J3qx

information archive

Archive for the ‘ITSecurity’ Category

Группы Windows NT и Active Directory

Posted by j3qx на Август 19, 2017

Local и Domain Local, Global и Universal, Security и Distribution — вокруг них много фантазий и мифов. Разбираемся.

Для человека, который сталкивается с многообразием групп в Active Directory, разобраться с ними сходу весьма трудно. Local и Domain Local, Global и Universal, Security и Distribution – всё это осложняется ситуацией “кого в кого можно включать”, и в финале сопровождается выводом “нафиг столько нагородили, уму непостижимо”. Добавляет к этому бардаку сочности то, что в фирменных курсах Microsoft данная тема освещается всё обзорнее и обзорнее – и сводится буквально к паре слайдов “запомните вот эту табличку”, без объяснения причин того, почему всё работает именно так.

Такой подход понятен – задача Microsoft – максимально удешевить чтение курсов, снижая требования по знаниям у MCT, которые обычно сами не могут объяснить, почему с группами в Windows / Active Directory всё сложилось именно так. Нужен меньший уровень знаний, чтобы вслух ртом начитывать сверху вниз слайды – можно меньше платить – ниже расходы – выше прибыль у партнёров Microsoft – больше партнёров – больше прибыли Microsoft. Приводит это к предсказуемому результату – тему “проскакивают” на бегу с логикой “зазубрите табличку, потом дампы почитаете чуток и проходной балл на экзамене кое-как перевалите, да вообще всё это некритично на самом деле”, а после работают с группами наощупь, а-ля “я на форуме читал, что всё надо делать security global, а у distribution SID’а вообще нет, ко-ко-ко”, ну и с подобными мифами. Табличка “кого в куда включать можно”, будучи не понятой, быстро забывается, а вся тема остаётся мистическим облачком “ой там всё мутно, нереально разобраться, да и не нужно никому”.

Как обычно, у нас подход другой. Разберёмся, что и как с группами. Вам понадобится базовая подготовка на уровне материала курса Microsoft 20410D – можете скачать бесплатно его запись у нас и посмотреть, там несложно.

Группы Windows NT и Active Directory – что, зачем, как, почему

  • Часть первая – изначальная ситуация – одиночная система
  • Часть вторая – домен Windows NT – появление Domain Local и Security-групп
  • Лирическое отступление про максимальное количество групп и прочие технические мелочи
  • Поведение системы при переполнении маркера доступа
  • Часть третья – лес Active Directory – появление Universal-групп и разделения на Security и Distribution
  • Universal-группы и режимы работы домена
  • Можно ли жить в лесу Active Directory без Universal-групп, только с Global и Domain Local
  • Проблемы масштабирования при использовании только Global и Domain Local
  • Domain Local-группы и объекты Active Directory
  • Миф про сниженное быстродействие Universal-групп
  • Миф про одинаковость всех групп, потому что их можно друг в друга переключать

Приступим.

Читать далее…

Реклама

Posted in ITSecurity | Отмечено: , , , | Leave a Comment »

Настраиваем и защищаем SSH

Posted by j3qx на Август 19, 2017

Защищаем администрирование и передачу данных через SSH на различных платформах

Привет.

Протокол SSH уже продолжительное время является основным используемым средством для удалённого администрирования сетевых устройств и unix-ОС.

Гайдов по настройке SSH много. Часть из них устарела. Часть состоит из сверхценных советов “перевесьте на другой порт, например 2222, и не работайте под рутом”. Часть состоит из копипасты чьей-то конфиги с подписью “это секурно”. Часть содержит откровенно вредные советы.

Попробуем избежать всего вышеперечисленного.

В качестве подопытных и настраиваемых систем будет выбран Centos Linux 7й версии и семейство ОС Cisco IOS / NX-OS. Безусловно, можно добавить поддержку SSH и в Windows-системы, но отдельно останавливаться на настройках этого варианта нет особого смысла, т.к. настройки эти будут подмножеством функционала того же OpenSSH. В общем, предлагаемые меры по улучшению безопасности SSH будут применимы и для других ОС.

Поэтому в вашем случае, если используется другая *nix-ОС, расположение конфигурационных файлов, например, может быть иным. Это ничего критично не меняет.

Про настройку SSH в Cisco IOS есть отдельный вебинар из трека Advanced CCNA, запись которого бесплатно доступна на нашем YouTube, а настройку SSH в плане разграничения доступа – типа “хочу, чтобы на коммутаторы и маршрутизаторы могли заходить с админскими правами только участники группы ATRAINING\Cisco Admins из домена Active Directory” – мы делаем на онлайн-курсе Cisco IINS 3.0.

Начнём.

Фиксируем версию SSHv2

Стартовый зоопарк версий SSH – SSH 1.3, потом SSH 1.5, потом “специальная версия от Cisco, показывающая, что сервер умеет и 2.0 и предыдущие”, которая 1.99 – сейчас совершенно не актуален, т.к. весь софт умеет SSHv2. Найти ПО, которое поддерживает только SSH 1.x – реально сложная задача. Поэтому, конечно, убедитесь, что такого ПО у вас нет, и обновите при необходимости – но рассматривать мы будем функциональность и безопасность только второй версии SSH.

Читать далее…

Posted in ITSecurity | Отмечено: , | Leave a Comment »

EC (эллиптические кривые) – выбор

Posted by j3qx на Август 19, 2017

EC (эллиптические кривые) – выбор

Выбираем эллиптические кривые

Около 15 лет в IT-системах, связанных с безопасной передачей данных по недоверенным каналам, начали широко использоваться, помимо классических криптографических алгоритмов RSA и DH, сопоставимые с ними по функционалу, но более быстрые и, предположительно, не менее надёжные криптографические алгоритмы семейства EC или ECC – “elliptic curve” или “elliptic curve cryptography” – “на базе эллиптических кривых”.

Вопросы по функциональности этих алгоритмов и реальной стойкости мы рассмотрим отдельно, пока же сосредоточимся на вопросе “Наши системы поддерживают EC-криптографию; как же выбрать нужные настройки?”.

Список поддерживаемых EC

В случае *nix-систем, для распространённой библиотеки OpenSSL команда для вывода ASN1-имён всех поддерживаемых ECC-кривых будет такой:

openssl ecparam -list_curves

Читать далее…

Posted in ITSecurity | Отмечено: , | Leave a Comment »

Stack Clash – серьёзная уязвимость с 12ти летним опытом

Posted by j3qx на Июнь 24, 2017

Уязвимость The Stack Clash — разбираем и изучаем

19 июня опубликована информация по группе уязвимостей Stack Clash – основной уязвимости на “столкновение сегмента стека с другим сегментом” CVE-2017-1000364 и нескольким дополнительным – CVE-2017-1000365 kernel: RLIMIT_STACK/RLIMIT_INFINITY string size limitation bypass, и прочими “дырками” в kernel, glibc и даже sudo.

В чём дело

В 2005 году Gaël Delalleau показывает наличие уязвимости в управлении памятью в linux 2.6 и ряде других unix-based ОС (FreeBSD, OpenBSD – не удаётся эксплуатировать разве что в Solaris 9/10). Дело в отсутствии защиты от stack gap – которая [защита] присутствует в Windows NT уже давно, поэтому такой трюк не проходит даже на Windows XP SP1, вызывая 0xC0000005.

Читать далее…

Posted in ITSecurity | Leave a Comment »

Настройка окружения SELinux на примере LAMP-сервера

Posted by j3qx на Май 21, 2017

Это третья статья из цикла

И сегодня она попала в поток «Администрирование». Сегодня мы не будем писать модули или настраивать RBAC, а пойдем по пути наименьшего сопротивления и просто захарденим обычный LAMP-сервер при помощи готовой политики, включив необходимые настройки.

Если кто забыл, за аббривиатурой LAMP скрывается Linux, Apache, Mysql, PHP, т.е. это большая часть всех VDS, которые покупают люди для хранения своих личных блогов. Надеюсь, что этот поможет всем им стать немного безопаснее :)

Предположения

Итак, предполагаем, что:

  1. Дистрибутив — CentOS 7 x64, пользователь — root
  2. SELinux включен, загружена политика targeted
  3. Режим SELinux — enforcing

 

Читать далее…

Posted in ITSecurity | Отмечено: , , | Leave a Comment »

Атаки на сетевое оборудование с Kali Linux

Posted by j3qx на Май 20, 2017

image
В данной статье мы рассмотрим актуальные атаки на сетевое оборудование и инструменты, доступные в популярном дистрибутиве Kali Linux для их проведения.

Атакуем CISCO маршрутизатор

 

В состав Kali Linux входит несколько инструментов, которые можно использовать для аудита оборудования CISCO. Список можно посмотреть в разделе Vulnerability Analysis — Cisco Tools:

Читать далее…

Posted in ITSecurity | Отмечено: , , , | Leave a Comment »

Выбор самой быстрой SHA-2 хэш-функции – SHA-512

Posted by j3qx на Май 12, 2017

Длиннее = медленнее? Для хэш-функции — необязательно.

На недавнем вебинаре по TLS 1.3 была вскользь затронута одна неочевидная тема – вопрос выбора самой быстрой хэш-функции для работы TLS.

В самом деле, если подходить с “бытовой логикой”, основанной на наблюдаемой ситуации, логичным будет то, что чем длиннее в битах вывод функции, и чем она безопаснее, тем она дольше считается и больше нагружает процессор.

3DES безопаснее DES, “длиннее в битах” и дольше считается. SHA-1 безопаснее MD5, “длиннее в битах” и дольше считается. RC4-128 безопаснее RC2-40, “длиннее в битах” и… ну, этот пример можно считать исключением.

Читать далее…

Posted in highload, ITSecurity | Отмечено: , , , | Leave a Comment »

Аудит Web-приложения – систематизируем тестирование

Posted by j3qx на Апрель 2, 2017

В предыдущей статье я рассмотрел методологию тестирования Web-приложения. Она не является обязательным стандартом, но поможет вам не пропустить уязвимости в больших проектах. Теперь я подробнее опишу каждый из этапов.

Во время тестирования Web-приложения и поиска уязвимостей в нём очень важно придерживаться некоторой методологии, иначе вы можете упустить что-нибудь важное. Чем крупнее приложение, тем важнее для Вас систематизированный подход.

1. Разведка

Для начала нужно собрать как можно больше информации. Найти включенные службы, скрытые папки, возможные логины. Разведка делится на активную и пассивную.

Читать далее…

Posted in IT expert, ITSecurity | Отмечено: | Leave a Comment »

ПОЛИТИКА УПРАВЛЕНИЯ ОБНОВЛЕНИЯМИ И УЯЗВИМОСТЯМИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. Редакция 1

Posted by j3qx на Август 27, 2016

Политика управления обновлениями и уязвимостями программного обеспечения ООО «Фирма»

Редакция 1

  1. Назначение и область применения
  1. Настоящая «Политика управления обновлениями и уязвимостями программного обеспечения ООО «Фирма» (далее – Политика) развивает положения документа «Политика информационной безопасности ООО «Фирма» (далее — Компания) устанавливает порядок управления обновлениями и уязвимостями информационной безопасности в программном обеспечении, используемом в Компании.

Читать далее…

Posted in ITSecurity | Отмечено: , | Leave a Comment »

6 ключевых шагов для защиты корпоративной сети.

Posted by j3qx на Июль 19, 2016

6 ключевых шагов для защиты корпоративной сети.

В этой статье я не буду рассказывать про использование сложных паролей, максимального ограничения прав доступа, смене учетных записей по умолчанию, обновлению ПО, и других «типовых» рекомендациях. Цель статьи – рассказать о самых частых ошибках в настройках, заставить администраторов и специалистов ИБ задуматься над вопросом – «а все ли в моей сети хорошо?», а также показать, как можно оперативно прикрыть те или иные типовые уязвимости, используя встроенные или бесплатные средства, не прибегая к дополнительным закупкам.

 

Инструкций-рецептов намеренно не прикладываю, так как многое ищется очень легко по ключевым словам.

1. Усильте безопасность инфраструктуры Windows

Не создавайте локальные учетные записи доменными политиками

Это сильный повтор, но тут нужно повторять и повторять, так как эта ошибка очень частая – не создавайте доменной групповой политикой локальные учетные записи на хостах в домене. Опасность этого действия крайне высокая. Про это много где написано, но написано обычно на ресурсах, сугубо связанных с практической безопасностью, а не ИТ.

 

Причина высокой опасности – сведения об этой учетной записи, в том числе ее пароль, хранятся в открытом виде в файле groups.xml, в ресурсе sysvol контроллера домена, который по умолчанию доступен ВСЕМ участникам домена на чтение. Пароль зашифрован, но шифрование симметричное, а ключ один для всех копий Windows, и написан в открытом виде в MSDN. Отсюда следует: любой пользователь может скачать этот файл, и путем простых манипуляций узнать пароль от распространяемой учетной записи. Обычно так распространяется учетная запись с правами администратора, и часто она создается без разбора везде…

Решение – групповыми политиками добавляйте только доменные учетные записи в локальные группы на хостах. Пример расшифровки такого пароля вручную в ходе пентеста, обратите внимание на количество манипуляций до получения пароля:

Противодействие угону доменных учетных записей через mimikatz/wce

Администраторы, не связанные с пентестами и практической ИБ, редко знают про такие утилиты, как mimikatz и wce. Кратко об их работе – обладая правами локального администратора, можно извлечь из оперативной памяти билет доступа Kerberos, хеш пароля и даже сам пароль в открытом виде от учетных записей, которые недавно производили вход на этот хост. А так как администраторы совершают вход часто и много где, это приводит к высокому риску компрометации их полномочий.
Читать далее…

Posted in ITSecurity, sysadmin | Отмечено: , , | Leave a Comment »