Strona 1 z 3 123 OstatniOstatni
Pokaż wyniki 1 do 10 z 23

Temat: Admin nie jest slepy/gluchy wiec uwazaj co robisz!

  1. #1
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie Admin nie jest slepy/gluchy wiec uwazaj co robisz!

    Czolem

    Od paru dni pisalem ze wrzuce na forum informacje o tym co widza admini sieci jak ktos dobiera im sie do systemow. Hackerzy amatorzy mysla ze sa tacy mocni bo maja exploity... admini lamerzy mysla ze sa mocni bo maja firewalle (i im wiecej lampel mruga to tym firewall lepszy)

    To teraz nieco bardziej na powaznie - pare rzeczy ktore znacznie upraszczaja zarzadzanie siecia i zapobiegaja wiekszosci atakow z jakimi mozna sie spotkac... w firmach o takim profilu. Dane pochodza od zaprzyjaznionego ISP (jednego z kilku z ktorymi trzymam dobry kontakt). Poniewaz mowa byla o tym, ze pokaze jak wyglada dzialajacy RADIUS z PPPoE to od tego wyjdziemy. Oczywiscie dane pozwalajace na identyfikacje ISP, jego lokalizacji czy tez klientow zostaly ukryte

    Firma dostarcza internet roznymi sposobami, miedzy innymi przez wifi (choc DOKLADNIE ten sam mechanizm dziala na wszystkich ethernetach ktore ida do klientow).

    Skladniki systemu
    1. Baza SQL ktora przechowuje dane o klientach (min. MAC i typ interfejsu, lokalizacje i identyfikator punktu dostepu, login+haslo, parametry konta jak taryfa, adres IP statyczny/dynamiczny/prywatny/publiczny, itd. - ogolnie wszystko o kliencie)
    2. Serwer RADIUS korzystajacy z bazy powyzej
    3. Urzadzenie dostepowe ktore pozwala na uzycie protokolu RADIUS (moze to byc AP do wifi, moze byc switch ethernet, itd - mozliwosci jest sporo).
    4. System centralnego skladowania i analizy logow

    zwroccie uwage, ze wszystkie skladniki mozna miec za free

    Noralne dzialanie systemu
    Przyjmujac ze klient laczy sie na wifi calosc wyglada tak, ze AP podejmuje decyzje czy klienta podlaczyc radiowo bazujac tylko na jego adresie MAC bo do czas az klient sie autoryzuje nazwa usera i haslem, AP zna tylko adres MAC klienta... a ze logowanie user+haslo dziala dopiero jak jestesmy podpieci radiowo (odpowiednik podpiecia kabla do sieciowki), to nie ma o czym gadac, inaczej sie tego nie zrobi

    1. Klient laczy sie do AP, ten pyta RADIUSa czy klienta znamy... jesli znamy to wpuszcza, jesli nie znamy - zaleznie od konfiguracji - odpalamy hot-spot, wpuszczamy lub nie.
    2. Powiedzmy ze klienta znamy i podlaczyl sie radiowo, wiec teraz autoruzacja - klient autoryzuje sie do AP nazwa usera i haslem, AP pyta RADIUSa czy sie zgadza... RADIUS odpowiada - "tak, ten delikwent ma taki IP, taka taryfe, takie aktualne zuzycie w tym miesiacu, takie porty otwarte na firewallu, itp" - radius moze zawierac bardzo wiele informacji! Inny wariant jest taki, ze RADIUS powie, ze klienta nie zna i po zawodach.
    3. Komunikacja AP-RADIUS powinna isc kanalem szyfrowanym, zwlaszcza w radiowkach - tam sniffing to najczesciej banal.

    Poprawne logowanie klienta
    Tak wyglada podlaczanie sie klienta ktory jest w systemie i ma prawo dostepu do danego AP (zrzut jednego logowania, wiadomosci z trybu DEBUG):
    Kod:
    Ready to process requests.
    rad_recv: Access-Request packet from host .............:56605, id=213, length=151
            Service-Type = 2
            NAS-Port-Id = "............."
            User-Name = "............."
            Calling-Station-Id = ".............-83-7B"
            Called-Station-Id = ".............:............."
            Password = ""
            NAS-Identifier = "............."
            NAS-IP-Address = .............
      Processing the authorize section of radiusd.conf
    modcall: entering group authorize for request 0
      modcall[authorize]: module "preprocess" returns ok for request 0
    radius_xlat:  '.............'
    rlm_sql (sql): sql_set_user escaped user --> '.............'
    radius_xlat:  .............
    rlm_sql (sql): Reserving sql socket id: 3
    rlm_sql_engine: query: .............
    rlm_sql_engine: Status: TUPLES_OK
    rlm_sql_engine: affected rows =
    radius_xlat:  .............
    rlm_sql_engine: query: .............
    rlm_sql_engine: Status: TUPLES_OK
    rlm_sql_engine: affected rows =
    radius_xlat:  .............
    rlm_sql_engine: query: .............
    rlm_sql_engine: Status: TUPLES_OK
    rlm_sql_engine: affected rows =
    radius_xlat:  .............
    rlm_sql_engine: query: .............
    rlm_sql_engine: Status: TUPLES_OK
    rlm_sql_engine: affected rows =
    rlm_sql (sql): Released sql socket id: 3
      modcall[authorize]: module "sql" returns ok for request 0
    modcall: leaving group authorize (returns ok) for request 0
    auth: type Local
    auth: user supplied User-Password matches local User-Password
    Login OK: [.............] (from client ............. port 0 cli .............-83-7B)
    Sending Access-Accept of id 213 to ............. port 56605
            NAS-Port-Id == "............."
    Finished request 0
    Going to the next request
    --- Walking the entire request list ---
    Waking up in 6 seconds...
    
    rad_recv: Access-Request packet from host .............:55447, id=214, length=213
            Service-Type = 2
            Framed-Protocol = PPP
            NAS-Port = 1258
            NAS-Port-Type = Ethernet
            User-Name = "............."
            Calling-Station-Id = "............."
            Called-Station-Id = "............."
            NAS-Port-Id = "............."
            MS-CHAP-Challenge = "............."
            MS-CHAP2-Response = "............."
            NAS-Identifier = "............."
            NAS-IP-Address = .............
      Processing the authorize section of radiusd.conf
    modcall: entering group authorize for request 1
      modcall[authorize]: module "preprocess" returns ok for request 1
    radius_xlat:  '.............'
    rlm_sql (sql): sql_set_user escaped user --> '.............'
    radius_xlat:  .............
    rlm_sql (sql): Reserving sql socket id: 2
    rlm_sql_engine: query: .............
    rlm_sql_engine: Status: TUPLES_OK
    rlm_sql_engine: affected rows =
    radius_xlat:  .............
    rlm_sql_engine: query: .............
    rlm_sql_engine: Status: TUPLES_OK
    rlm_sql_engine: affected rows =
    radius_xlat:  .............
    rlm_sql_engine: query: .............
    rlm_sql_engine: Status: TUPLES_OK
    rlm_sql_engine: affected rows =
    radius_xlat:  .............
    rlm_sql_engine: query: .............
    rlm_sql_engine: Status: TUPLES_OK
    rlm_sql_engine: affected rows =
    rlm_sql (sql): Released sql socket id: 2
      modcall[authorize]: module "sql" returns ok for request 1
      rlm_mschap: Found MS-CHAP attributes.  Setting 'Auth-Type  = mschap'
      modcall[authorize]: module "mschap" returns ok for request 1
    modcall: leaving group authorize (returns ok) for request 1
      rad_check_password:  Found Auth-Type MS-CHAP
    auth: type "MS-CHAP"
      Processing the authenticate section of radiusd.conf
    modcall: entering group MS-CHAP for request 1
      rlm_mschap: Told to do MS-CHAPv2 for ............. with NT-Password
    rlm_mschap: adding MS-CHAPv2 MPPE keys
      modcall[authenticate]: module "mschap" returns ok for request 1
    modcall: leaving group MS-CHAP (returns ok) for request 1
    Login OK: [.............] (from client ............. port 1258 cli .............)
    Sending Access-Accept of id 214 to ............. port 55447
            Framed-IP-Address == .............
            Calling-Station-Id == "............."
            Framed-IP-Netmask == .............
            Client-Rate-Limit == "384k/1130k"
            Framed-Protocol == PPP
            Service-Type == 2
            Port-Limit == 1
            MS-CHAP2-Success = "............."
            MS-MPPE-Recv-Key = 0x.............
            MS-MPPE-Send-Key = 0x.............
            MS-MPPE-Encryption-Policy = "0x00000001"
            MS-MPPE-Encryption-Types = "0x00000006"
    Finished request 1
    Going to the next request
    Jak widzicie, jest MS-CHAPv2 ktory robi challenge-response, klient dostaje z RADIUSa limity predkoci, itd - ten akurat nie ma specjalnuch regulek firewalla ale mozna je latwo dodac :P Do tego oczywiste jest, ze ilosc logow jest dosc duza i admin moze widziec dokladnie WSZYSTKO!
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Wbijamy do sieci bezprzewodowej
    Powiem tak - powodzenia! Logi z RADIUSa (tylko z RADIUSa) wygladaja nastepujaco:
    Kod:
    20:02:53 radius,debug new request 58:15e452 code=Access-Request service=wireless called-id=.............:............... 
    20:02:53 radius,debug sending 58:15e452 to .............:1812 
    20:02:53 radius,debug,packet sending Access-Request with id 195 to .............:1812 
    20:02:53 radius,debug,packet     Signature = 0x22432fdc1e943d0c4936ce58343d8456 
    20:02:53 radius,debug,packet     Service-Type = 2 
    20:02:53 radius,debug,packet     NAS-Port-Id = "..............." 
    20:02:53 radius,debug,packet     User-Name = "............." 
    20:02:53 radius,debug,packet     Calling-Station-Id = ".............-65-36" 
    20:02:53 radius,debug,packet     Called-Station-Id = ".............:..............." 
    20:02:53 radius,debug,packet     User-Password = 0x 
    20:02:53 radius,debug,packet     NAS-Identifier = "............." 
    20:02:53 radius,debug,packet     NAS-IP-Address = ............. 
    20:02:53 radius,debug,packet received Access-Reject with id 191 from .............:1812 
    20:02:53 radius,debug,packet     Signature = 0xb53f0c5f70458c7e5b1abcdda7e1d5c1 
    20:02:53 radius,debug received reply for 58:15e44e 
    20:02:54 radius,debug resending 58:15e44f 
    20:02:54 radius,debug,packet sending Access-Request with id 192 to .............:1812 
    20:02:54 radius,debug,packet     Signature = 0x63aa6fac51802f6b4c97c5ff6ab8ed1b 
    20:02:54 radius,debug,packet     Service-Type = 2 
    20:02:54 radius,debug,packet     NAS-Port-Id = "..............." 
    20:02:54 radius,debug,packet     User-Name = "............." 
    20:02:54 radius,debug,packet     Calling-Station-Id = ".............-65-36" 
    20:02:54 radius,debug,packet     Called-Station-Id = ".............:..............." 
    20:02:54 radius,debug,packet     User-Password = 0x 
    20:02:54 radius,debug,packet     NAS-Identifier = "............." 
    20:02:54 radius,debug,packet     NAS-IP-Address = ............. 
    20:02:54 wireless,info [email protected]: reassociating 
    20:02:54 radius,debug new request 58:15e453 code=Access-Request service=wireless called-id=.............:............... 
    20:02:54 radius,debug sending 58:15e453 to .............:1812 
    20:02:54 radius,debug,packet sending Access-Request with id 196 to .............:1812 
    20:02:54 radius,debug,packet     Signature = 0x0f09ef2d1a84b0324637861d7f5f6554 
    20:02:54 radius,debug,packet     Service-Type = 2 
    20:02:54 radius,debug,packet     NAS-Port-Id = "..............." 
    20:02:54 radius,debug,packet     User-Name = "............." 
    20:02:54 radius,debug,packet     Calling-Station-Id = ".............-65-36" 
    20:02:54 radius,debug,packet     Called-Station-Id = ".............:..............." 
    20:02:54 radius,debug,packet     User-Password = 0x 
    20:02:54 radius,debug,packet     NAS-Identifier = "............." 
    20:02:54 radius,debug,packet     NAS-IP-Address = ............. 
    20:02:54 radius,debug,packet received Access-Reject with id 192 from .............:1812 
    20:02:54 radius,debug,packet     Signature = 0x306a83cf5e80c080f72f8d6bed52e234 
    20:02:54 radius,debug received reply for 58:15e44f
    Jak widzicie calosc leci w tepie 1 zapytania na sekunde... klient sie podlacza do radia (probuje), AP wysyla do RADIUSa MAC klienta i pyta czy klient jest w bazie... ale ze go tam nie ma to dostaje odmowe dostepu i jest rozlaczany (deassocjacja) z radia... i zabawa zaczyna sie od nowa - srednio 1 proba na sekunde.
    Nawet gdyby podszyc sie pod MAC istniejacego klienta, to i tak nastepne jest PPPoE i autoryzacja MSCHAPv2 wiec i tak dupa :P

    Admin nie patrzy a i tak wie co sie dzieje
    Wielu mysli ze admin nie patrzy wiec moga robic co chca - nic bardziej blednego! Admin nie musi patrzec aby wiedziec co sie dzieje... wystarczy ze wie jak sobie uproscic zycie. Ponizej 2 screeny z systemu korelacji logow ktory dziala w innej zaprzyjaznionej firmie. Program nazywa sie Splunk - do 500MB logow na dobe jest darmowy, pozniej cena jest bardzo ladna...

    Pierwsze co to wykaz ilosci zjawisk pochodzacych z jednego tylko systemu znajdujacego sie w sieci tej drugiej firmy - dane za okres pazdziernika:
    Jak widzicie admin nie musi patrzec ciagle, system robi to za niego! Wystarczy rzut oka na ostatnie 30 minut i bedzie ladny skok w gore jesli ktos chce sie podlaczyc na krzywy ryj... bo kazda proba to N linii w logu a kazda linia to +1 na wykres, 60x kazdej minuty. Mozna znalezc w ten sposob (wyswietlajac np dane z 7 dni) nawet pojedyncze proby nieautoryzowanego podpiecia sie do sieci.

    Do tego oczywiscie mozna filtrowac i raportowac wg rodzaju zdazenia:
    mozna zobaczyc ile czego bylo, jak zalezaly w czasie od siebie, co dzialo sie w tym czasie w innych systemach ktore loguja do splunk'a :P

    Podsumowanie
    Dalem Wam tylko smaczek tego jak moze wygladac fajnie zrobiona siec. Do tego dodajmy IDS/IPS na sieci, HIDS na serwerach, zarzadzanie lataniem softu... i mamy calkiem calkiem przyzwoita konfiguracje do ktorej bedzie sie ciezko dobrac... a nawet jak sie dobierzesz to logow bedzie tyle, ze nie da sie z tego wykrecic przed sadem :P

    Mam nadzieje ze Wam sie podobalo i ruszylo nieco wyobraznie.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    Aug 2009
    Postów
    408

    Domyślnie

    Logi moga stanowic dowod przed sadem? Chyba nie, a przynajmniej nie te zgromadzone przez strone. ISP to co innego, ale jak powiedziales ze jest zaprzyjazniony to tez podpoada pod strone i dupa.

  4. #4
    Zarejestrowany
    Sep 2009
    Skąd
    Z Nienacka
    Postów
    396

    Domyślnie

    Mam nadzieje ze Wam sie podobalo i ruszylo nieco wyobraznie.
    pewnie, że tak jednak w moim przypadku po raz kolejny odsłoniło braki wiedzy...

    Dzięki, że znalazłeś czas, żeby podzielić się wiedzą

    A posiadasz może jakiś zrzut z tcpdump'a? Jak to wygląda od strony klienta? I czy jest sens stosowania szyfrowania WEP, bo pewnie WPA odpada, aby nie zamulić...

    Tak w ogóle zastanawiam się jak wyglada sprawa bezpieczeństwa samego RADIUS'a...
    Podejrzewam, ze można by postawić klamota z FreeRadius'em, poblokować wszystkie pozostałe porty... Wiadomo, że z NAS do RADIUS'a trzeba by ruch szyfrować, więc ewentualny podsłuch odpada... Czy warto więc "inwestować" czas w zabezpieczanie RADIUS'a skoro i tak nieautoryzowany użytkownik jest wycinany na warstwie radiowej? Kontakt z RADIUS'em i tak ma tylko NAS czy AP...

    Oczywiście proszę mnie poprawić jeśli plotę bzdury :P moja wiedza jest szczątkowa, więc proszę o wyrozumiałość...

    pozdrawiam

  5. #5
    Zarejestrowany
    Dec 2008
    Postów
    48

    Domyślnie

    lojciecdyrektor nieautoryzowany użytkownik jest wycinany na warstwie radiowej, ale jeśli ktoś podsłucha sieć i zmieni MAC na prawidłowy, to pozostaje kwestia sprawdzenia uwierzytelnienia AP-RADIUS, czyli to co tam RADIUS porównuje w bazie danych.

    A teraz taka sprawa skoro połączenie AP-RADIUS jest szyfrowane to przyszło mi na myśl czy nie można tego szyfrowania złamać stosując połączone konsole PS3 Słyszałem też, że chyba w Izraelu napisali algorytm, który łamie hasła 1024 bitowe.
    Do Mad Dud: wykładowca z kryptografii coś o tym wspomniał więc na ile jest to wiarygodne to nie wiem, ale wiem, że Kaspersky walczy ze złamaniem tego klucz z powodu wirusa, który wykorzystuje 1024 bitowy klucz do zaszyfrowania danych na komputerach
    Ostatnio edytowane przez Paladyn : 11-30-2009 - 13:18

  6. #6
    Zarejestrowany
    Sep 2009
    Skąd
    Z Nienacka
    Postów
    396

    Domyślnie

    Cytat Napisał Paladyn Zobacz post
    lojciecdyrektor nieautoryzowany użytkownik jest wycinany na warstwie radiowej, ale jeśli ktoś podsłucha sieć i zmieni MAC na prawidłowy, to pozostaje kwestia sprawdzenia uwierzytelnienia AP-RADIUS, czyli to co tam RADIUS porównuje w bazie danych.
    no fakt tyle, że chyba na nie wiele się to zda, bo i tak to RADIUS decyduje o autoryzacji komunikując sie tylko z AP szyfrowanym kanałem jeśli dobrze to rozumiem:P Wtedy gdy RADIUS odrzuci użytkownika, ten automatycznie jest wywalany przez AP. Czyli podsłuch owszem, ale i tak nic to nie da bo trzeba znać login i hasło, a to też przed podsłuchem jest chyba zabezpieczone przez MS-CHAP. Dlatego właśnie prosiłem o zrzut z tcpdump'a, żeby widzieć jak to wygląda od strony klienta. Czy idą haszcze czy plain?

    Cytat Napisał Paladyn Zobacz post
    A teraz taka sprawa skoro połączenie AP-RADIUS jest szyfrowane to przyszło mi na myśl czy nie można tego szyfrowania złamać stosując połączone konsole PS3 Słyszałem też, że chyba w Izraelu napisali algorytm, który łamie hasła 1024 bitowe.
    pewnie zależy jakie jest zastosowane szyfrowanie:P

  7. #7
    Zarejestrowany
    Sep 2006
    Postów
    1,227

    Domyślnie

    Cytat Napisał Paladyn Zobacz post
    Słyszałem też, że chyba w Izraelu napisali algorytm, który łamie hasła 1024 bitowe.
    Szczegóły proszę.

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    @rax666 - logi jak najbardziej moga stanowic dowod w postepowaniu sadowym a to ze pokazalem Wam interfejs WWW to akurat tak sie sklada, ze to narzedzie (splunk) robi korelacje logow i jak masz sporo systemow to sie logi wygodnie w nim przeszukuje... logi mozesz wysylac prosto do Splunk'a albo do sysloga centralnego na przyklad albo nawet rsync'a logow robic a splunk je zaczyta z dysku i zaindeksuje. Masz log podpisany cyfrowo itd... a splunk tylko do indeksowania i przeszukiwania.

    Co do tego co leci w powietrzu - dumpow nie mam akurat ale pewnie jak bedzie okazja to zbiore nawet do wlasnej analizy... Jedyne co mozna zrobic jako atakujacy to sprobowac zaatakowac MSCHAPv2 i to leci tak jak MCHAPv2 podaje, nie inaczej - zakladajac ze warstwa radiowa nie ma WEP/WPA/WPA2 czyli leci calkiem na czysto.

    Owszem... jest jeden rodzaj ataku ale... :-P
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  9. #9
    Zarejestrowany
    Sep 2009
    Skąd
    Z Nienacka
    Postów
    396

    Domyślnie

    Co do tego co leci w powietrzu - dumpow nie mam akurat ale pewnie jak bedzie okazja to zbiore nawet do wlasnej analizy...
    Byłoby miło gdybyś o mnie pamiętał jak będziesz w ich posiadaniu...
    Owszem... jest jeden rodzaj ataku ale... :-P
    ale nam nie powiesz mamy pomyśleć sami?

    Obstawiam atak na klienta podszywając się pod AP i wymuszając PAP, bo na RADIUS'a porywać się nie będę...

    pozdrawiam

  10. #10
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Prawda jest taka, z wifi przez to ze jest tzw shared medium nigdy nie bedzie 100% pewne ani bezpieczne. Nawet jesli ktos przebije sie przez MSCHAPv2 bedzie mial neta jedynie tak dlugo az sie prawowity klient nie polapie ze nie ma netu i nie zadzwoni do supportu... wtedy zacznie sie sprawdzanie, kto co i jak... wtedy jest zmiana hasla klienta, zmiana paru innych rzeczy i juz atakujacy wypada z obiegu przynajmniej na jakis czas.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Strona 1 z 3 123 OstatniOstatni

Podobne wątki

  1. Dlaczego nie widać co jest nagrane na płytce
    By Piotr Ra in forum Newbie - dla początkujących!
    Odpowiedzi: 7
    Autor: 10-06-2009, 22:22
  2. jest połaczenie ale internet nie chodzi ???
    By paulosol1 in forum Wardriving
    Odpowiedzi: 12
    Autor: 06-20-2008, 00:27
  3. brutus:)nie jest to co myślisz
    By solololo in forum Newbie - dla początkujących!
    Odpowiedzi: 6
    Autor: 05-10-2008, 17:22
  4. problemy ze stroną - czyli to już nie jest smieszne
    By ironwall in forum HTML/DHTML/XHTML
    Odpowiedzi: 2
    Autor: 12-28-2007, 19:58
  5. Jak wgrać mape...kod jest wszystko jest a nie działa
    By olixon in forum Systemy radiokomunikacyjne
    Odpowiedzi: 3
    Autor: 07-11-2007, 06:52

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj