Strumenti di network mapping
Transcript
Strumenti di network mapping
Strumenti di network mapping Dott. Claudio Giulietti CISA, CISM Agenda ♦ Logiche di Network Mapping ♦ Il reperimento dei tool ♦ Esempi: – LANGUARD – DUMPACL – HYENA ♦ Considerazioni Logiche ♦ Individuare logiche di port scanning e security scanning ♦ Introdurre alcuni strumenti di auditing di rete utili al network administrator come all’auditor. ♦ Creare reportistica utile alla risoluzione di anomalie delle sicurezza. “Non siamo qui per vendere ma per regalare” La Sicurezza logica della rete Viene molto spesso sottostimata Conseguenze: male intenzionati hanno facilmente accesso a macchine e dati altrui attraverso l’utilizzo di trucchi e bachi noti, relazioni di trust e setting di default. La maggior parte di questi attacchi non richiedono un gran conoscenza e mettono a serio rischio gli asset aziendali. La Sicurezza logica della rete La maggior parte degli utenti non necessita di accessi a macchine differenti dal proprio pc, a funzioni di amministrazione, a dispositivi di rete… Scusante: la flessibilità è necessaria per eseguire le attività giornaliere. E’ stimato che almeno l’80% degli attachi di rete avvengono per mano di dipendenti e dall’interno della rete (ComputerWorld, Gennaio 2004) La Sicurezza logica della rete Lo scopo degli strumenti di network mapping o network security scanning permettono l’auditing e l’identificazione delle falle. ♦Non parliamo di penetration testing. ♦Razionalizziamo informazioni liberamente ottenibili dalla nostra rete. Reperimento dei tool ♦ http://www.insecure.org ♦ http://www.gfi.com ♦ http://www.systemtools.com ♦ http://www.securityinfos.com LAGUARD LAGUARD ♦ Individuare possibili entry points ♦ Applicazione di diversi metodi di ricerca ♦ Visualizzazione di alerts ♦ Realizzazione di reportistica ♦ Caratteristiche extra LAGUARD:entry points ♦ Servizi e porte TCP e UDP aperte ♦ Bachi nella gestione del servizio SNMP ♦ Bachi nei programmi CGI ♦ Utenti e semplici programmi backdoor ♦ Trojan horses ♦ Condivisioni aperte ♦ Password di rete deboli ♦ Identificazione degli utenti, servizi, infrastrutture LAGUARD: Metodi ♦ Acquisizione di informazioni ♦ Identificazione delle infrastrutture di rete attive ♦ Identificazione di sistemi operativi utilizzati ♦ Identificazione di bachi di sicurezza noti nei pacchetti software LAGUARD:Alerts e reporting ♦ Problemi di sicurezza noti e facilmente identificabili ♦ Lista delle Hot fixes e Service Packs mancanti NT/2000/XP ♦ Intelligent scanning (ports, services, users…) ♦ Report: HTML, XML e XLS ♦ Reportistica personalizzabile (XLS) LAGUARD:Caratteristiche extra ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ Vulnerabilità NETBIOS Windows 95/98/ME SNMP auditing MS SQL auditing Trace route DNS lookup WhoIs client Remote machine shutdown Tecniche di social engineering LANS - scripting language per personalizzare gli alerts LANGUARD LANGUARD 1. 2. 3. Scan one Computer:Permette lo scan di una sola apparecchiature di rete Scan List or range of Computers: I computer possono essere aggiunti uno alla volta o per range di indirizzi sia attraverso testo scritto che in maniera interattiva Scan Computers part of a Network Domain: Si possono selezionare le macchine utilizzando il browsing dei workgroups e domini LANGUARD: analisi dei risultati LANGUARD:i risultati ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ Dispositivi di rete: IP, Nomi, Sistemi Operativi Netbios Names Trusted Domains Shares Local Users & Groups Servizi & Processi Informazioni generali (devices, drivers..) Password Policy Registry Auditing options (windows) Open Ports LANGUARD:Alerts ♦ Missing Patches Windows NT/2000/XP ♦ Intrusioni a CGI Apache, Netscape, IIS e altri web server. ♦ FTP Alerts, DNS Alerts, Mail Alerts, RPC Alerts e Miscellaneous Alerts ♦ Alerts per servizi aperti ♦ Registry Alerts Windows ♦ Information Alerts LANGUARD: onsite scan ♦ La prima analisi è buona norma farla con la cosiddetta NULL Session e in un secondo momento con il vs. utente ♦ Se avete a disposizione un utente di amministrazione potete poi ripetere l’esercizio ♦ Potete a questo punto comparare i risultati LANGUARD LANGUARD DUMPACL DUMPACL ♦ Permette di catturare la lista di: – permission (DACL) – audit settings (SACL) per file system, registry, printers e shares ♦ user, group e informazioni per le repliche. DUMPACL DUMPACL Selezionando Report->Select computer DUMPACL Selezionando Report->Dump Policies DUMPACL Selezionando Report->Dump Services DUMPACL Selezionando Report->Dump Rights DUMPACL Selezionando Report->Dump Users DUMPACL Selezionando File->Save Report As HYENA Hyena ♦ Raggruppa le maggiori funzioni di amministrazione di Windows NT e 2000: • User Manager • Server Manager • File Manager/Explorer • Altri componenti MMC Windows 2000 ♦ Permette la visualizzazione delle informazioni come per il semplice browsing delle risorse di Windows E’un vero tool di amministrazione percui…. HYENA: principali funzioni ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ Crea, modifica, cancella e visualizza utenti, gruppi e group membership Modifica le proprietà degli utenti (inclusi terminal server and Exchange mailbox settings) Crea home directory, home shares e security settings per gli utenti Esporta utenti, gruppi, stampanti, computers, gruppi, servizi di rete su file di testo Browse, copy, delete di tutte le share dei server e dei contenuti Visualizza eventi, sessioni, shares, processi e file aperti per ogni server Visualizza e controlla servizi e drivers per uno o più computers. Gestisce share e file permissions, crea nuove shares e rivede i diritti di accesso Schedula remotamente i jobs Shutdown e reboot remoto Gestisce il quota server HYENA Per fare tutto ciò però bisognerebbe essere amministratori…. …..all’auditor che non dispone di diritti di amministrazione è per cui concesso solo vedere. HYENA HYENA: Domini •I domini sono rappresentati dal simbolo del mappamondo e sono navigabili attraverso una struttura ad albero come qui riportato. •Hyena include automaticamente il dominio di default dell’utente. E’ possibile aggiungere altri domini attraverso l’opzione File->Add Domain HYENA: Domini ♦ Audit Policy ♦ Account Policy ♦ Relazioni di Trusts ♦ Send Message ♦ Syncronizza Domini interi HYENA: Oggetti Considerazioni 1. 2. 3. 4. 5. Massima cautela nelle analisi (non siamo onnipotenti) Non andiamo oltre i confini dei nostri compiti (non siamo gli amministratori) Non basta installare il tool per essere esperti di sistemi distribuiti (chiediamo spiegazioni) Azione coordinata di più strumenti (aggiunge conoscenza) Falsi positivi vanno verificati attentamente (attenzione alle cantonate) Contatti: Claudio Giulietti [email protected]