSec

damit kann ich ceritficate based auth. für COmputer und User machen – das ist die Zukunft, damit kann ich sichere Authentifizierung machen

(Es ist nciht nur die Zukunft, sondern bereits Gegenwart und verfügbar !)

 

Nette Demo, wie man das Zertifikat dass die BPOS Anmeldung verwendet, stehlen kann und zru Anmeldung verwenden kann – nciht weil BPOS so unsicher ist, sondern weil ich nahezu jede Authentifizierung stehlen kann – deswegen SmartCards, die kann ich nciht stehlen...

 

Christian, live von der TechEd in Berlin

Christian.Decker@microsoft.com

P.S.: 13:02 und der Akku hält – nur noch  17 %