HurricanX
14.08.2004, 12:26
/ \
| --------{ HaCkInG WiN2K }--------- |
| ~ made bai deez ~ |
| |
|________________________________-____________________________________| |
- |
| We work in the dark |
| We do what we can |
| We give what we have |
| Our doubt is our passion, and our passion is our task |
| The rest is the madness of art. |
| |
| -- Henry James |
\ /
{- erster teil -}
{- erster teil -}
[0] Allgemeines
[1] Architektur
(1) EFS
(2) IPSec
(3) ISA
(4) Authentifizierungsprotokolle
(5) Kerberos
(6) Logon Prozess
(7) LDAP
[2] Bugs
(1) bugs,bugs,bugs
{- zweiter teil -}
[3] Angriffe
(1) Through IPC$
(2) Nullsessions
(3) DoS
(4) Passwoerter erhalten
(5) Clearen
(6) Trojans & Backdoors
(8) Scanning
[0] Allgemeines
Geschrieben im Editor, ASCII is beatiful.
Es sind zwei Dateien, die erste (diese) beinhaltet [0] Allgemeines, [1]
Architektur und [2] Bugs.
Die zweite enthaelt [3] Angriffe.
Geschrieben von allen die Informationen ueber Win2k ins Internet stellten.
(ich nenne keine namen, denn man weis nie von welchen namen die namen
abgeschrieben haben. "Sind Schuelbuecher, Buecher die von Schuelbuechern
abgeschrieben sind? ...", Erich Kästner)
Geschrieben und zusammengetragen von deez, begonnen mitte Februar 2003, mit
der Absicht ein moeglich vollstaendiges Kompendium ueber win2k zu verfassen.
Dieser Text hat nur informativen Charakter und soll nur dazu dienen faulen
Administratoren die Arbeit schwer zu machen.
Sinnerhaltende Kuerzungen, auszugweisese oder komplette Kopien sind erlaubt,
sofern eventuell der Name des Autors und mein Name darunter stehen.
Um besseres Verstaendis ueber das Win2k zu erhalten und um unnoetige
Zwischenfaelle (wie zum Beispiel Gefaengnisaufenthalte, Geldstrafen :) zu
vermeiden sollte der ganze Text durchgelesen werden. Ich hab mit der Zeit
und wachsenden Kenntnissen den Ueberblick verloren, es ist moeglich das um
zum Beispiel um den IPC$-Attack durchzufuehren man wissen sollte welche
Ports bei einem Win2k System offen sind, und so weiter et cetera. Ich
schreib sicher nicht alles was zu tun ist, das meiste kann man ja eh wenn
man die Idee kriegt. Nur einige wenige Angriffe sind total ausgeschrieben.
AEh sorry das ich manchmal zwischen Linux und Windows Methoden, lokalen und
remote Angriffen wechsle.
Dieser Text wird laufen vervollstaendigt.
Wenn irgndeine Crew oder Club oder was auch immer mich als Member haben
will, soll sich melden (keine Attachments!). meine email:
ce_nientdafa@hotmail.com (was der is bei hotmail? microsoft??? -- KNOW YOUR
ENEMY! )
Am liebsten aus Suedtirol.
"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
1 Architektur (vielleicht lesen sich das sogar die Script Kiddies durch,
vielleicht, irgendwann...)
"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
__________________
(1) EFS ____________________
Das EFS (Encrypted File System) stellt fur jeden Benutzer ein Private und
Public Key mit einer 128 bit Verschlüsselung deren Anwendung vollstaendig im
Betriebssystem gekapselt ist zur Verfuegung. Es ist also nicht mehr moeglich
auf eine ausgebaute Festplatte einfach so zuzugreifen, wenn natuerlich das
Encrypted Atrrib gesetzt ist. Selbst Admins nicht mehr.
Die Wiederherstellung der Daten funktioniert nur mit dem lokalen
Betriebssystem und einem sogenannten Desaster Recovery Agent Key möglich,
falls der Benutzer nicht mehr erreichbar, oder gelöscht ist. Aber selbst
dann benötigt man das aktuelle lokale
Betriebssystem mit Administratorrechten. Eine Neuinstallation von Windows
2000 auf den Rechner
würde auch nichts bringen, da beim Erzeugen der Benutzer wieder neue Keys
erzeugt werden.
Encryption (Verschluesselung)
Die Verschluesselung basiert auf einem Hybridverfahren, also nicht nur eine
symmetrische sondern auch eine mit public/private Schluesseln.
Die Daten ueber den DES-Algorithmus verschluesselt, der dazu passende
Schluessel wird vom FEK (File Encryption Key) erzeugt,
Zusätzlich verschlüsselt das EFS den FEK mit dem öffentlichen Schlüssel aus
dem public/private Schlüsselpaar des Anwenders.
Diese nun chiffrierten FEKs werden mitsamt der Datei als spezielles
EFS-Attribut im DDf (Data Decryption Field) abgelegt. Als Ergebnis besitzt
man eine Datei, die symmetrisch per DES verschlüsselt worden ist. Der dabei
zugrundegelegte
Schlüssel wurde anschließend auf Basis eines öffentlichen/privaten
Schlüsselverfahrens mit den
entsprechenden öffentlichen Schlüsseln abermals chiffriert. Nur die so
zustande kommenden
Schlüsselinformationen werden zusammen mit der Datei gespeichert, denn ohne
den zugehörigen
privaten Schlüssel ist keine Wiederherstellung der in ihr enthaltenen
Informationen möglich. Die
entsprechenden privaten Schlüssel wiederum werden bei dem jeweiligen
Anwender oder dem
Recovery-Agenten abgelegt – etwa im Active Directory, auf Smartcards oder in
anderen gesicherten
Bereichen.
EFS kann im Notfall zwaengweise ueber die private Recovery Agent Keys
entschluesselt werden.
Decryption (entschluesselung)
Funktioniert exakt umgekehrt :)
Alles klar? Wenn nicht, lies erst mal was ueber Kryptographie.
-=-=-=-= (2) IPSec =-=-=-=-
IPSec fuer (wer haette das gedacht) fuer IP Security und dient um Daten des
IP zu verschluesseln. Die Encryption ist vollkommen zugaenglich. Die
Konfiguration von IPSec erfolgt ueber die Gruppenrichtlinien, Ports koennen
geschlossen etc.
IPSec ist recht komplex, aber richtig eingesetzt erhoeht es die Sicherheit
sehr.
Wie funktioniert IPSec?
In der sichersten Form verwendet IPSec einen Schlüssel zum Unterzeichnen und
Verschlüsseln von Daten und einen zweiten Schlüssel, um die Signatur der
Nachricht zu prüfen und zu entschlüsseln. Beides zusammen, Unterschreiben
und Verschlüsseln kann vier Schutzmöglichkeiten eines Pakets bieten: Zuerst
authentifiziert und überprüft IPSec den Ursprung jeder Nachricht, was
sicherstellt, dass der sendende Computer eine bekannte Einheit ist. Zweitens
garantiert IPSec Datenintegrität, was heißt, dass niemand Daten verändern
kann während sie auf dem Weg vom sendender zu emp-fangender Einheit sind.
Drittens identifiziert IPSec jedes IP-Paket mit einer digitalen Signatur,
was verhindert, dass andere Benutzer die Nachricht wieder aufrufen können.
Viertens kann IPSec Vertraulichkeit garantieren durch die Verschlüsselung
von Netzwerkpaketen, was sicherstellt, dass nur die Person, die den
er-forderlichen Schlüssel hat, die Nachricht lesen kann.
Mit einem sorgfältigen Blick darauf, wo vertrauliche und erfolgskritische
Daten im eigenen Netz-werk liegen, kann man IPSec Strategien implementieren,
die diese die Ressourcen praktisch voll-kommen schützen. Obwohl IPSec den
Diebstahl von Passwörtern oder unverschlossenen CD-Rom-Laufwerken nicht
verhindern kann, kann es zumindest sicherstellen, dass nur bekannte Computer
und überprüfte Benutzer Zugang zu LAN Servern und Daten haben und dass Daten
sicher durch das Netzwerk ausgetauscht werden können.
/-/-/-/-/-/- (3) ISA /-/-/-/-/-/-/
Schon mit der Einführung des Proxy Server 1.0 hat Microsoft zwei aus dem
Boden sprießende neue Märkte erobert, die von hoher Relevanz für die
Sicherheit eines Betriebssystems sind. Nämlich den der Sicherheit des
Internets und den des beschleunigten Netzzuganges. Die Nachfolgerversion,
der Proxy Server 2000, wies wesentliche Verbesserungen auf und ebnete den
Weg für den im Win-dows 2000 installierten Microsoft Internet Security and
Acceleration Server (ISA).Er hat, in verbes-serter Form des Proxy Server
2000, die Fähigkeit den Internetverkehr seiner Clients besser zu
kon-trollieren und größere Unterstützung sowohl bei Internetprotokollen als
auch bei Internetanwendun-gen zu bieten.
Microsoft erweiterte darüber hinaus die Sicherheitsfunktionen, indem der
Administrator bei dem Proxy Server 2000 nicht nur den Informationsfluss
durch das Proxyserversystem bestimmen, son-dern ihn auch kontrollieren
konnten. Des weiteren können Unternehmen die Benutzerzugänge zu
Internetdiensten kontrollieren und oft geladene Internetseiten
zwischenspeichern. Letzteres erlaubt einen schnelleren Zugriff bei
ausgedehnten Ladevorgängen und verhindert einen erneuten Virenan-fall bei
Kontakt mit dem Internet. Mit der Herausgabe des ISA soll die Sicherheit des
Betriebssy-stems gesteigert werden und der neue Name ISA soll die
Fähigkeiten des Produktes besser zum Ausdruck bringen. Denn obwohl der ISA
Server ein Nachfahre des Proxy Server 2000 ist, ist er weit mehr als eine
bloße Produktverbesserung.
Hinzukommend zu den oben erwähnten Sicherheitsmerkmalen führt der ISA Server
eine Reihe in-novativer Merkmale ein, die Fähigkeiten des Proxy Server 2000
um ein Vielfaches erweitern und für die Sicherheit von Windows 2000
entscheidend sind. Die folgende Auflistung soll einen kurzen Überblick über
die wichtigsten Erneuerungen geben.
1. Neue Firewall-Merkmale:
- Daten werden neuerdings beim Durchgang durch die Firewall untersucht und
der Status ihrer Verbindung überprüft.
- Der ISA Server bietet Unterstützung im Bereich der Entschlüsselung, der
Vorsichtsmaßnahmen und der Warnung von Virenattacken, wie z.B. ping of
death, UDP bombs.
- Der ISA Server verfügt über die sogenannten Network Adress Translation
Services ( NAT), die den Clients innerhalb des LAN problemlos und sicher
Zugang zum Internet auch ohne die ent-sprechende Client Software
verschaffen.
2. Bessere Zwischenspeicherungsmöglichkeiten ( caching):
Der ISA Server hat die Möglichkeit oft geladene Seiten zwischenzuspeichern
und somit einen ver-schnellerten Zugriff auf diese Daten zu bieten.
3. application filters:
Hierbei werden spezielle Filter installiert, die den Zugriff bestimmter
Daten im Netzwerk filtern, um möglichen Viren vorzubeugen. z.B. Emailfilter
die den Zugriff auf gewisse Mails blockieren.
4.Skalierbarkeit:
Die Fähigkeit zur Skalierbarkeit spielt vor allem in großen Unternehmen eine
wichtige Rolle, da sich die Leistung eines Servers grundlegend
verschlechtern kann und somit auch seine Sicherheit, wenn er zu viele Daten
zwischenspeichert. Durch die Skalierbarkeit von Daten soll diesem Problem
vorgebeugt werden.
6. Erweiterte Berichterstattung:
ISA Server besitzen die Fähigkeit automatisch Benutzerzugänge und
Sicherheitsaspekte festzuhal-ten, die dem Anwender je nach Einstellung in
bestimmten Zeitabschnitten zugesendet werden.
Der ISA Server baut somit nicht nur den Proxy Server Zugang aus und
erweitert die Zwischenspei-cherungsmöglichkeiten, sondern verleiht dem
Produkt auch noch neuartige Sicherheitsmerkmale.
^^^^^^^^^^^^ (4) Authentifizierungsprotokolle ^^^^^^^^^^^^^^
Version 4 von Windows NT unterstützt mehrere Authentifizierungsprotokolle
zur Überprüfung der Anmeldedaten von Benutzern, die eine Verbdinung zu einem
Netzwerk aufbauen. Es handelt sich um folgende Protokolle:
Password Authendication Protocol (PAP)
Challenge Handshake Authendication Protokol (CHAP)
Microsoft Challenge Handshake Authendication Protokol (MS-CHAP)
Shiva Password Authendication Protokol (SPAP)
Point-to-Point Tunneling Protocol (PPTP)
Windows 2000 unterstützt zusätzlich einige weitere Protokolle, die in Puncto
Authentifizierung, Verschlüsslung und Mehrfachverbindungen wesentlich mehr
Optionen bieten.
Es handelt sich um folgende Protokolle:
Extensible Authendication Protocol (EAP)
Remote Authendication Dial-in User Service (RADIUS)
Internet Protocol Security (IPSec)
Layer-2-Tunneling-Protocol(L2TP)
Extensible Authendication Protocol (EAP)
Das Extensible Authendication Protocol (EAP) ist eine Erweiterung des
Point-to-Point-Protokolls(PPP), das für das DFÜ-, PPTP- und L2PT verwendet
wird. Durch EAP kann eine DFÜ-Verbindung mittels einer beliebigen
Authentifizierungsmethode überprüft werden. Welche Art der Authentifizierung
im Einzelfall verwendet wird, wird zwischen dem DFÜ-Client und dem
Remote-Server ausgehandelt. EAP unterstützt folgende
Authentifizierungsmethoden:
Generische Tokenkarten:
Eine physische Karte, die Kennwörter zur Verfügung stellt. Tokenkarten
können mehrere Authentifizierungsmethoden unterstützen, beispielsweise auch
Codes, die sich bei erneuten Verwendung verändern.
MD5-CHAP:
Das Message Digest 5 Challenge Handshake Authendication Protocol. Dieses
Protokoll verschlüsselt Benutzernamen und Kennwörter mit einem
MD5-Algorithmus.
Transport Level Security (TLS):
TLS unterstützt Smartcards oder andere Zertifikate. Bei der Verwendung von
Smartcard sind eine Karte und ein Lesegerät erforderlich. Auf der Smartcard
sind das Zertifikat und der private Schlüssel eines Benutzers elektronisch
gespeichert.
Unabhängige Softwarehersteller, die EAP-Anwenderschnittstellen verwenden,
können ihre Software neue Client/Server-Authentifizierungsmodule für diese
Technologien wie Tokenkarten, Smartcards, biometrische Hardware wie Beispiel
Netzhautscanner oder nur einmal nutzbare Kennwortsysteme generieren.
Weitere Infos zu EAP sind im RFC 2284 zu finden.
Remote Authentication Dial-in User Service
Da in den Netwerken verschiedene Hardware und unterschiedliche
Betriebssysteme eingesetzt werden, muss die Authentifizierung unabhängig
davon passieren. Der von Windows2000 unterstützte Remote Authentication
Dial-in User Service (RADIUS) ermöglicht diese Art der Benutzerüberprüfung.
RADIUS stellt Authentifizierungs- und Kontoführungsdienste für verteilte
DFÜ-Netzwerke zur Verfügung. Windows2000 kann als RADIUS-Client, als
RADIUS-Server oder als beides gliechzeitig fungieren.
Ein RADIUS-Server ist in der Regel ein ISP-DFÜ-Server, ist ein RAS-Server,
der die Authentifizierunganforderungen empfängt und an einen RADIUS-Server
weiterleitet. Als RADIUS-Client gibt Windows2000 zudem
Kontoführungsinformationen an einen RADIUS-Kontoführungsserver weiter.
Ein RADIUS-Server überprüft die Anfragen des RADIUS-Client. Die Windows2000
Authentication Services (IAS) führen die Authentifizierung durch. In der
Funktion als RADIUS-Server speichert IAS die Kontoinformationen der
RADIUS-Clients in Protokolldateien.
Weitere Informationen zu RADIUS sind im RFC 2138 / 2139 zu finden.
Internet Protocl Security
Internet Protocol Security (IPSec) ist ein Satz von Sicherheitsprotokollen
und kryptograpischen Diensten, der die Sicherheit von privaten Verbindungen
in IP-Netzwerken garantiert. IPSec bietet einen agressiven Schutz vor
Angriffen auf private Netzwerke und das Internet, ist aber denoch leicht zu
bedienen. Die Clients handeln dabei als eine Sicherheitszuordnungn (Security
Association , SA) aus, die als privater Schlüssel zur Verschlüsselung der
Daten verwendet wird.
Zur Konfiguration der IPSec-Sicherheitsdienste werden keinerlei Anwendungen
bzw. Betriebssysteme verwendet, sondern die IPSec-Richttlinien. Diese
stellen variable Sicherheitsniveaus für fast alle Datenübertragungensarten
in den meisten Netzwerken zur Verfügung.
Die Sicherheistmeachanismen für IP sind in RFC 1825 definiert.
Layer 2-Tunnelprotokoll
Das Layer 2-Tunnelprotokoll (L2TP) ist dem PPTP insofern ähnlich, denn auch
sein Zwech besteht darin einen Tunnel durch ein nichtvertrauenswürdiges
Netzwerk zu schaffen. Sie unterscheiden sich aber in einem Punkt, PPTP ist
unverschlüsselt. Hingegen schaft L2TP erstens einen Tunnel und zweitens
arbeitet sie noch mit Verschlüsselungstechnologien wie IPsec zusammen.
Sowohl PPTP als auch L2TP verwenden PPP als ursprüngliche Verpackung die
Daten und fügen dann für die Übertragung durch das Transitnetzwerk
zusätzliche Header hinzu. Die hauptsächlichen Unterschiede werden in
folgender Liste beschrieben:
PPTP erfordert ein Transitnetzwerk auf IP-Basis. Bei L2TP muss nur
gewährleistet sein, dass das Tunnelmedium eine peketorientierte Punkt-zu
Punkt-Verbindung herstellt. L2PT kann in einem IP-Netzwerk mit dem User
Datagramm Protocol, mit permanenten virtuellen Verbindungen(PVCs) auf Frame
Relay-Basis oder auch in asynchronem Übertragungsmodus arbeiten.
L2TP unterstützt im Gegensatz zu PPTP die Headerkomprimierung. Wenn die
Headerkomprimierung aktiv ist, arbeitet L2TP mit einem Overhead von 4 Byte.
PPTP arbeitet mit 6 Byte Overhead.
L2TP unterstützt im Gegensatz zu PPTP die Tunnelauthentifizierung. Wenn
jedoch entweder L2TP oder PPTP mit IPSec zusammen verwendet wird, wird die
Tunnelauthentifizierung auf jeden Fall von IPSec zur Verfügung gestellt, so
dass die L2TP-Tunnelauthentifizierung entfallen kann.
PPTP verwendet PPP-Verschlüsselung, während L2TP zum Verschlüsseln IPSec
benötigt.
Geschrieben für: zerosecurity.port5.com
Geschrieben von:Roger Kündig
07.11.2000
********* (5) Kerberos *********
Kerberos identifiziert also Benutzer, Computer, Dienste oder andere
Netzwerkgeräte, die Zugang ins System oder zu Domänenressourcen haben
möchten.
Ein System muß zwei Bedingungen erfüllen, bevor Kerberos zur
Authentifizierung zwischen Client und Server eingesetzt werden kann. Zum
einen muß der Kerberos Security Support Provider (SSP), welches der Code
ist, der die Kerberos Logik sicherstellt, sowohl für den Client als auch für
den Server verfügbar sein. Zum anderen müssen Client- und Serveranwendungen
die Kerberos Referen-zen anerkennen ( zum Beispiel, tickets, authenticators,
ticket-granting tickets - TGTs). Kerberos ist auf allen Win 2K Plattformen
verfügbar. Jeder Exchange 2000 Dienst benutzt Kerberos, um sich zu einer Win
2K Domäne anzumelden. Normalerweise verwenden Exchange 2000 Dienste die
Local System Account Credentials ( zum Beispiel, den Account, das
Passwort), um sich in die Win 2K Domäne einzuloggen. Diese Verwendung des
Local System Account garantiert bessere Passwortsi-cherheit als frühere
Exchange Sicherheitsarrangements, weil Win 2K automatisch das
Zugangs-passwort zum System erzeugt und die Passwörter in regelmäßigen
Abständen erneuert.
Diese Änderung bei Exchange 2000 schließt viele Probleme aus, die mit dem
Service von Exchange Server 5.5 verbunden waren. Im Exchange Server 5.5
benutzen Systemverwalter manchmal ihren Benutzeraccount für den
Serviceaccount, was Exchange Services am Starten hindert, wenn der Ac-count
eines Administrators ausgeschlossen ist.
Obwohl Exchange 2000 Dienste Kerberos verwenden, um sich zu einer Win 2K
Domäne anzumel-den, erkennt der Informationsspeicher von Exchange 2000
Kerberos Referenzen nicht an. Clients, die sich für Exchange 2000 anmelden,
können Keberosmerkmale nicht benutzen, wie zum Beispiel authentication
delegation und mutual authentication2. Ein Benutzer, der sich in eine
Exchange 2000 Mailbox einloggt, verwendet NTML zur Authentifizierung.
Jedoch unterstützt das Kerberos Protokoll den einheitlichen Zugriff auf
Non-Windows Anwendun-gen - ohne auf Sicherheit zu verzichten.
"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
[2] Bugs
"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
Hier werden nun einige bekannte Bugs von Windows2000 aufgelistet.
Service Control Manager
Der Service Control Manager von Windows 2000 ist das zentrale Instrument,
über das die Systemdienste erzeugt oder modifiziert werden. Für jeden
Systemdienst legt der SCM eine sogenannte Named Pipe mit einem speziellen
Namen an. Wenn nun ein Programm genau diese Named Pipe erzeugt, bevor der
SCM das tun kann, erhält das Programm die Privilegien des Systemdienstes.
Relative Shell Path
Der Registry Eintrag, der auf den Windows Explorer verweist, arbeitet mit
relativen Pfadnamen anstatt mit absoluten. Dieser relative Pfadname kann
jedoch beim Systemstart noch nicht aufgelöst werden, daher durchsucht die
Bootroutine das Systemlaufwerk nach der Datei explorer.exe. Dabei wird
zuerst das Root-Verzeichnis durchsucht. Platziert nun in böswilliger
Benutzer dort eine Datei namens explorer.exe, wird beim nächsten Systemstart
dieses Programm als Shell verwendet anstatt des richtigen Windows-Explorer.
NetBIOS Nameserver Spoofing
Das NetBIOS Nameserver (NBNS) Protocol ist in der WINS-Implementation von
Windows eingebunden. Es enthält einige Funktionen, um Namenskonflikte (etwa
wenn zwei Arbeitsrechner denselben Namen haben) aufzulösen. Über spezielle
Protokoll-Aufrufe können Arbeitsrechner auch in die Auflösung von
Namenskonflikten eingreifen. Diese Aufrufe kann ein Hacker ausnutzen, um
etwa dem Rechner "WORK2" mitzuteilen, dass er ab jetzt "WORK15" heißt. Der
reguläre WINS-Server weiß davon nichts und somit ist die betroffene
Arbeitsstation nicht mehr über den Namen "WORK2" erreichbar.
Dieser Bug kann auch von einem Hacker im Internet ausgenutzt werden, wenn
der Port 137 für UDP-Pakete geöffnet ist.
Speicherloch im DNS-Dienst
In Windows 2000 hat Microsoft den DNS-Dienst um so genannte Service-Einträge
ergänzt. Mit deren Hilfe lassen sich so wichtige Informationen ermitteln wie
der für die Anmeldung notwendige Domänen Controller.
Für jede Anfrage allokiert der DNS-Dienst Speicher, den er jedoch nicht
wieder automatisch freigibt. Dadurch wächst die Systembelastung, da Windows
2000 mehr virtuellen Speicher bereitstellen muss.
DNS-Cache lässt sich nicht löschen
In bestimmten Situationen kann es notwendig sein, den Cache eines Servers zu
löschen, etwa weil sich darin ungültige Daten befinden. Versucht der
Administrator, den Cache eines DNS-Servers unter Windows 2000 zu löschen,
erhält er eine Fehlermeldung.
Keine Trennung bei FTP-Timeout
Wer regelmäßig Daten per FTPübertragt, stößt früher oder später auf die
Meldung, dass der FTP-Server keine weiteren Verbindungen erlaubt, da die
maximale Anzahl an Nutzern erschöpft ist. Diese Obergrenze gleichzeitig
möglicher Sessions soll eine Mindestperformance des Servers gewährleisten.
Damit inaktive Clients nicht permanent Ressourcen belegen, lässt sich
serverseitig ein Timeout-Wert einstellen, nach dessen Ablauf die Verbindung
getrennt wird.
Ein Fehler im FTP-Dienst von Windows 2000 ignoriert diese Vorgabe jedoch,
sodass die maximale Anzahl an Verbindungen schneller erreicht und neue
Sessions blockiert werden.
Missbrauch des BrowserReset Frame
Microsofts Browserdienst dient dazu, Netzwerkressourcen zu finden.
Durchsucht der Anwender etwa das LAN mit Hilfe des Icons Netzwerkumgebung,
unterstützt ihn dabei der Browserdienst. Zur Lastverteilung setzt man dabei
Master Browser und Backup Browser ein. Master Browser enthalten eine Liste
der LAN-Ressourcen und replizieren diese auf die Backup Browser. Die
Kommunikation untereinander erfolgt über so genannte Frames.
Über den ResetBrowser-Frame etwa lässt sich der Browserdienst beenden. Dies
ist beispielsweise dann hilfreich, wenn eine zu große Browseranzahl für eine
zu hohe Netzlast durch die entstehende Replikation sorgt.
Da das Protokoll für den Browserdienst keine Authentisierung vorsieht,
könnte ein Angreifer entsprechende Frames gezielt gegen Rechner einsetzen,
um den Anwendern den Zugriff auf Dienste und Computer in einem Netzwerk zu
verweigern. Im Extremfall ist auch denkbar, dass auf diesem Weg gefälschte
Informationen zur Verfügung gestellt werden.
IP Fragment Reassembly
IP-Pakete, die die maximale Frame-Größe in einem Netzwerk überschreiten,
gelangen als Fragmente aufgesplittet ihr Ziel. Dort muss sie das
Betriebssystem in der richtigen Reihenfolge zusammensetzen und weiter
verarbeiten .
Befinden sich ungültige Daten in den fragmentierten IP-Paketen, treibt dies
die Arbeitslast auf dem Zielrechner drastisch nach oben. Der angegriffene
Computer ist beinahe ausschließlich mit der Bearbeitung der
kompromittierenden Fragmente beschäftigt. Im Extremfall kann er dabei
abstürzen.
NNTP kann Hash-Tabelle nicht neu erzeugen
Wenn der NNTP-Dienst die Hash-Tabelle neu aufbaut, bringt ihn eine
Null-Nachricht ins Schleudern. Als Folge bricht er den Vorgang ab, anstatt
die Nachricht als ungültig zu markieren und fortzufahren. Damit ist die
Hash-Tabelle nicht vollständig und nicht nutzbar.
Internet Information Server stürzt ab
Der IIS 5.0 reagiert auf bestimmte Zeichen im HTTP-Request-Header mit einer
Schutzverletzung. Er wird zwar von Windows 2000 automatisch neu gestartet,
doch Hacker können dieses Problem für eine DoS-Attacke missbrauchen, indem
sie den IIS ständig abstürzen lassen.
IIS findet Dateien nicht mehr
Bestimmte Dateierweiterungen wie etwa .htm lassen sich über die Funktion
"App Mappings" im Internet Service Manager von IIS so markieren, dass sie
über das Include Statement andere Dateien einschließen können. Verwendet
jedoch ein Default-Dokument, wie beispielsweise index.htm, ein Include
Statement, kommt es zur Fehlermeldung "401 Zugriff verweigert" beim
Internetnutzer. Das Problem tritt nicht auf, wenn der Dokumentenname
dediziert angegeben wird, also beispielsweise www.server.de/index.htm.
Datenausspähung per Indexserver
Der Index-Dienst von Windows 2000 indiziert HTML-, Word-, Excel- und
PowerPoint-Dokumente und stellt über den Internet Information Server eine
Suchmaschine zur Verfügung. Die so genannte Hit-Highlighting-Funktion
enthält jedoch einen Fehler, über den Internet-Benutzer auch Zugriff auf
Dokumente erhalten können, die nicht im Internet-Verzeichnis liegen und
dementsprechend nicht ins Web sollen. Um Zugriff zu erhalten, muss der
Internet-Benutzer lediglich den Pfad- und Dateinamen angeben. Der
Indexserver liefert dann die Textstelle mit dem gefundenen Schlüsselwort.
SMTP-Server ausgebremst
Der SMTP-Server von Windows 2000 bremst sich selber aus, wenn eine Vielzahl
von derzeit unzustellbaren Mails im Ausgang liegen. Diese unzustellbaren
Mails blockieren Filehandles, sodass für andere Mails unnötig viele
Dateioperationen ausgeführt werden müssen. Diese Operationen kosten
Rechenzeit und verlangsamen das System.
Microsoft hat einen Patch für dieses Problem erstellt. Mit diesem stellt der
SMTP-Server Mails, die wegen Unerreichbarkeit des Zielservers nicht
ausgeliefert werden können, zunächst zurück und verwendet die Filehandles
für die Verarbeitung anderer Nachrichten.
Ein Fehler im Network Connection Manager des Betriebssystems erlaubt
Angreifern
den Zugang zum System. Mit dem Erlangen des Codes hat dieser Zugriff auf die
vollen
Systemrechte. Der Network Connection Manager (NCM) bietet einen
Kontrollmechanismus für
alle Netzwerk-Verbindungen, die von einem Host-System verwaltet werden.
Eine so genannte "handler routine" kann dabei zu jedem Zeitpunkt aufgerufen
werden,
worin auch die Sicherheitslücke steckt. Denn ein Angreifer kann diese
"handler routine"
in der Sicherheitszone des lokalen Systems ausführen, was eigentlich nur in
der
Sicherheitszone des Anwenders geschehen sollte
Benutzer kann Passwort nicht ändern
Wenn ein NT-Server auf Windows 2000 Active Directory aufgerüstet und danach
bei einem Benutzer die Option "Benutzer kann Passwort nicht ändern"
zurückgesetzt wird, kann er sein Passwort trotzdem nicht ändern. Windows
2000 entfernt zwar den ACE (Access Control Entry), der den Schreibzugriff
auf das Passwort verhindert, es setzt aber nicht den zusätzlich notwendigen
ACE, der das Schreiben explizit erlaubt.
Probleme mit serverbasierten Profilen
Wenn ein serverbasiertes Profil auf einem Share gespeichert ist, das auch
Services für Macintosh anbietet, kann es beim Log-in zu einer Fehlermeldung
kommen. Windows beschwert sich, dass bestimmte Dateien nicht vom Share
kopiert werden können und darum das Profil ungültig ist. Als Folge weist
Windows dem Benutzer ein temporäres Profil zu, das beim Ausloggen wieder
gelöscht wird.
================================================== ================================================== =========================
credits (im ersten wie im zweiten teil zu finden)
Danke und Entschuldigung an all jene denen ich ohne einverstaendnis
Textinhalte oder Ideen "gestohlen" habe:
+ Marco Ruef
+ Prof. Wiesner
+ -=Moses=-
+ Andrea Pinzani
+ LLNK
+ Der Typ der die .doc file sicherheit_windows_2000
+ allen rootboardern
+ Manweis Janie
indirekt beigetragen:
+ The Doors
+ Marylin Monroe
+ Jim Jarmusch
lies den zweiten teil denn hier ist:
=E=O=F=
| --------{ HaCkInG WiN2K }--------- |
| ~ made bai deez ~ |
| |
|________________________________-____________________________________| |
- |
| We work in the dark |
| We do what we can |
| We give what we have |
| Our doubt is our passion, and our passion is our task |
| The rest is the madness of art. |
| |
| -- Henry James |
\ /
{- erster teil -}
{- erster teil -}
[0] Allgemeines
[1] Architektur
(1) EFS
(2) IPSec
(3) ISA
(4) Authentifizierungsprotokolle
(5) Kerberos
(6) Logon Prozess
(7) LDAP
[2] Bugs
(1) bugs,bugs,bugs
{- zweiter teil -}
[3] Angriffe
(1) Through IPC$
(2) Nullsessions
(3) DoS
(4) Passwoerter erhalten
(5) Clearen
(6) Trojans & Backdoors
(8) Scanning
[0] Allgemeines
Geschrieben im Editor, ASCII is beatiful.
Es sind zwei Dateien, die erste (diese) beinhaltet [0] Allgemeines, [1]
Architektur und [2] Bugs.
Die zweite enthaelt [3] Angriffe.
Geschrieben von allen die Informationen ueber Win2k ins Internet stellten.
(ich nenne keine namen, denn man weis nie von welchen namen die namen
abgeschrieben haben. "Sind Schuelbuecher, Buecher die von Schuelbuechern
abgeschrieben sind? ...", Erich Kästner)
Geschrieben und zusammengetragen von deez, begonnen mitte Februar 2003, mit
der Absicht ein moeglich vollstaendiges Kompendium ueber win2k zu verfassen.
Dieser Text hat nur informativen Charakter und soll nur dazu dienen faulen
Administratoren die Arbeit schwer zu machen.
Sinnerhaltende Kuerzungen, auszugweisese oder komplette Kopien sind erlaubt,
sofern eventuell der Name des Autors und mein Name darunter stehen.
Um besseres Verstaendis ueber das Win2k zu erhalten und um unnoetige
Zwischenfaelle (wie zum Beispiel Gefaengnisaufenthalte, Geldstrafen :) zu
vermeiden sollte der ganze Text durchgelesen werden. Ich hab mit der Zeit
und wachsenden Kenntnissen den Ueberblick verloren, es ist moeglich das um
zum Beispiel um den IPC$-Attack durchzufuehren man wissen sollte welche
Ports bei einem Win2k System offen sind, und so weiter et cetera. Ich
schreib sicher nicht alles was zu tun ist, das meiste kann man ja eh wenn
man die Idee kriegt. Nur einige wenige Angriffe sind total ausgeschrieben.
AEh sorry das ich manchmal zwischen Linux und Windows Methoden, lokalen und
remote Angriffen wechsle.
Dieser Text wird laufen vervollstaendigt.
Wenn irgndeine Crew oder Club oder was auch immer mich als Member haben
will, soll sich melden (keine Attachments!). meine email:
ce_nientdafa@hotmail.com (was der is bei hotmail? microsoft??? -- KNOW YOUR
ENEMY! )
Am liebsten aus Suedtirol.
"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
1 Architektur (vielleicht lesen sich das sogar die Script Kiddies durch,
vielleicht, irgendwann...)
"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
__________________
(1) EFS ____________________
Das EFS (Encrypted File System) stellt fur jeden Benutzer ein Private und
Public Key mit einer 128 bit Verschlüsselung deren Anwendung vollstaendig im
Betriebssystem gekapselt ist zur Verfuegung. Es ist also nicht mehr moeglich
auf eine ausgebaute Festplatte einfach so zuzugreifen, wenn natuerlich das
Encrypted Atrrib gesetzt ist. Selbst Admins nicht mehr.
Die Wiederherstellung der Daten funktioniert nur mit dem lokalen
Betriebssystem und einem sogenannten Desaster Recovery Agent Key möglich,
falls der Benutzer nicht mehr erreichbar, oder gelöscht ist. Aber selbst
dann benötigt man das aktuelle lokale
Betriebssystem mit Administratorrechten. Eine Neuinstallation von Windows
2000 auf den Rechner
würde auch nichts bringen, da beim Erzeugen der Benutzer wieder neue Keys
erzeugt werden.
Encryption (Verschluesselung)
Die Verschluesselung basiert auf einem Hybridverfahren, also nicht nur eine
symmetrische sondern auch eine mit public/private Schluesseln.
Die Daten ueber den DES-Algorithmus verschluesselt, der dazu passende
Schluessel wird vom FEK (File Encryption Key) erzeugt,
Zusätzlich verschlüsselt das EFS den FEK mit dem öffentlichen Schlüssel aus
dem public/private Schlüsselpaar des Anwenders.
Diese nun chiffrierten FEKs werden mitsamt der Datei als spezielles
EFS-Attribut im DDf (Data Decryption Field) abgelegt. Als Ergebnis besitzt
man eine Datei, die symmetrisch per DES verschlüsselt worden ist. Der dabei
zugrundegelegte
Schlüssel wurde anschließend auf Basis eines öffentlichen/privaten
Schlüsselverfahrens mit den
entsprechenden öffentlichen Schlüsseln abermals chiffriert. Nur die so
zustande kommenden
Schlüsselinformationen werden zusammen mit der Datei gespeichert, denn ohne
den zugehörigen
privaten Schlüssel ist keine Wiederherstellung der in ihr enthaltenen
Informationen möglich. Die
entsprechenden privaten Schlüssel wiederum werden bei dem jeweiligen
Anwender oder dem
Recovery-Agenten abgelegt – etwa im Active Directory, auf Smartcards oder in
anderen gesicherten
Bereichen.
EFS kann im Notfall zwaengweise ueber die private Recovery Agent Keys
entschluesselt werden.
Decryption (entschluesselung)
Funktioniert exakt umgekehrt :)
Alles klar? Wenn nicht, lies erst mal was ueber Kryptographie.
-=-=-=-= (2) IPSec =-=-=-=-
IPSec fuer (wer haette das gedacht) fuer IP Security und dient um Daten des
IP zu verschluesseln. Die Encryption ist vollkommen zugaenglich. Die
Konfiguration von IPSec erfolgt ueber die Gruppenrichtlinien, Ports koennen
geschlossen etc.
IPSec ist recht komplex, aber richtig eingesetzt erhoeht es die Sicherheit
sehr.
Wie funktioniert IPSec?
In der sichersten Form verwendet IPSec einen Schlüssel zum Unterzeichnen und
Verschlüsseln von Daten und einen zweiten Schlüssel, um die Signatur der
Nachricht zu prüfen und zu entschlüsseln. Beides zusammen, Unterschreiben
und Verschlüsseln kann vier Schutzmöglichkeiten eines Pakets bieten: Zuerst
authentifiziert und überprüft IPSec den Ursprung jeder Nachricht, was
sicherstellt, dass der sendende Computer eine bekannte Einheit ist. Zweitens
garantiert IPSec Datenintegrität, was heißt, dass niemand Daten verändern
kann während sie auf dem Weg vom sendender zu emp-fangender Einheit sind.
Drittens identifiziert IPSec jedes IP-Paket mit einer digitalen Signatur,
was verhindert, dass andere Benutzer die Nachricht wieder aufrufen können.
Viertens kann IPSec Vertraulichkeit garantieren durch die Verschlüsselung
von Netzwerkpaketen, was sicherstellt, dass nur die Person, die den
er-forderlichen Schlüssel hat, die Nachricht lesen kann.
Mit einem sorgfältigen Blick darauf, wo vertrauliche und erfolgskritische
Daten im eigenen Netz-werk liegen, kann man IPSec Strategien implementieren,
die diese die Ressourcen praktisch voll-kommen schützen. Obwohl IPSec den
Diebstahl von Passwörtern oder unverschlossenen CD-Rom-Laufwerken nicht
verhindern kann, kann es zumindest sicherstellen, dass nur bekannte Computer
und überprüfte Benutzer Zugang zu LAN Servern und Daten haben und dass Daten
sicher durch das Netzwerk ausgetauscht werden können.
/-/-/-/-/-/- (3) ISA /-/-/-/-/-/-/
Schon mit der Einführung des Proxy Server 1.0 hat Microsoft zwei aus dem
Boden sprießende neue Märkte erobert, die von hoher Relevanz für die
Sicherheit eines Betriebssystems sind. Nämlich den der Sicherheit des
Internets und den des beschleunigten Netzzuganges. Die Nachfolgerversion,
der Proxy Server 2000, wies wesentliche Verbesserungen auf und ebnete den
Weg für den im Win-dows 2000 installierten Microsoft Internet Security and
Acceleration Server (ISA).Er hat, in verbes-serter Form des Proxy Server
2000, die Fähigkeit den Internetverkehr seiner Clients besser zu
kon-trollieren und größere Unterstützung sowohl bei Internetprotokollen als
auch bei Internetanwendun-gen zu bieten.
Microsoft erweiterte darüber hinaus die Sicherheitsfunktionen, indem der
Administrator bei dem Proxy Server 2000 nicht nur den Informationsfluss
durch das Proxyserversystem bestimmen, son-dern ihn auch kontrollieren
konnten. Des weiteren können Unternehmen die Benutzerzugänge zu
Internetdiensten kontrollieren und oft geladene Internetseiten
zwischenspeichern. Letzteres erlaubt einen schnelleren Zugriff bei
ausgedehnten Ladevorgängen und verhindert einen erneuten Virenan-fall bei
Kontakt mit dem Internet. Mit der Herausgabe des ISA soll die Sicherheit des
Betriebssy-stems gesteigert werden und der neue Name ISA soll die
Fähigkeiten des Produktes besser zum Ausdruck bringen. Denn obwohl der ISA
Server ein Nachfahre des Proxy Server 2000 ist, ist er weit mehr als eine
bloße Produktverbesserung.
Hinzukommend zu den oben erwähnten Sicherheitsmerkmalen führt der ISA Server
eine Reihe in-novativer Merkmale ein, die Fähigkeiten des Proxy Server 2000
um ein Vielfaches erweitern und für die Sicherheit von Windows 2000
entscheidend sind. Die folgende Auflistung soll einen kurzen Überblick über
die wichtigsten Erneuerungen geben.
1. Neue Firewall-Merkmale:
- Daten werden neuerdings beim Durchgang durch die Firewall untersucht und
der Status ihrer Verbindung überprüft.
- Der ISA Server bietet Unterstützung im Bereich der Entschlüsselung, der
Vorsichtsmaßnahmen und der Warnung von Virenattacken, wie z.B. ping of
death, UDP bombs.
- Der ISA Server verfügt über die sogenannten Network Adress Translation
Services ( NAT), die den Clients innerhalb des LAN problemlos und sicher
Zugang zum Internet auch ohne die ent-sprechende Client Software
verschaffen.
2. Bessere Zwischenspeicherungsmöglichkeiten ( caching):
Der ISA Server hat die Möglichkeit oft geladene Seiten zwischenzuspeichern
und somit einen ver-schnellerten Zugriff auf diese Daten zu bieten.
3. application filters:
Hierbei werden spezielle Filter installiert, die den Zugriff bestimmter
Daten im Netzwerk filtern, um möglichen Viren vorzubeugen. z.B. Emailfilter
die den Zugriff auf gewisse Mails blockieren.
4.Skalierbarkeit:
Die Fähigkeit zur Skalierbarkeit spielt vor allem in großen Unternehmen eine
wichtige Rolle, da sich die Leistung eines Servers grundlegend
verschlechtern kann und somit auch seine Sicherheit, wenn er zu viele Daten
zwischenspeichert. Durch die Skalierbarkeit von Daten soll diesem Problem
vorgebeugt werden.
6. Erweiterte Berichterstattung:
ISA Server besitzen die Fähigkeit automatisch Benutzerzugänge und
Sicherheitsaspekte festzuhal-ten, die dem Anwender je nach Einstellung in
bestimmten Zeitabschnitten zugesendet werden.
Der ISA Server baut somit nicht nur den Proxy Server Zugang aus und
erweitert die Zwischenspei-cherungsmöglichkeiten, sondern verleiht dem
Produkt auch noch neuartige Sicherheitsmerkmale.
^^^^^^^^^^^^ (4) Authentifizierungsprotokolle ^^^^^^^^^^^^^^
Version 4 von Windows NT unterstützt mehrere Authentifizierungsprotokolle
zur Überprüfung der Anmeldedaten von Benutzern, die eine Verbdinung zu einem
Netzwerk aufbauen. Es handelt sich um folgende Protokolle:
Password Authendication Protocol (PAP)
Challenge Handshake Authendication Protokol (CHAP)
Microsoft Challenge Handshake Authendication Protokol (MS-CHAP)
Shiva Password Authendication Protokol (SPAP)
Point-to-Point Tunneling Protocol (PPTP)
Windows 2000 unterstützt zusätzlich einige weitere Protokolle, die in Puncto
Authentifizierung, Verschlüsslung und Mehrfachverbindungen wesentlich mehr
Optionen bieten.
Es handelt sich um folgende Protokolle:
Extensible Authendication Protocol (EAP)
Remote Authendication Dial-in User Service (RADIUS)
Internet Protocol Security (IPSec)
Layer-2-Tunneling-Protocol(L2TP)
Extensible Authendication Protocol (EAP)
Das Extensible Authendication Protocol (EAP) ist eine Erweiterung des
Point-to-Point-Protokolls(PPP), das für das DFÜ-, PPTP- und L2PT verwendet
wird. Durch EAP kann eine DFÜ-Verbindung mittels einer beliebigen
Authentifizierungsmethode überprüft werden. Welche Art der Authentifizierung
im Einzelfall verwendet wird, wird zwischen dem DFÜ-Client und dem
Remote-Server ausgehandelt. EAP unterstützt folgende
Authentifizierungsmethoden:
Generische Tokenkarten:
Eine physische Karte, die Kennwörter zur Verfügung stellt. Tokenkarten
können mehrere Authentifizierungsmethoden unterstützen, beispielsweise auch
Codes, die sich bei erneuten Verwendung verändern.
MD5-CHAP:
Das Message Digest 5 Challenge Handshake Authendication Protocol. Dieses
Protokoll verschlüsselt Benutzernamen und Kennwörter mit einem
MD5-Algorithmus.
Transport Level Security (TLS):
TLS unterstützt Smartcards oder andere Zertifikate. Bei der Verwendung von
Smartcard sind eine Karte und ein Lesegerät erforderlich. Auf der Smartcard
sind das Zertifikat und der private Schlüssel eines Benutzers elektronisch
gespeichert.
Unabhängige Softwarehersteller, die EAP-Anwenderschnittstellen verwenden,
können ihre Software neue Client/Server-Authentifizierungsmodule für diese
Technologien wie Tokenkarten, Smartcards, biometrische Hardware wie Beispiel
Netzhautscanner oder nur einmal nutzbare Kennwortsysteme generieren.
Weitere Infos zu EAP sind im RFC 2284 zu finden.
Remote Authentication Dial-in User Service
Da in den Netwerken verschiedene Hardware und unterschiedliche
Betriebssysteme eingesetzt werden, muss die Authentifizierung unabhängig
davon passieren. Der von Windows2000 unterstützte Remote Authentication
Dial-in User Service (RADIUS) ermöglicht diese Art der Benutzerüberprüfung.
RADIUS stellt Authentifizierungs- und Kontoführungsdienste für verteilte
DFÜ-Netzwerke zur Verfügung. Windows2000 kann als RADIUS-Client, als
RADIUS-Server oder als beides gliechzeitig fungieren.
Ein RADIUS-Server ist in der Regel ein ISP-DFÜ-Server, ist ein RAS-Server,
der die Authentifizierunganforderungen empfängt und an einen RADIUS-Server
weiterleitet. Als RADIUS-Client gibt Windows2000 zudem
Kontoführungsinformationen an einen RADIUS-Kontoführungsserver weiter.
Ein RADIUS-Server überprüft die Anfragen des RADIUS-Client. Die Windows2000
Authentication Services (IAS) führen die Authentifizierung durch. In der
Funktion als RADIUS-Server speichert IAS die Kontoinformationen der
RADIUS-Clients in Protokolldateien.
Weitere Informationen zu RADIUS sind im RFC 2138 / 2139 zu finden.
Internet Protocl Security
Internet Protocol Security (IPSec) ist ein Satz von Sicherheitsprotokollen
und kryptograpischen Diensten, der die Sicherheit von privaten Verbindungen
in IP-Netzwerken garantiert. IPSec bietet einen agressiven Schutz vor
Angriffen auf private Netzwerke und das Internet, ist aber denoch leicht zu
bedienen. Die Clients handeln dabei als eine Sicherheitszuordnungn (Security
Association , SA) aus, die als privater Schlüssel zur Verschlüsselung der
Daten verwendet wird.
Zur Konfiguration der IPSec-Sicherheitsdienste werden keinerlei Anwendungen
bzw. Betriebssysteme verwendet, sondern die IPSec-Richttlinien. Diese
stellen variable Sicherheitsniveaus für fast alle Datenübertragungensarten
in den meisten Netzwerken zur Verfügung.
Die Sicherheistmeachanismen für IP sind in RFC 1825 definiert.
Layer 2-Tunnelprotokoll
Das Layer 2-Tunnelprotokoll (L2TP) ist dem PPTP insofern ähnlich, denn auch
sein Zwech besteht darin einen Tunnel durch ein nichtvertrauenswürdiges
Netzwerk zu schaffen. Sie unterscheiden sich aber in einem Punkt, PPTP ist
unverschlüsselt. Hingegen schaft L2TP erstens einen Tunnel und zweitens
arbeitet sie noch mit Verschlüsselungstechnologien wie IPsec zusammen.
Sowohl PPTP als auch L2TP verwenden PPP als ursprüngliche Verpackung die
Daten und fügen dann für die Übertragung durch das Transitnetzwerk
zusätzliche Header hinzu. Die hauptsächlichen Unterschiede werden in
folgender Liste beschrieben:
PPTP erfordert ein Transitnetzwerk auf IP-Basis. Bei L2TP muss nur
gewährleistet sein, dass das Tunnelmedium eine peketorientierte Punkt-zu
Punkt-Verbindung herstellt. L2PT kann in einem IP-Netzwerk mit dem User
Datagramm Protocol, mit permanenten virtuellen Verbindungen(PVCs) auf Frame
Relay-Basis oder auch in asynchronem Übertragungsmodus arbeiten.
L2TP unterstützt im Gegensatz zu PPTP die Headerkomprimierung. Wenn die
Headerkomprimierung aktiv ist, arbeitet L2TP mit einem Overhead von 4 Byte.
PPTP arbeitet mit 6 Byte Overhead.
L2TP unterstützt im Gegensatz zu PPTP die Tunnelauthentifizierung. Wenn
jedoch entweder L2TP oder PPTP mit IPSec zusammen verwendet wird, wird die
Tunnelauthentifizierung auf jeden Fall von IPSec zur Verfügung gestellt, so
dass die L2TP-Tunnelauthentifizierung entfallen kann.
PPTP verwendet PPP-Verschlüsselung, während L2TP zum Verschlüsseln IPSec
benötigt.
Geschrieben für: zerosecurity.port5.com
Geschrieben von:Roger Kündig
07.11.2000
********* (5) Kerberos *********
Kerberos identifiziert also Benutzer, Computer, Dienste oder andere
Netzwerkgeräte, die Zugang ins System oder zu Domänenressourcen haben
möchten.
Ein System muß zwei Bedingungen erfüllen, bevor Kerberos zur
Authentifizierung zwischen Client und Server eingesetzt werden kann. Zum
einen muß der Kerberos Security Support Provider (SSP), welches der Code
ist, der die Kerberos Logik sicherstellt, sowohl für den Client als auch für
den Server verfügbar sein. Zum anderen müssen Client- und Serveranwendungen
die Kerberos Referen-zen anerkennen ( zum Beispiel, tickets, authenticators,
ticket-granting tickets - TGTs). Kerberos ist auf allen Win 2K Plattformen
verfügbar. Jeder Exchange 2000 Dienst benutzt Kerberos, um sich zu einer Win
2K Domäne anzumelden. Normalerweise verwenden Exchange 2000 Dienste die
Local System Account Credentials ( zum Beispiel, den Account, das
Passwort), um sich in die Win 2K Domäne einzuloggen. Diese Verwendung des
Local System Account garantiert bessere Passwortsi-cherheit als frühere
Exchange Sicherheitsarrangements, weil Win 2K automatisch das
Zugangs-passwort zum System erzeugt und die Passwörter in regelmäßigen
Abständen erneuert.
Diese Änderung bei Exchange 2000 schließt viele Probleme aus, die mit dem
Service von Exchange Server 5.5 verbunden waren. Im Exchange Server 5.5
benutzen Systemverwalter manchmal ihren Benutzeraccount für den
Serviceaccount, was Exchange Services am Starten hindert, wenn der Ac-count
eines Administrators ausgeschlossen ist.
Obwohl Exchange 2000 Dienste Kerberos verwenden, um sich zu einer Win 2K
Domäne anzumel-den, erkennt der Informationsspeicher von Exchange 2000
Kerberos Referenzen nicht an. Clients, die sich für Exchange 2000 anmelden,
können Keberosmerkmale nicht benutzen, wie zum Beispiel authentication
delegation und mutual authentication2. Ein Benutzer, der sich in eine
Exchange 2000 Mailbox einloggt, verwendet NTML zur Authentifizierung.
Jedoch unterstützt das Kerberos Protokoll den einheitlichen Zugriff auf
Non-Windows Anwendun-gen - ohne auf Sicherheit zu verzichten.
"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
[2] Bugs
"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
Hier werden nun einige bekannte Bugs von Windows2000 aufgelistet.
Service Control Manager
Der Service Control Manager von Windows 2000 ist das zentrale Instrument,
über das die Systemdienste erzeugt oder modifiziert werden. Für jeden
Systemdienst legt der SCM eine sogenannte Named Pipe mit einem speziellen
Namen an. Wenn nun ein Programm genau diese Named Pipe erzeugt, bevor der
SCM das tun kann, erhält das Programm die Privilegien des Systemdienstes.
Relative Shell Path
Der Registry Eintrag, der auf den Windows Explorer verweist, arbeitet mit
relativen Pfadnamen anstatt mit absoluten. Dieser relative Pfadname kann
jedoch beim Systemstart noch nicht aufgelöst werden, daher durchsucht die
Bootroutine das Systemlaufwerk nach der Datei explorer.exe. Dabei wird
zuerst das Root-Verzeichnis durchsucht. Platziert nun in böswilliger
Benutzer dort eine Datei namens explorer.exe, wird beim nächsten Systemstart
dieses Programm als Shell verwendet anstatt des richtigen Windows-Explorer.
NetBIOS Nameserver Spoofing
Das NetBIOS Nameserver (NBNS) Protocol ist in der WINS-Implementation von
Windows eingebunden. Es enthält einige Funktionen, um Namenskonflikte (etwa
wenn zwei Arbeitsrechner denselben Namen haben) aufzulösen. Über spezielle
Protokoll-Aufrufe können Arbeitsrechner auch in die Auflösung von
Namenskonflikten eingreifen. Diese Aufrufe kann ein Hacker ausnutzen, um
etwa dem Rechner "WORK2" mitzuteilen, dass er ab jetzt "WORK15" heißt. Der
reguläre WINS-Server weiß davon nichts und somit ist die betroffene
Arbeitsstation nicht mehr über den Namen "WORK2" erreichbar.
Dieser Bug kann auch von einem Hacker im Internet ausgenutzt werden, wenn
der Port 137 für UDP-Pakete geöffnet ist.
Speicherloch im DNS-Dienst
In Windows 2000 hat Microsoft den DNS-Dienst um so genannte Service-Einträge
ergänzt. Mit deren Hilfe lassen sich so wichtige Informationen ermitteln wie
der für die Anmeldung notwendige Domänen Controller.
Für jede Anfrage allokiert der DNS-Dienst Speicher, den er jedoch nicht
wieder automatisch freigibt. Dadurch wächst die Systembelastung, da Windows
2000 mehr virtuellen Speicher bereitstellen muss.
DNS-Cache lässt sich nicht löschen
In bestimmten Situationen kann es notwendig sein, den Cache eines Servers zu
löschen, etwa weil sich darin ungültige Daten befinden. Versucht der
Administrator, den Cache eines DNS-Servers unter Windows 2000 zu löschen,
erhält er eine Fehlermeldung.
Keine Trennung bei FTP-Timeout
Wer regelmäßig Daten per FTPübertragt, stößt früher oder später auf die
Meldung, dass der FTP-Server keine weiteren Verbindungen erlaubt, da die
maximale Anzahl an Nutzern erschöpft ist. Diese Obergrenze gleichzeitig
möglicher Sessions soll eine Mindestperformance des Servers gewährleisten.
Damit inaktive Clients nicht permanent Ressourcen belegen, lässt sich
serverseitig ein Timeout-Wert einstellen, nach dessen Ablauf die Verbindung
getrennt wird.
Ein Fehler im FTP-Dienst von Windows 2000 ignoriert diese Vorgabe jedoch,
sodass die maximale Anzahl an Verbindungen schneller erreicht und neue
Sessions blockiert werden.
Missbrauch des BrowserReset Frame
Microsofts Browserdienst dient dazu, Netzwerkressourcen zu finden.
Durchsucht der Anwender etwa das LAN mit Hilfe des Icons Netzwerkumgebung,
unterstützt ihn dabei der Browserdienst. Zur Lastverteilung setzt man dabei
Master Browser und Backup Browser ein. Master Browser enthalten eine Liste
der LAN-Ressourcen und replizieren diese auf die Backup Browser. Die
Kommunikation untereinander erfolgt über so genannte Frames.
Über den ResetBrowser-Frame etwa lässt sich der Browserdienst beenden. Dies
ist beispielsweise dann hilfreich, wenn eine zu große Browseranzahl für eine
zu hohe Netzlast durch die entstehende Replikation sorgt.
Da das Protokoll für den Browserdienst keine Authentisierung vorsieht,
könnte ein Angreifer entsprechende Frames gezielt gegen Rechner einsetzen,
um den Anwendern den Zugriff auf Dienste und Computer in einem Netzwerk zu
verweigern. Im Extremfall ist auch denkbar, dass auf diesem Weg gefälschte
Informationen zur Verfügung gestellt werden.
IP Fragment Reassembly
IP-Pakete, die die maximale Frame-Größe in einem Netzwerk überschreiten,
gelangen als Fragmente aufgesplittet ihr Ziel. Dort muss sie das
Betriebssystem in der richtigen Reihenfolge zusammensetzen und weiter
verarbeiten .
Befinden sich ungültige Daten in den fragmentierten IP-Paketen, treibt dies
die Arbeitslast auf dem Zielrechner drastisch nach oben. Der angegriffene
Computer ist beinahe ausschließlich mit der Bearbeitung der
kompromittierenden Fragmente beschäftigt. Im Extremfall kann er dabei
abstürzen.
NNTP kann Hash-Tabelle nicht neu erzeugen
Wenn der NNTP-Dienst die Hash-Tabelle neu aufbaut, bringt ihn eine
Null-Nachricht ins Schleudern. Als Folge bricht er den Vorgang ab, anstatt
die Nachricht als ungültig zu markieren und fortzufahren. Damit ist die
Hash-Tabelle nicht vollständig und nicht nutzbar.
Internet Information Server stürzt ab
Der IIS 5.0 reagiert auf bestimmte Zeichen im HTTP-Request-Header mit einer
Schutzverletzung. Er wird zwar von Windows 2000 automatisch neu gestartet,
doch Hacker können dieses Problem für eine DoS-Attacke missbrauchen, indem
sie den IIS ständig abstürzen lassen.
IIS findet Dateien nicht mehr
Bestimmte Dateierweiterungen wie etwa .htm lassen sich über die Funktion
"App Mappings" im Internet Service Manager von IIS so markieren, dass sie
über das Include Statement andere Dateien einschließen können. Verwendet
jedoch ein Default-Dokument, wie beispielsweise index.htm, ein Include
Statement, kommt es zur Fehlermeldung "401 Zugriff verweigert" beim
Internetnutzer. Das Problem tritt nicht auf, wenn der Dokumentenname
dediziert angegeben wird, also beispielsweise www.server.de/index.htm.
Datenausspähung per Indexserver
Der Index-Dienst von Windows 2000 indiziert HTML-, Word-, Excel- und
PowerPoint-Dokumente und stellt über den Internet Information Server eine
Suchmaschine zur Verfügung. Die so genannte Hit-Highlighting-Funktion
enthält jedoch einen Fehler, über den Internet-Benutzer auch Zugriff auf
Dokumente erhalten können, die nicht im Internet-Verzeichnis liegen und
dementsprechend nicht ins Web sollen. Um Zugriff zu erhalten, muss der
Internet-Benutzer lediglich den Pfad- und Dateinamen angeben. Der
Indexserver liefert dann die Textstelle mit dem gefundenen Schlüsselwort.
SMTP-Server ausgebremst
Der SMTP-Server von Windows 2000 bremst sich selber aus, wenn eine Vielzahl
von derzeit unzustellbaren Mails im Ausgang liegen. Diese unzustellbaren
Mails blockieren Filehandles, sodass für andere Mails unnötig viele
Dateioperationen ausgeführt werden müssen. Diese Operationen kosten
Rechenzeit und verlangsamen das System.
Microsoft hat einen Patch für dieses Problem erstellt. Mit diesem stellt der
SMTP-Server Mails, die wegen Unerreichbarkeit des Zielservers nicht
ausgeliefert werden können, zunächst zurück und verwendet die Filehandles
für die Verarbeitung anderer Nachrichten.
Ein Fehler im Network Connection Manager des Betriebssystems erlaubt
Angreifern
den Zugang zum System. Mit dem Erlangen des Codes hat dieser Zugriff auf die
vollen
Systemrechte. Der Network Connection Manager (NCM) bietet einen
Kontrollmechanismus für
alle Netzwerk-Verbindungen, die von einem Host-System verwaltet werden.
Eine so genannte "handler routine" kann dabei zu jedem Zeitpunkt aufgerufen
werden,
worin auch die Sicherheitslücke steckt. Denn ein Angreifer kann diese
"handler routine"
in der Sicherheitszone des lokalen Systems ausführen, was eigentlich nur in
der
Sicherheitszone des Anwenders geschehen sollte
Benutzer kann Passwort nicht ändern
Wenn ein NT-Server auf Windows 2000 Active Directory aufgerüstet und danach
bei einem Benutzer die Option "Benutzer kann Passwort nicht ändern"
zurückgesetzt wird, kann er sein Passwort trotzdem nicht ändern. Windows
2000 entfernt zwar den ACE (Access Control Entry), der den Schreibzugriff
auf das Passwort verhindert, es setzt aber nicht den zusätzlich notwendigen
ACE, der das Schreiben explizit erlaubt.
Probleme mit serverbasierten Profilen
Wenn ein serverbasiertes Profil auf einem Share gespeichert ist, das auch
Services für Macintosh anbietet, kann es beim Log-in zu einer Fehlermeldung
kommen. Windows beschwert sich, dass bestimmte Dateien nicht vom Share
kopiert werden können und darum das Profil ungültig ist. Als Folge weist
Windows dem Benutzer ein temporäres Profil zu, das beim Ausloggen wieder
gelöscht wird.
================================================== ================================================== =========================
credits (im ersten wie im zweiten teil zu finden)
Danke und Entschuldigung an all jene denen ich ohne einverstaendnis
Textinhalte oder Ideen "gestohlen" habe:
+ Marco Ruef
+ Prof. Wiesner
+ -=Moses=-
+ Andrea Pinzani
+ LLNK
+ Der Typ der die .doc file sicherheit_windows_2000
+ allen rootboardern
+ Manweis Janie
indirekt beigetragen:
+ The Doors
+ Marylin Monroe
+ Jim Jarmusch
lies den zweiten teil denn hier ist:
=E=O=F=