Securing network devices – DEL 1

Det räcker inte att bara säkra upp datorer i ett nätverk. Man måste även säkra upp nätverks enheter. Så som Routrar och switchar. Även om man har ett starkt lösenord på en router så kan det hända att någon sholdersurfar (tittar över axeln) och på detta sätt lätt får tag i admin lösenordet. Detta kan motverkas genom att ktryptera lösenordet. På cisco enheter heter det service password-encryption dock är detta ingen stark kryptering men den hjälper emot folk som tittar över axeln.

Man måste även tänka på vart i nätverket routern sitter. Är det en edge router som är sista routern innan det publika nätet så måste man göra vissa åtgärder så att användare inte kan logga in till exempel över internet.

Det finns ofta tre olika sätt att sätta upp en router.

Singel router approach – Vilket betyder att man endast har en router och sätter all säkerhet på den. Dessa system används oftast av småföretag där det inte finns så mycket att att attacker.

Defense-in-Depth approach – Förutom att ha säkerhet på routern så använder man sig här av en brandvägg bakom routern som filtrerar trafiken ytterligare.

DMZ – En DMZ är en zon bakom brandväggen som kan nås av publika nätverket. Här sätter man ofta mailservrar, webservrar och annat som ska vara nåbart ifrån internet.

————

För att säkra upp en router måste man uppfylla tre olika krav. Fysisk säkerhet, Operativsystem säkerhet och säkra upp själva routern och dess konfigurationer.

Physical security – Den fysiska säkerheten glöms ofta bort. Man ställer en router i bokhyllan eller på något ställe där alla kan komma tå den. Det kan även vara att den förstörs på grund av överhettning, vattenskador eller så kanske routern går ner för att elen stängs av. Det sistnämnda kan motverkas av UPSer som ofta är batteripack som ser till så att elen aldrig går ner.

OS Security – Operativsystems säkerheten uppfyller man genom flera olika sätt. Man måste bland annat tänka på att routern har tillräckligt med minne så att den inte är sårbar för DoS attacker. Man måste även se till så att den har senaste uppdateringar av operativsystem och eventuellt patchat säkerhets hål. Den senaste versionen av operativsystemet behöver inte alltid vara den bästa. En av de viktigaste sakerna är även att ha kopior på operativsystemet samt konfigurationsfiler om man skulle bli tvungen att ersätta routern eller mjukvaran på grund av hårdvarufel, intrång eller någon annan attack som har förstört utrustningen.

Router Hardening – Att säkra upp själva routern är nog det jobbigaste. Här måste man sätta lösenord. Administrera konton så vissa användare eller grupper bara har tillgång till vissa kommandon. Man ska se till så att stänga av oanvända portar och gränssnitt. Man måste även tänka på att inte ha igång processer som inte används. Målet med att säkra upp routern är att reducera de olika sätt man kan få administrations sätt på.

————

För att säkra upp administrativa tillgängligheten måste man även här följa några viktiga steg.

Restrict device accessibility – Begränsa portarna som är tillgängliga. Begränsa även sätt att bli uppkopplad till portarna. Ha till exempel port security eller krypterat nätverk.

Log and account for all access – Man ska logga all viktig trafik på routern. Till exempel när folk ansluter till den och vad som händer när de ansluter.

Authentication access – använd konton för att skydda så att inte personer utan rättighet ska få komma åt systemet.

Present Legal Notification – Banner vid inloggning som säger att denna enhet endast är menad för personer med rätt berhöighet.

Ensure the confidentiality of data – Tänka på vart man sparar känslig data och hur man för över den. Telnet skickas i klartext medan ssh är krypterat. Man vill inte att en till exempel man in the middle attackerare ska kunna få tag i information som kan vara skadlig när den hamnar i orätta händer.

————

SSH / HTTPS

Det är viktigt att tänka på hur man kopplar upp sig till routern. Måste man koppla upp sig remote(fjärr, ifrån en enhet som inte är direkt kopplad) eller går det bra att alltid komma åt routern genom konsolporten.

Eftersom telnet inte är krypterat kan en attackerare få reda på allting som administratören gör. Därför ska man använda sig av SSH eller HTTPS vilket gör det svårare för attackeraren att få tag i information. 

för att starta HTTPS server skriver man
ip http secure-server om man inte anger port så sätts default port 443
http://www.ciscosystems.ro/en/US/products/sw/iosswrel/ps1833

————

Bruteforce

För att göra det svårare eller omöjligt för en attackerare att gissa ett lösenord så bör man anävnda sig av ett lösenord som är mer än 10 tecken och har stora små bokstäver samt specialtecken. Tex ^#$£€@ osv.

Det är även viktigt att lägga till timeouts i konfigurationen. Genom att behöva vänta 3-4 sekunder efter varje försök till logga in så kommer oftast inte brute force program att fungera. Detta gör man genom dessa kommandon.
login block-for 15 attempts 5 with 60 sec (login block–for seconds attempts tries within seconds)
Sedan för att administratörerna alltid ska ha tillgång till routern lägger man till.
ip acces-list standard PERMIT-ADMIN
remark Permit only Administrative hosts
permit 192.168.1.10
permit 192.168.2.30
exit

login quiet-mode access-class {acl-name | acl-number}
login delay 10
login on-success log
login on-failure log 

login on-success log [every login]

login on-failure log [every login]

Show login

show login failures

För att sätta ett säkert lösnord använder man sig av kommandot enable secret. Detta blir då MD5 hashat. Detta lösenord har kod 5. Om det står 7 innan lösenordet så är det krypterat med ciscos egen service password-encryption vilket är väldigt lätt att kncka. En 0 betyder att det inte är någon kryptering alls.

För att lägga till användare använder man sig av username (namn) secret (lösenord). För att sedan lista vilka användarnamn som finns i systemet så kan man gå och kolla det i running-config filen.
Show run | include username 

—————-

Aktivera SSH

—————-

Conf t

1. sätt domän namn ip domain-name span.com

2. Generera en nyckel crypto key generate rsa general-keys modulus 1024 (minst 1024)

3. för att visa upp nyckeln skriver man show crypto key mypubkey rsa. Om du har gamla nycklar är det rekomendera att skriva över den gamla nyckeln genom att skriva crypto key zeroize rsa

4. Skapa en användare username (namn) secret (lösenord)

5. Aktivera SSH på virtuella porten login local och transport input ssh


För att endast låta SSH 2 anslutningar komma in måste man ändra SSH versionen till 2 i global konfig.
ip ssh version 2
ip ssh time-out 60
ip ssh authentication-retries 2

Show ip SSH om det strå version 1.99 så kan man logga in med både 1.0 och 2.0


Disconnect
Disconnect kan användas för att stänga av anslutningar som har gjort sill SSH servern. här finns mer information


för att göra detta i SDM
Configure > Additional Tasks > Router Access > SSH
Configure > Additional Tasks > Router Access > VTY

——-

banner

——-

För att sätta en banner på ett system använder man sig av  kommandot där d kan vara ett specialtecken som inte kommer användas i meddelandet. Det finns några special variabler här. $(hostname) $(domain) $(line) $(line-desc)
banner {exec | incoming | login | motd | slip-ppp} d message d

———–

Rättigheter

———–

Eftersom olika personer ska ha olika rättigheter så finns det olika nivåer på rättigheterna i IOS. Ifrån början finns det två stycken. Level 1 och Level 15. Level 1 innehåller inga rättigheter alls ifrån början. 15 Ärver alla rättigheter ifrån 1-14 och på detta sättet har den alltid alla rättigheter.

privilege mode {level level command | reset} command



Privilege exec level 5 ping
enable secret level 5 cisco5
username SUPPORT privilege 5 secret cisco5


Show privilege
enable (1-15)

——————

Role-based CLI access

——————

Role-based CLI access används för att gruppera olika kommandon. Det finns tre olika views man kan använda sig av. Root view är alla kommandon och kan liknas med privilege level 15. CLI view är kommandon som grupperas ihop för att skapa en slags grupp. Superview kan innehålla flera views för att skapa en större grupp med kommandon. En superview kan inte innehålla kommandon. Endast CLI views.

Konfiguration CLI view.

Steg 1. starta AAA modellen i global konfig. aaa new-model

Steg 2. Skapa en vy. parser view viewname

Steg 3. skapa lösenord. secret (lösenord)

Steg 4. lägg till kommandon. commands parser-mode {include | include-exclusive | exclude} [all] [interface interface-name | command]

parser view SHOWVIEW

secret cisco

commands exec include show

Konfiguration Superview.

Steg 1. skapa superview: parser view view-name superview

Steg 2. Sätt lösenord

Steg 3. lägg till views: view view-name

parser view USER superview

secret password

view SHOWVIEW

exit

Show parser view all

enable view USER

Standard ACL

Extended ACL 

Det underliggande är taget ifrån Ciscos hemsida. ni hittar länken här ovan.

interface  ip access-group {number|name} {in|out}

This extended ACL is used to permit traffic on the 10.1.1.x network (inside) and to receive ping responses from the outside while it prevents unsolicited pings from people outside, permitting all other traffic.

interface Ethernet0/1 ip address 172.16.1.2 255.255.255.0 ip access-group 101 in access-list 101 deny icmp any 10.1.1.0 0.0.0.255 echo access-list 101 permit ip any 10.1.1.0 0.0.0.255

 

————

Kommandon

————

enable secret (password)

line (vty,con,aux) X

password (password)

login

exec-timeout minutes seconds (exec-timeout 10 30) 

Vmware on ubuntu 9.10

I just installed VMware on my ubuntu 9.10.
I am going to run a Windows 2k3 server with MS SQL 2008 dev on it.
I am not using mySQL because im studying the MS one in school. But maby after this course I’ll try installing mySQL.
Here is a link to the install help page. 

http://www.ubuntugeek.com/how-to-install-vmware-server-2-0-x-in-ubuntu-9-10-karmic.html

LM-Hash knäckt.

Jag testade idag att knäcka två lösenord test23 samt lösenordet Rand0m24 Tiden för att knäcka båda lösenorden var 193 sekunder. Jag använde båda kärnorna i min Dual core 2,2ghz. Dssa två lösenord skapade jag på två windows XP konton. För att få ut hasharna ur ”c:\windows\system32\config\sam”så kan man använda gsecdump. Om man försöker öppna sam filen direkt så går inte detta eftersom den är låst till systemet.

För att knäcka lösenordet hämtade jag några rainbowtables ifrån http://www.freerainbowtables.com Där finns även ett verktyg för att knäcka lösenorden. Hur man gör exakt får man klura ut själv 🙂

Länkar till säkerhets organisationer

www.first.org

www.mitre.org

www.sans.org

www.cert.org

www.infosyssec.com

www.isc2.org

www.cisecurity.org
——————————————————
http://hackertarget.com/2009/06/guide-to-openvas-on-ubuntu-904/

Steg:5 – Dölja sina spår och gömma sig

Det sista steget i en attack är att dölja sina spår och gömma sig i systemet. Detta för att attackeraren inte ska bli upptäckt av administratören. För att lyckas med detta måste man ändra i loggfiler. Man måste även tänka på att skapa filer och mappar på olika ställen där de är svåra att hitta. Till exempel så brukar många skadliga program lägga sig i system32 i windows katalogen eftersom det redan finns en hög med filer och kataloger i denna. Det går även att patcha explorer så att den inte ser vissa filer i katalogerna. Det är vanligt i Linux att lägga in nya filer för PS och LS för att inte se vissa processer och filer.

Även om man döljer filer och kataloger så finns det en chans att IDSen eller någonting annat har koll på vem som är ansluten. Därför måste man dölja bevis vid transport av data i nätverket.

Oftast så är loggfilerna låsta till systemet och på detta sätt kan de inte ändras vilket som är bra. Om en loggfil tas bort där emot så kan det bli lite jobbigare. Därför använder man sig oftast av skrivskyddade backup logservrar som är väldigt säkra. Dessa är endast till för att spara loggar och öka säkerheten.

Loggservern är inte med i domänen eftersom domänen har säkerhetsnivåer. Loggservern ska vara självständig och kan ha långa lösenord i copy paste storlek så att de är svåra att knäcka eller brute forcea.

steg:4 – Behålla åtkomst

När man har kommit in i systemet så vill man på något sätt behålla åtkomsten så att man senare kan komma tillbaka till systemet. Detta går att göra genom att sätta upp så kallade bakdörrar. Vanliga bakdörrar är trojaner som man installerar på datorn. Om man applicerar en trojan på en känd fil som till exempel en excel fil kan man på detta sättet sprida bakdörren och kan på detta sättet få tillgång till ännu fler datorer. Ett vanligt program är back orifice som är ett admin verktyg.

För att skydda sig emot dessa så kan man installera antivirus och tänka efter en extra gång innan man öppnar en fil som är bifogad i till exempel ett e-post meddelande.

Det finns även så kallade root-kits som går att installera på systemen. Dessa är väldigt svåra att hitta.

Steg:3 – Ta sig in i system

Lösenord

är de vanligaste sättet att säkra ett system idag.

Många använder dåliga lösenords policys. Därför går det ofta lätt att gissa lösenord. Man ska till exempel inte använda hobbyn, intressen, namn, släktingar osv som lösenord.

Många har samma lösenord på alla olika sidor de har tillgång till. Därför kan man ofta komma åt alla olika siter genom att gissa ett enda lösenord.

Default Lösenord.

Alla switchar och routrar har default lösenord. Genom att rekognosera så får man ju reda på vilken apparat man har att göra med. Sedan kan man googla på nätet efter vad den apparaten har för default-lösenord. Man kan till och med göra ett script som förenklar det hela så man slipper leta på nätet.

Knäcka lösenord

Inloggningsinformation finns lokalt på datorn.

Innehåller lösenord och användarnamn.

1. Skapa ett gissat lösenord.

2. Kryptera Gissningen

3. Jämföra den krypterade gissningen med det krypterade orginalet.

4. Om lösenorden stämmer överens så har man hittat ett lösenord.

man kan även brute forca lösenord vilket betyder att man testar sig fram a,b,c,aa,ab,ac,aaa,aab,aac osv tills man har testat alla miljoner olika lösenord.

Om man har ordlista med alla lösenord och hashar så kallas detta rainbowtable. För att få en komplett LM hash rainbowtable så krävs det runt 64gb med rainbowtables.

LM hash = endast stora tecken, 2×7 tecken, Rainbowtable = 64gb

NTLM hash = Alla tecken, långa lösenord, Saltade

Port Redirection/Trust Exploatation

För att komma åt vissa servrar så kan man inte gå rakt på dessa, eftersom de oftast ligger bakom brandväggar eller i andra nätverk som man själv inte kommer åt. Därför använder man sig av Trust Exploatation. Genom att få tillgång till en dator i till exempel en DMZ så kan man genom detta nätverk ansluta sig till det interna nätverket. Detta gör man genom att skarva anslutningen med Port Redirection.

Man in the middle

Mitm är en attack där attackeraren är mellanhanden. Om du till exempel går in på den banksida så går du inte direkt till den utan du ansluter till attackeraren som sedan vidarebefordrar dina paket till banksidan. Allting ser normalt ut förutom att du får ett annat certifikat. På detta sätt kan attackeraren modifiera data som passerar honom. När du betalar en räkning kanske pengarna inte alls går dit du tror att dom går.

dessa attacker kan man göra med verktyg som webmitm och sshmitm (monkey in the middle)

Buffer overflow

En buffer overflow är när en process skriver till minnet som inte är menat för den processen att hantera. Detta kan innehålla annan data som kan ändra på programmets beteende. Programmet kan då till exempel krascha, starta andra program(om den har rättigheter), ge felaktiga resultat eller så kan detta utnyttjas som ett säkerhets hål.

För att motverka buffer overflow så måste man patcha systemet och hämta uppdateringar.

IDS – Intrusion detection system kan motverka dessa buffer overflows.

IPS – Intrusion prevention system

DOS – Denial of service.

Denial of service gör så att tjänster inte går att nå. Man skickar helt enkelt så många förfrågni

ngar till ett system att den inte kan ta emot några fler förfrågningar. En gammal DOS attack var att pinga någon med stora paket tex ”ping -t -l 5000” även kallad Ping of death 

DDoS – Distributed DOS

Detta gör man genom att ett botnät dos attackerar ett genemnsamt mål.

Man upptäcker DOS attacker genom att man inte kommer åt hemsidor eller att saker går slött. Ofta är det flera hemsidor som inte har någon åtkomst eftersom de ligger i serverparker.

Smurf Attack

Smurf attacker är ungefär som en dos attack. Man har då en Smurf Amplifier som skickar ut ett broadcast ping ifrån en falsk adress. Detta ping svaras då utav alla zombies i detta nätverk och attackerar målet med en ping reply.

TCP Syn Flood

En attackerare skcikar syn ifrån olika ipadresser till en server. Servern svarar då och väntar på att klienterna ska skicka ack. Eftersom det inte kommer några ack så måste anslutningen timea ut innan den tars bort. Detta gör att andra inte kommer åt servern.

Motverka attacker

– Man kan motverka flera attacker genom olika typer av autentisering. Sätta automatisering på switch nivå. Om en dator ska kopplas in så måste denna vara autentisera emot en autentiserings server. Port security på switch portarna kan man använda men då går det fortfarande att byta mac adress på datorn så att den kommer åt switchen och är tillåten att kopplas in.

– Kryptering mellan datorer på nätverket

– Anti sniffer verktyg, IDS

– Brandvägg och IPS

– starka lösenord på alla enheter

– Patcha och uppdatera

– Säkerhetszoner. Man ska inte kunna gå ifrån lägre zoner till de högre men det ska gå tvärt om.

– Kryptera kanske filer som innehåller information som ingen ska få tag på.

– Antivirus

– Säkerhets policy

– Fysisk säkerhet

Steg:2 – Scanning

Port scanna 

Genom att scanna av nätet så vet man vilka datorer som är uppe. Sedan kan man även scanna systemet och se vilka portar som är uppe.

Med hjälp av tex. nmap kan man lätt få reda på vilka tjänster som körs på varje port. Sedan kan man till exempel leta efter exploits till just den tjänsten.

Man kan även veta vilket operativsystem som körs genom att kolla TCP fingerpinting eftersom varje operativsystem har en TCP stack som är unik för jut det operativsystemet.

TCP Scan. (Connected)

klient skickar syn till porten som den scannar.

servern skickar tillbaka ett syn+ack.

Klienten skickar en syn. i

Syn Scan (Fördelen med denna scanning är att den är snabbare och syns inte i loggar eftersom det bara är en halv anslutning.)

Klienten skickar en syn.

får tillbaka en syn+ack

klienten skickar reset.

Man kan även få ut en mängd information utan att ens försöka ansluta till någon maskin. Om man använder ett program som heter Wireshark så kan man läsa TCP paket som skickas runt på nätverket. Tex ARP, CDP osv.

Försvar

För att försvara sig mot scanning så stänger man av onödiga tjänster. Man kan även scanna av datorerna och nätverket själv för att veta vad som rör sig på nätverket och vilka portar som är öppna.

Genom att använda sig av IDS samt IPS så kan man få reda på om dessa attacker sker eller till och med motverka scanning.

Man ska uppdatera operativsystemet samt patcha program så lång det går. Ibland kan man inte uppdatera operativsystem för att vissa program kräver till exempel Service Pack 2.

För att se vilka olika anslutningar man har till sin dator kan man använda sig av TCPview för windows eller Lsof för linux

Undvika IDS, IPS.

Man kan undvika IDS och IPS genom att fragrouta ett tiny fragment. Detta betyder att man delar upp paketet i små delar, sen skickar man paketen till mottagaren i oordning. Eftersom det finns bitar i TCP paketet som håller ordning på paketen så kan mottagardatorn sedan läsa detta meddelande.

Det går även att köra en fragment overleap. Genom att skicka ett kommando med ett paket. Sedan direkt efter skicka ett paket med fel offset kan man skriva över vissa delar av det förra meddelandet. På detta sätt skapas ett nytt meddelande i paketet och man kan skicka kommandon som i vanliga fall stoppas av IPS.

För att undvika sådana här attacker så kan man ställa in på routrar att man inte tillåter paket som är fragmenterade i mindre delar.

För att scanna hemsidor kan man använda sig av W3af, Paros, Nikto.

Steg:1 – Rekognosering

Hur går attackerarna till väga?

1. Rekognosering

Attackeraren försöker få reda på så mycket information som möjligt om systemet som ska attackeras. Datorer, nätverk, routrar, brandväggar, IDS, IPS osv.

En slags rekogniserings attack är social engineering(Man ringer till företag och säger att man kanske är en tekniker). Detta är ofta väldigt effektivt eftersom folk litar på varandra.

Exempel på social engineering är att man ringer upp och utger sig vara ifrån IT-avdelningen och frågar om en specifik uppgift som rör datorerna. Man kan även fråga om dom kan byta lösenord till sommar ett tag medan man uppdaterar en ny mjukvara på deras dator.

Man kan även säga att man är en anställd som är ute och arbetar hos en kund men glömt inloggningsuppgifter och koder till servern.

För att försvara sig emot detta måste man utbilda de anställda i hur detta hot fungerar och samarbeta med varandra. Det hjälper även att ha policys som säger att man inte får ge ut lösenord vad som än händer.

Rekognosering kan även innebära att man går till företaget fysiskt. Man kanske blir insläppt av en person som är anställd. Ibland kanske någon stjäl en dator med information om företaget. Det händer även att folk använder social engineering öga mot öga. De går och frågar anställda på företaget om deras system.

För att motverka detta så är det inbrottslarm, koder till vissa lokaler, mekaniska skydd, kortläsare osv som kan motverka detta.

Dumpster diving.

I soptunnerna kan man hitta data om användare, lösenord, systemskisser, ritningar, inköpslistor av hårdvara/mjukvara. Mycket finns att finna i en soptunna.

Internet

På internet hittar man väldigt mycket filer och information. Filer som är tillgängliga för alla utan att företagen vet om dem. man kan googla på tex site:hemsida.com filetype:xls för att hitta excel filer som ligger på denna sida.

Man kan även söka på xls filer som innehåller vissa textsträngar.

Man kan till exempel få ut information om ägaren till webbplatsen med hjälp av till exempel www.directnic.com eller www.arin.net/whois

Attackerare

Vilka är det som attackerar?

Konkurrenter – De som attackerar är ofta ute efter ekonomisk vinning. Företag kan vara ett exempel. Dock behöver det inte vara företaget själva som utför attacken. Detta är oftast en inhyrd hacker som inte har någonting med företaget att göra. Dessa attacker hör man sällan om eftersom det sker i det dolda och företag som blir attackerade vill inte berätta för allmänheten att de blivit attackerade. Om det läcker ut kan detta bidra till ekonomiska förluster. Eventuella investerare eller sponsorer kanske backar ur eftersom hemlig data har blivit stulen.

Hacktivister – Dessa är ute efter att nå fram med ett budskap till allmänheten. Tex att telia loggan blev utbytt till Felia på deras hemsida. En annan grej var när Kevin Mitnick inte fick någon rättegång. Då hackade folk nyhetssajter över hela världen och spred Free Kevin budskap.

Organiserad Brottslighet – Konkurrenterna köper tjänster av dessa. De hackar även kreditkort, konton osv.

Terrorister – Dessa kan slå ut telefonnät, elnät och mycket fler. Om till exempel sveriges elnät skulle krascha så kan folk inte betala med kort. De kan heller inte ta ut pengar ifrån automater. Efter några dagar utan el skulle ingen ha någon mat kvar hemma och det blir tumult. Bankservrar skulle gå ner när reservaggregaten är nere sov.

Regeringen/Staten – hackers som jobbar för regering och stat är till för att skydda sitt land eller stjäla information ifrån andra länder. FRA är ett exempel.

Interna – Interna attacker, tex folk som lägger över pengar till eget bankkonto osv.

Olika slags attacker

Rekognoserings attacker som är ute efter att samla information av olika slag. Detta är det första steget när man ska göra en attack. Man samlar information om vad man ska attackera. Tex kollar port nummer, versioner på mjukvara osv.

Access är en attack då vi har som mål att få tillgång till information.

Denial of Service Attacker är till för att förstöra eller ta ned tjänster så att de inte är tillgängliga längre.

Typer av attackerare

Script kiddies (Nybörjare)

-Använder program som andra har skapat

-Angriper kända säkerhetshål.

-Vill ofta ha publicitet och skryter över sina erövringar

Mediokra attackerare

-Extremt duktiga på ett specifikt system

-Skapar ofta program som script kiddies använder.

Elit attackerare

-Säkerhets Experter

-Väl insatt i säkerhetstänkande och i olika system

-Vill inte ha publicitet (Sprider inte verktyg som man skapar och berättar inte om säkerhetshålen som man hittar)

-Omfattande säkerhetsanalyser
-Skapar program