Come man in the Middle Internal AD Traffic

5

Un collega mi ha chiesto perché pensavo che la crittografia della comunicazione interna di AD Bind fosse importante. Ho detto perché seguo una procedura standard di sicurezza, ma non sono in grado di articolare il modo in cui un utente malintenzionato si impadronisce delle credenziali. Un utente malintenzionato deve possedere un pezzo delle nostre apparecchiature di rete o esiste un modo più semplice per ascoltare?

    
posta k to the z 19.11.2013 - 22:15
fonte

3 risposte

10

L'avvelenamento ARP e lo spoofing IP sono un modo per farlo con nient'altro che un nodo sulla rete.

In generale, ciò che si finisce per impersonare il server AD durante la negoziazione. I dettagli tecnici probabilmente non sono interessanti in questo contesto, ma se fai finta di essere il server AD, puoi fare un sacco di cose.

Una di queste cose potrebbe essere fingere di supportare solo l'autenticazione NTLM e quindi invocare un protocollo molto debole che comporta il passaggio di un hash molto debole che è possibile crackare in poche ore sul laptop e quindi recuperare le password.

Potresti anche essere in grado di sfruttare un punto debole di Kerberos se ne hai uno, poiché l'autenticazione di bind può essere eseguita anche in questo caso. L'altro metodo di autenticazione che potresti forzare sarebbe digest-md5, che è più strong di NTLM, ma non troppo.

Se sei veramente bravo, puoi passare l'autenticazione al vero server AD e passare al proxy (MitM) tutta la comunicazione tra il client e il server per tutto il tempo in cui puoi mantenere lo spoof. Nessuno noterà molto. Tuttavia, Kerberos lo rende difficile.

Quindi, per quanto breve e breve, l'hacker potrebbe recuperare gli hash delle password e ha la capacità di influenzarli in modo molto debole. Questo può compromettere le password.

L'hacker potrebbe anche essere in grado di eseguire l'autenticazione sniff (kerberos), anche se questo è più difficile nei segmenti di rete commutati e praticamente impossibile con 802.1x.

In particolare, Kerberos rende questo tipo di cose abbastanza difficile da realizzare. Ad esempio, la password viene utilizzata solo per generare una chiave condivisa tra il server e la workstation (il server conserva la chiave, cambiandola solo quando la password cambia), quindi non c'è una vera password da decifrare. Questa chiave è utilizzata per proteggere le comunicazioni. Tuttavia, la chiave è simmetrica e un utente malintenzionato potrebbe teoricamente annusare tutti i dati di Kerberos che transitano nella rete, trovare la chiave e quindi trovare una password che generi questa chiave (onestamente sebbene la chiave sia in genere sufficiente). Questo è difficile. Microsoft ha un articolo che include dettagli precisi su come funziona tutto questo, incluso Kerberos .

Se, tuttavia, si sta vincolando ad AD come se fosse LDAP e si facessero cose come reimpostare le password o autenticare usando il metodo plain, dovresti assolutamente fornire un certificato SSL e crittografare il tuo traffico.

    
risposta data 22.11.2013 - 10:00
fonte
3

spoofing ARP per ottenere le credenziali che passano attraverso la rete, quindi passare l'hash .

L'Arpspoofing è un modo per intercettare il traffico attaccando il livello 2 del modello OSI. In questo esempio, l'utente malintenzionato invierà risposte arp all'host di destinazione con lo stesso IP del gateway predefinito ma un diverso indirizzo MAC di proprietà dell'aggressore. Ciò fa sì che l'host di destinazione ritenga che il gateway predefinito risieda nel MAC fornito dall'attaccante e non nel MAC vero del gateway predefinito. A questo punto l'attaccante vince ed è in grado di indirizzare il traffico. Con l'accesso completo al traffico di rete, l'utente malintenzionato può estrarre le informazioni necessarie per eseguire attacchi come passare l'hash.

In questo esempio, l'attrezzatura aggiuntiva non è necessaria sebbene l'autore dell'attacco debba già essere presente sulla rete. Questa potrebbe essere una minaccia interna o un host già compromesso.

Ci sono delle attenuazioni per questo nelle moderne apparecchiature di rete (e intelligenti). Tale che si può controllare quali MAC sono autorizzati a comunicare e su quali porte fisiche. Pertanto, se si tenta di spoofare un MAC, il traffico non supererà lo switch.

@Stephane ha un grande merito per quanto riguarda la difesa in profondità. Mentre la crittografia del traffico riduce una serie di minacce, rende anche "ciechi" sulla rete, poiché il traffico passa silenziosamente dai sistemi di rilevamento delle intrusioni. Ispezionati. L'implementazione di un controllo come la crittografia della rete dipende molto dalla tua circostanza unica.

    
risposta data 21.11.2013 - 23:42
fonte
1

Beh, dipende davvero da cosa intendi per traffico AD locale. Se si intende che è solo sulla macchina server, si è praticamente fatto per se è comunque compromesso, quindi crittografare i dati di Username / Password memorizzati sarebbe solo marginalmente utile - se si possiedano nomi utente e password crittografati, crittografati separatamente, crittografandoli potrebbe rendere molto difficile praticamente metterli in uso, supponendo che si scopra prontamente che il server è stato compromesso. Se si intende locale come solo all'interno della propria rete, le opzioni più probabili per un utente malintenzionato sono MITM e quindi un attacco di dizionario o un passaggio dell'hash. Poiché un precedente rispondente si è effettivamente abbassato per averlo detto, entrerò nei dettagli su ciò che sono.

MITM - Questo è fondamentalmente il punto in cui un utente malintenzionato dice al tuo router che sei tu e che lui è il tuo router. Così finisce per inviarti le sue informazioni (in questo caso, nome utente e password) e tu copi e passa al router. APR sta per Advanced Poison Routing ed è fondamentalmente una versione di fantasia del MITM

Passa l'hash : un attacco in cui annoti una password (con hash) o la cattura con altri mezzi. Quello che fanno molti server è che "dicono" alla macchina di hash la password localmente. "Dicendo" al tuo computer di inviare l'hash senza eseguire nuovamente l'hashing, puoi far apparire che hai inserito un nome utente / password valido e che è stato sottoposto a hash e inviato per la sua strada.

Attacco dizionario : il tuo computer scorre attraverso un elenco di parole, eseguendo l'hashing di ognuna finché non trova una che si spegne in modo identico a un hash precedentemente catturato (davvero l'unico metodo valido per convertire un discreto hash in testo normale)

    
risposta data 22.11.2013 - 04:25
fonte

Leggi altre domande sui tag