[AD/Security] Fysieke toegang tot een DC, de gevaren - Serversoftware en clouddiensten

woensdag 8 april 2009 10:44

Acties:

Verwijderd

Topicstarter

Ik heb hier even een discussie.. en dat roept de vraag op; Wat is nu eigenlijk het risico als je AD op straat ligt? We weten natuurlijk allemaal dat fysieke toegang tot een server een doodzonde is, maar hoe makkelijk is het nu?
Het is best een aardig punt aangezien je tegenwoordig zo even een vmdk of een vhd op een USB stick zet (niet slim, maar het gebeurt).. USB sticky kwijt en klaar ben je... alles op straat. Of een laptop bijvoorbeeld.. En dat is natuurlijk hetzelfde als fysieke toegang tot een server, met dank aan virtualisatie.

Een member server is simpel. Je boot de machine met een shabby cdtje en je heb de hele server onder controle. Kinderlijk eenvoudig. Maar je weet nog steeds het orginele wachtwoord niet.

Stel nu dat de AD van een bedrijf op straat komt te liggen..kun je dan de gegevens uit de AD halen zonder de ww te weten? Bijv door te booten met hetzelfde cdtje en kun je dan bijv het domain administrator ww resetten? Graag geen rare (illegale) tools enzo. Gewoon of het nu echt zo simpel is of niet.

Mijn stellig was namelijk; als de fysieke toegang tot de server er is, ben je in principe altijd de sjaak. Mijn collega zegt dat het niet zo makkelijk is en je niet zomaar de gegevens uit de AD kunt gebruiken..

Dit topic heeft de potentie om over het randje te gaan, dus graag binnen de regels replyen

Een ander punt is dat ik bij bedrijven zie dat men hier amper van bewust is. Ik heb al collega's op hun vingers getikt omdat ze doodleuk een vmdk van een DC op hun lappie hadden staan en dan ook nog raar kijken dat er wat van gezegd wordt.. Men lijkt zich niet te realiseren watvoor risico's dit zijn..?

woensdag 8 april 2009 10:51

Acties:

Verwijderd

Het voordeel van fysieke toegang is dat je er vanalles op kan loslaten..

Ik heb zelf niet zo onwijs veel verstand van AD, maar wanneer je fysieke toegang hebt kun je brute force attacks op het wachtwoord afvuren. Dat kan misschien een paar weken duren maar uiteindelijk zal er toch een match worden gevonden met het wachtwoord. Daarna heb je dus volledige toegang..

woensdag 8 april 2009 10:57

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op woensdag 08 april 2009 @ 10:51:
Het voordeel van fysieke toegang is dat je er vanalles op kan loslaten..

Ik heb zelf niet zo onwijs veel verstand van AD, maar wanneer je fysieke toegang hebt kun je brute force attacks op het wachtwoord afvuren. Dat kan misschien een paar weken duren maar uiteindelijk zal er toch een match worden gevonden met het wachtwoord. Daarna heb je dus volledige toegang..

Uiteraard, maar dan is het niet makkelijk. Een bruteforce heeft de potentie om extreem lang te duren. Een password policy van een maand en je hebt een bruteforce al grotendeels afgedekt. Op service accounts na..

woensdag 8 april 2009 11:10

Acties:

Verwijderd

Dan denk ik dat het niet mogelijk is om het wachtwoord te achterhalen. Wel is het eenvoudig om het wachtwoord te veranderen waardoor alle andere gegevens in de AD makkelijk zijn uit te lezen. Dit is een kwestie van 10 min werk met wat tools..

woensdag 8 april 2009 11:19

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op woensdag 08 april 2009 @ 11:10:
Dan denk ik dat het niet mogelijk is om het wachtwoord te achterhalen. Wel is het eenvoudig om het wachtwoord te veranderen waardoor alle andere gegevens in de AD makkelijk zijn uit te lezen. Dit is een kwestie van 10 min werk met wat tools..

Op een member server is dat simpel, maar ook op een DC?

woensdag 8 april 2009 11:39

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Waarom denk je dat MS met Windows 2008 "Read Only domain controllers" en bitlocker geintroduceerd heeft?

Juist om het risico van offline attacks te verkleinen. En ja, dat geldt ook voor DC's. Er staat immers ook nog steeds een lokaal "AD services restore password" in een lokale SAM.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 8 april 2009 12:29

Acties:

Verwijderd

Topicstarter

Ik zie niet echt waarom een RODC de kans op een offline attack verkleint.. de informatie staat er nog steeds in, maar kan niet gewijzigd worden. De RODC is juist handig voor online gebruik en vergroot op dat moment de security van AD. Maar readonly of niet..de info staat er nog steeds. Heeft dus niet zoveel te maken met illegaal het vergaren van info, maar juist met het tegen gaan van (het door repliceren van) wijzigingen gedaan in de betreffende site.

Bitlocker, ja..dat is natuurlijk een prima oplossing inderdaad.

woensdag 8 april 2009 13:04

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Een RODC is iets meer dan "read-only".

Met een RODC kan immers ook aangegeven worden van welke gebruikers de wachtwoorden er naartoe gesynced moeten/mogen worden (middels een password replication policy). In plaats van je complete AD kan er dus ook voor gekozen worden om enkel de wachtwoorden van de gebruikers van de lokatie waar de RODC staat er naartoe te repliceren.

Mocht de RODC "compromised" worden, dan is er enkele een risico voor die groep gebruikers, niet voor alle gebruikers in je domain.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 8 april 2009 21:00

Acties:

alt-92

ye olde farte

Verwijderd schreef op woensdag 08 april 2009 @ 11:19:
[...]

Op een member server is dat simpel, maar ook op een DC?

Op een (normale) DC kan dat ook (jaa, er zijn tools waar je de AD Dit mee kan dumpen)
Alleen ben je dan vééééél langer bezig - afhankelijk van je password strength.

Tegen die tijd mag je er toch wel vanuit gaan dat het kwijt zijn van een DC wel een keer opgemerkt is en dat je weet dat je compromised bent.

Wat dat betreft zou ik me nog eerder druk maken over in je domain rondzwervende NTLM hashes die door een attacker ingezet kunnen worden.

offtopic:
Nog afgezien van het punt dat rondslingerende VMs van een DC écht not done zijn - Rogue DCs is vragen om problemen, en dan niet eens dat het ding kwijtraakt maar dat het kreng op een verkeerd moment verouderde info gaat re-introduceren.

[ Voor 17% gewijzigd door alt-92 op 08-04-2009 21:07 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 8 april 2009 22:31

Acties:

serkoon

mekker.

Zover ik weet trek je de passwords er zo uit. Is het niet makkelijk vanaf een disk(image) te doen, dan start je als attacker de DC gewoon op een doosje en doe je het live.

In de praktijk zul je zien dat bij de meeste grotere bedrijven de helft van de passwords nog op 'Welkom01' (of equivalent) staan en er nog tientallen zo niet honderden kansloze wachtwoorden gebruikt worden. Ik kan me een test herinneren waarbij we in een paar minuten 1/3 van alle accounts al gekraakt hadden..

Dus ja, de fysieke beveiliging van een DC is absoluut belangrijk. Het idee alleen al om het op een USB-stick rond te gaan sjouwen..

donderdag 9 april 2009 23:50

Acties:

Verwijderd

Topicstarter

alt-92 schreef op woensdag 08 april 2009 @ 21:00:
[...]

Op een (normale) DC kan dat ook (jaa, er zijn tools waar je de AD Dit mee kan dumpen)
Alleen ben je dan vééééél langer bezig - afhankelijk van je password strength.

Tegen die tijd mag je er toch wel vanuit gaan dat het kwijt zijn van een DC wel een keer opgemerkt is en dat je weet dat je compromised bent.

Wat dat betreft zou ik me nog eerder druk maken over in je domain rondzwervende NTLM hashes die door een attacker ingezet kunnen worden.

Ja, eens

offtopic:
Nog afgezien van het punt dat rondslingerende VMs van een DC écht not done zijn - Rogue DCs is vragen om problemen, en dan niet eens dat het ding kwijtraakt maar dat het kreng op een verkeerd moment verouderde info gaat re-introduceren.

Opzich..een kopie in een schaduw omgeving is niet zo gek en zelfs wel handig. Hoe je er mee omgaat is alleen wel van wezenlijk belang om de reden die jij aangeeft. Dat zou idd potentieel heel veel schade kunnen aanrichten.
Volgens mij gebeurd dit aan de lopende band hoor.. Helemaal met die P2V tools van tegenwoordig. En als je dan ziet hoe management servers er soms bij hangen.. vol met shit dat in principe gevoelige data is waar veel te veel mensen bij kunnen.....

serkoon schreef op woensdag 08 april 2009 @ 22:31:

Dus ja, de fysieke beveiliging van een DC is absoluut belangrijk. Het idee alleen al om het op een USB-stick rond te gaan sjouwen..

I've seen it happen

[ Voor 9% gewijzigd door Verwijderd op 09-04-2009 23:51 ]

zaterdag 11 april 2009 14:27

Acties:

chratnox

Het hangt er een beetje vanaf wat voor beveiliging je DC ook heeft. Als je LM of NTLM gebruikt kan iemand die zijn laptopje in hetzelfde netwerkje hangt (aan dezelfde switch is al genoeg) binnen luttele momenten je passwords uitlezen. NTLMv2 wordt een heel stuk lastiger.

Daarnaast staat er een hoop informatie in je AD Database die je niet op straat wilt hebben, veel bedrijven gebruiken de contactpagina e.d. ook. Dat buiten beschouwing gelaten kun je via Directory Services Restore Mode vrij makkelijk het wachtwoord resetten van het restore-administrator account. Ik denk dat je wel begrijpt waar ik naartoe wil hiermee

. Dit zijn alleen nog maar de 'kleinere' dingetjes. Als iemand bij je Administrator account of een ander enterprise admin account kan komen, ligt al je informatie op straat. Hangt af van een bedrijf, maar voor veel bedrijven is dit funest.

Even simpel gezegd. Indien je de mogelijkheid hebt, beveiligen die handel!

[ Voor 14% gewijzigd door chratnox op 11-04-2009 14:31 ]

zaterdag 11 april 2009 16:25

Acties:

alt-92

ye olde farte

chratnox schreef op zaterdag 11 april 2009 @ 14:27:
Het hangt er een beetje vanaf wat voor beveiliging je DC ook heeft. Als je LM of NTLM gebruikt kan iemand die zijn laptopje in hetzelfde netwerkje hangt (aan dezelfde switch is al genoeg) binnen luttele momenten je passwords uitlezen.

Klopt. Verbazingwekkend simpel zelfs, al zal je als je een beetje gezond verstand hebt echt geen crappy LM vereisende prutssoftware meer in gebruik hebben.
Denk aan een primitieve NAS/netwerk harddisk met een zwaar verouderde Samba versie 2.000_b2_prehistorie...

NTLMv2 wordt een heel stuk lastiger.

Meh.
Ik dump de hash, kopieer die mee en meld me daarmee aan. Who needs passwords?

dat is pas scary shit

Als iemand bij je Administrator account of een ander enterprise admin account kan komen, ligt al je informatie op straat. Hangt af van een bedrijf, maar voor veel bedrijven is dit funest.

Even simpel gezegd. Indien je de mogelijkheid hebt, beveiligen die handel!

Ze noemen het niet voor niks the keys to the kingdom

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 11 april 2009 16:36

Acties:

chratnox

alt-92 schreef op zaterdag 11 april 2009 @ 16:25:
[...]

Klopt. Verbazingwekkend simpel zelfs, al zal je als je een beetje gezond verstand hebt echt geen crappy LM vereisende prutssoftware meer in gebruik hebben.
Denk aan een primitieve NAS/netwerk harddisk met een zwaar verouderde Samba versie 2.000_b2_prehistorie...

[...]

Meh.
Ik dump de hash, kopieer die mee en meld me daarmee aan. Who needs passwords?

dat is pas scary shit

[...]

Ze noemen het niet voor niks the keys to the kingdom

Hehe. Inderdaad. Maar, NT4 heeft toch nog LM/NTLM nodig om te werken? Even simpel gezegd houdt dat dus in dat zo'n beetje elke financiële instelling niet voldoet aan het door henzelf gesteldde beveiligingsbeleid

zaterdag 11 april 2009 18:07

Acties:

alt-92

ye olde farte

Nee.
Dat is dus de misvatting, NT4 met (minimaal) SP4 kun je al africhten dat ie alleen NTLMv2 doet.

De reden dat dat default niet gebeurt zijn al die legacy meukdingen als *nixen die enkel LM/NTLM doen (sorry, 't is nou eenmaal zo).
Niet voor niks dat Samba v3 zo gewild is, die kan wel NTLMv2 doen.

Dat is ook gelijk de oorzaak dat die oudere gerenatie NASjes als een NSLU2 bijvoorbeeld geen verbinding kunnen krijgen met Vista, omdat daar een antieke Samba v2 in zit die alleen LM/NTLM vreet.
En dat is default uitgezet in Vista.

[ Voor 68% gewijzigd door alt-92 op 11-04-2009 18:13 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 11 april 2009 18:26

Acties:

chratnox

alt-92 schreef op zaterdag 11 april 2009 @ 18:07:
Nee.
Dat is dus de misvatting, NT4 met (minimaal) SP4 kun je al africhten dat ie alleen NTLMv2 doet.

De reden dat dat default niet gebeurt zijn al die legacy meukdingen als *nixen die enkel LM/NTLM doen (sorry, 't is nou eenmaal zo).
Niet voor niks dat Samba v3 zo gewild is, die kan wel NTLMv2 doen.

Dat is ook gelijk de oorzaak dat die oudere gerenatie NASjes als een NSLU2 bijvoorbeeld geen verbinding kunnen krijgen met Vista, omdat daar een antieke Samba v2 in zit die alleen LM/NTLM vreet.
En dat is default uitgezet in Vista.

Aha! Tja, ik ben het wereldje ingekropen na Win NT, dus heb weinig met NT te maken gehad (mn werk is tenslotte ook zo snel mogelijk klanten weg te migreren van NT

). LM/NTLM is dus alleen nodig wanneer je rare legacy dingen hebt, zoals ouderwetse NAS apparaten, Samba v2 en dat soort meuk? Dan is er geen enkel excuus voor wie dan ook om LM/NTLM nog te gebruiken

[ Voor 3% gewijzigd door chratnox op 11-04-2009 18:38 ]

zaterdag 11 april 2009 21:09

Acties:

Turdie

chratnox schreef op zaterdag 11 april 2009 @ 18:26:
[...]
Aha! Tja, ik ben het wereldje ingekropen na Win NT, dus heb weinig met NT te maken gehad (mn werk is tenslotte ook zo snel mogelijk klanten weg te migreren van NT ). LM/NTLM is dus alleen nodig wanneer je rare legacy dingen hebt, zoals ouderwetse NAS apparaten, Samba v2 en dat soort meuk? Dan is er geen enkel excuus voor wie dan ook om LM/NTLM nog te gebruiken

Wij hebben een antivirus beheer tool die nog NTLM

gebruikt (McAfee ePolicy Orchestar). Dat is by design.En in de nieuwe versie (ePO 4.0) is dat nog niet opgelost,helaas.

Maar inderdaad over het algemeen zien moet je zo min mogelijk NTLM proberen te gebruiken.

De gegevens in de AD kun je volgens mij ook niet zomaar gebruiken, omdat de wachtwoord hashes van de users volgens mij encrypted worden opgeslagen, natuurlijk bezit je wel informatie over het netwerk. Een uitzondering daarop zal zijn als je in AD aanzet dat de wachtwoord met reversible encryption opslaat, maar dit is uit ten boze

. Ook zijn cached credentials easy te kraken op clients, daarom staat dan bij ons ook uit.

In de Active Directory wordt namelijk Kerberos gebruikt om wachtwoorden te encrypten en decrypten en over het netwerk te versturen, en Kerberos is bij mijn weten nog niet gekraakt.
Eigenschappen van het protocol zijn (Bron):

Wederzijdse authenticatie tussen client en server
Wachtwoorden worden nooit uitgewisseld
Naspelen van de authenticatie is niet mogelijk

[ Voor 119% gewijzigd door Turdie op 11-04-2009 21:23 ]