Strumenti di network mapping Dott. Claudio Giulietti CISA, CISM
Agenda Logiche di Network Mapping Il reperimento dei tool Esempi: LANGUARD DUMPACL HYENA Considerazioni
Logiche Individuare logiche di port scanning e security scanning Introdurre alcuni strumenti di auditing di rete utili al network administrator come all auditor. Creare reportistica utile alla risoluzione di anomalie delle sicurezza. Non siamo qui per vendere ma per regalare
La Sicurezza logica della rete Viene molto spesso sottostimata Conseguenze: male intenzionati hanno facilmente accesso a macchine e dati altrui attraverso l utilizzo di trucchi e bachi noti, relazioni di trust e setting di default. La maggior parte di questi attacchi non richiedono un gran conoscenza e mettono a serio rischio gli asset aziendali.
La Sicurezza logica della rete La maggior parte degli utenti non necessita di accessi a macchine differenti dal proprio pc, a funzioni di amministrazione, a dispositivi di rete Scusante: la flessibilità è necessaria per eseguire le attività giornaliere. E stimato che almeno l 80% degli attachi di rete avvengono per mano di dipendenti e dall interno della rete (ComputerWorld, Gennaio 2004)
La Sicurezza logica della rete Lo scopo degli strumenti di network mapping o network security scanning permettono l auditing e l identificazione delle falle. Non parliamo di penetration testing. Razionalizziamo informazioni liberamente ottenibili dalla nostra rete.
Reperimento dei tool http://www.insecure.org http://www.gfi.com http://www.systemtools.com http://www.securityinfos.com
LAGUARD
LAGUARD Individuare possibili entry points Applicazione di diversi metodi di ricerca Visualizzazione di alerts Realizzazione di reportistica Caratteristiche extra
LAGUARD:entry points Servizi e porte TCP e UDP aperte Bachi nella gestione del servizio SNMP Bachi nei programmi CGI Utenti e semplici programmi backdoor Trojan horses Condivisioni aperte Password di rete deboli Identificazione degli utenti, servizi, infrastrutture
LAGUARD: Metodi Acquisizione di informazioni Identificazione delle infrastrutture di rete attive Identificazione di sistemi operativi utilizzati Identificazione di bachi di sicurezza noti nei pacchetti software
LAGUARD:Alerts e reporting Problemi di sicurezza noti e facilmente identificabili Lista delle Hot fixes e Service Packs mancanti NT/2000/XP Intelligent scanning (ports, services, users ) Report: HTML, XML e XLS Reportistica personalizzabile (XLS)
LAGUARD:Caratteristiche extra Vulnerabilità NETBIOS Windows 95/98/ME SNMP auditing MS SQL auditing Trace route DNS lookup WhoIs client Remote machine shutdown Tecniche di social engineering LANS - scripting language per personalizzare gli alerts
LANGUARD
LANGUARD 1. 2. 3. Scan one Computer:Permette lo scan di una sola apparecchiature di rete Scan List or range of Computers: I computer possono essere aggiunti uno alla volta o per range di indirizzi sia attraverso testo scritto che in maniera interattiva Scan Computers part of a Network Domain: Si possono selezionare le macchine utilizzando il browsing dei workgroups e domini
LANGUARD: analisi dei risultati
LANGUARD:i risultati Dispositivi di rete: IP, Nomi, Sistemi Operativi Netbios Names Trusted Domains Shares Local Users & Groups Servizi & Processi Informazioni generali (devices, drivers..) Password Policy Registry Auditing options (windows) Open Ports
LANGUARD:Alerts Missing Patches Windows NT/2000/XP Intrusioni a CGI Apache, Netscape, IIS e altri web server. FTP Alerts, DNS Alerts, Mail Alerts, RPC Alerts e Miscellaneous Alerts Alerts per servizi aperti Registry Alerts Windows Information Alerts
LANGUARD: onsite scan La prima analisi è buona norma farla con la cosiddetta NULL Session e in un secondo momento con il vs. utente Se avete a disposizione un utente di amministrazione potete poi ripetere l esercizio Potete a questo punto comparare i risultati
LANGUARD
LANGUARD
DUMPACL
DUMPACL Permette di catturare la lista di: permission (DACL) audit settings (SACL) per file system, registry, printers e shares user, group e informazioni per le repliche.
DUMPACL
DUMPACL Selezionando Report->Select computer
DUMPACL Selezionando Report->Dump Policies
DUMPACL Selezionando Report->Dump Services
DUMPACL Selezionando Report->Dump Rights
DUMPACL Selezionando Report->Dump Users
DUMPACL Selezionando File->Save Report As
HYENA
Hyena Raggruppa le maggiori funzioni di amministrazione di Windows NT e 2000: User Manager Server Manager File Manager/Explorer Altri componenti MMC Windows 2000 Permette la visualizzazione delle informazioni come per il semplice browsing delle risorse di Windows E un vero tool di amministrazione percui.
HYENA: principali funzioni Crea, modifica, cancella e visualizza utenti, gruppi e group membership Modifica le proprietà degli utenti (inclusi terminal server and Exchange mailbox settings) Crea home directory, home shares e security settings per gli utenti Esporta utenti, gruppi, stampanti, computers, gruppi, servizi di rete su file di testo Browse, copy, delete di tutte le share dei server e dei contenuti Visualizza eventi, sessioni, shares, processi e file aperti per ogni server Visualizza e controlla servizi e drivers per uno o più computers. Gestisce share e file permissions, crea nuove shares e rivede i diritti di accesso Schedula remotamente i jobs Shutdown e reboot remoto Gestisce il quota server
HYENA Per fare tutto ciò però bisognerebbe essere amministratori...all auditor che non dispone di diritti di amministrazione è per cui concesso solo vedere.
HYENA
HYENA: Domini I domini sono rappresentati dal simbolo del mappamondo e sono navigabili attraverso una struttura ad albero come qui riportato. Hyena include automaticamente il dominio di default dell utente. E possibile aggiungere altri domini attraverso l opzione File->Add Domain
HYENA: Domini Audit Policy Account Policy Relazioni di Trusts Send Message Syncronizza Domini interi
HYENA: Oggetti
Considerazioni 1. 2. 3. 4. 5. Massima cautela nelle analisi (non siamo onnipotenti) Non andiamo oltre i confini dei nostri compiti (non siamo gli amministratori) Non basta installare il tool per essere esperti di sistemi distribuiti (chiediamo spiegazioni) Azione coordinata di più strumenti (aggiunge conoscenza) Falsi positivi vanno verificati attentamente (attenzione alle cantonate)
Contatti: Claudio Giulietti claudio.giulietti@audit.unicredit.it