web-dev-qa-db-ja.com

中間の内部ADトラフィックを処理する方法

同僚から、内部のADバインド通信を暗号化することが重要だと思う理由を尋ねられました。私は標準的なセキュリティ慣行に従っているので、実際には攻撃者がどのように資格情報をネットワーク上で取得するかを明確にすることができなかったので、私は言いました。攻撃者は私たちのネットワーク機器の一部を所有する必要がありますか、それとも簡単に聞く方法はありますか?

encryptiontlsman-in-the-middleactive-directory
5
k to the z

ARPポイズニングとIPスプーフィングは、ネットワーク上のノードだけでこれを行う1つの方法です。

一般に、最終的に行うことは、ネゴシエーション中にADサーバーを偽装することです。技術的な詳細は、このコンテキストではおそらく興味深いものではありませんが、ADサーバーのふりをすると、多くのことができます。

これらの1つは、NTLM認証のみをサポートするふりをして、ラップトップで数時間で解読できる非常に弱いハッシュを渡し、それによってパスワードを回復する非常に弱いプロトコルを呼び出すことです。

バインド認証もそれを使用して実行できるため、たまたま持っている場合はKerberosの弱点を悪用できる可能性があります。強制できるもう1つの認証方法は、NTLMよりも強力ですが、多すぎないdigest-md5です。

本当に問題なければ、認証を実際のADサーバーに渡し、スプーフィングを維持できる限り、クライアントとサーバー間のすべての通信をプロキシ(MitM)に進めることができます。誰も気づかないでしょう。ただし、Kerberosはこれを困難にします。

つまり、長いことと短いことですが、これを実行する攻撃者はパスワードハッシュを回復できる可能性があり、パスワードハッシュを非常に脆弱にする能力があります。これはパスワードを危険にさらす可能性があります。

攻撃者は、発生している認証(Kerberos)を傍受できる可能性もありますが、これはスイッチドネットワークセグメントでは困難であり、802.1xでは基本的に不可能です。

特にKerberosは、この種のことを達成することをかなり困難にします。たとえば、パスワードはサーバーとワークステーションの間で共有されるキーを生成するためにのみ使用されます(サーバーはキーを保持し、パスワードが変更された場合にのみ変更します)。したがって、クラックするパスワードは実際にはありません。このキーは、通信を保護するために使用されます。ただし、キーは対称的であり、攻撃者は理論的には、ネットワークを通過するKerberosデータのいずれかを傍受し、そのキーを見つけ、このキーを生成するパスワードを見つけることができます(正直なところ、通常はキーで十分です)。これはきつい。 Microsoftには、Kerberosを含む、これがどのように機能するかの正確な詳細を含む記事があります

ただし、LDAPのようにADにバインドしていて、パスワードのリセットやプレーンな方法を使用した認証などを行う場合は、SSL証明書を提供してトラフィックを暗号化する必要があります。

10
Falcon Momot

ARPスプーフィング ネットワーク経由で渡される資格情報を取得し、次に ハッシュを渡す

Arpspoofingは、OSIモデルのレイヤー2を攻撃してトラフィックを傍受する方法です。この例では、攻撃者はデフォルトゲートウェイと同じIPであるが、攻撃者が所有するMACアドレスが異なるターゲットホストにarp応答を送信します。これにより、ターゲットホストは、デフォルトゲートウェイが本当のデフォルトゲートウェイのMACではなく、攻撃者によって提供されたMACにあると信じます。この時点で、攻撃者が勝ち、トラフィックをプロキシすることができます。ネットワークトラフィックへの完全なアクセスにより、攻撃者は必要な情報を抽出して、ハッシュを渡すなどの攻撃を実行できます。

この例では、攻撃者は既にネットワーク上に存在している必要がありますが、追加の機器は不要です。これは、内部の脅威か、すでに侵害されたホストである可能性があります。

最新の(そしてインテリジェントな)ネットワーク機器には、これに対する緩和策があります。そのため、どのMACがどの物理ポートで通信できるかを制御できます。したがって、MACをスプーフィングしようとした場合、トラフィックはスイッチを通過しません。

@Stephaneは、多層防御に関して素晴らしい点を持っています。トラフィックを暗号化すると多くの脅威が軽減されますが、侵入検知システムによってトラフィックが静かに通過するため、ネットワーク上で「ブラインド」になることもあります。未検査。ネットワーク暗号化などのコントロールを実装するかどうかは、実際の状況によって異なります。

3
user2320464

まあ、それは本当にあなたがローカルADトラフィックによって何を意味するかに依存します。それがサーバーマシン上だけにあるという意味の場合は、とにかく侵害されてもほとんど問題ないので、保存されているユーザー名/パスワードデータの暗号化は、ほんの少ししか役に立ちません-個別に暗号化された強力なユーザー名とパスワードがある場合サーバーが危険にさらされていることを即座に発見した場合、それらを実際に使用することが非常に困難になる可能性があります。ネットワーク内のみのようにローカルを意味する場合、攻撃者にとって最も可能性の高いオプションはMITMであり、次に辞書攻撃またはハッシュのパスのいずれかです。以前の回答者は実際にこれを言ったことでマークダウンされたので、私はそれらが何であるかについて詳しく説明します。

[〜#〜] mitm [〜#〜]-これは基本的に攻撃者があなたにあなたのルーターを知らせ、あなたがあなたのルーターであることを伝えます。したがって、彼はあなたに自分の情報(この場合はユーザー名とパスワード)を送信し、あなたはそれをコピーしてルーターに渡します。 [〜#〜] apr [〜#〜]はAdvanced Poison Routingの略で、基本的にMITMのファンシーバージョンです

Pass the Hashハッシュされた)パスワードを盗聴するか、他の方法でパスワードをキャプチャする攻撃。多くのサーバーは、ローカルでパスワードをハッシュするようにマシンに「通知」します。もう一度ハッシュせずにハッシュを送信するようにコンピュータに「伝える」ことで、有効なユーザー名/パスワードを入力し、ハッシュされて送信されたように見せることができます。

---(辞書攻撃-コンピュータは単語のリストを実行し、以前にキャプチャされたハッシュと同一になるようにハッシュする単語が見つかるまで単語をハッシュします(まともなハッシュを変換する唯一の実行可能な方法)平文に)

1
KnightOfNi