carlito 10 Geschrieben 5. Mai 2005 Melden Teilen Geschrieben 5. Mai 2005 Ja, und Du meinst damit wären alle Probleme aus der Welt ? Kannst du bitte mal genauer erläutern, welche Gefahr deiner Meinung nach von mitgesnifften Kerberos Logins ausgehen soll? Zum Thema kompromitieren: Wenn Username und Passwort bekannt sind, dann setzt Du Dich einfach an einen PC innerhalb des LANs. Irgendein Büro ist schließlich immer leer. Sehr blauäugig Deine Einstellung. Blauäugig? Wenn Username und Passwort bekannt sind ist sowieso Hopfen und Malz verloren. Aber erklär mir bitte mal, wie man aus mitgesnifften Kerberos Logins Username und Passwort extrahiert. Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 5. Mai 2005 Melden Teilen Geschrieben 5. Mai 2005 Ok, da geht jetzt was durcheinander. Also ich meinte nie, dass man Passwort und User mal eben aussniffen kann, das einmal vorweg. Man kann ohne weiteres an das Kerberoslogin kommen, der Passwort-Crack dazu läuft dann über eine Bruteforceattacke. Je mehr User im Netz sind um so größer ist die Wahrscheinlichkeit eines schnellen Erfolg der Bruteforceattacke. Ein Depp ist immer dabei, der es einem einfach macht. Die Programme Kerbsniff und Kerbcrack eignen sich dazu, aber auch Cain kann dass. In 10 min gehen die durch ca. 10 Mil. Wörter und dazu braucht man keinen P4 3Ghz. Ich beschägtige mich nur mit solchen Programmen und programmiere Sie nicht selbst, deshalb kann ich Dir auch keine näheren Infos geben, wie die jeweiligen Programmierer dass machen. Davon abgesehen lassen, dass auch die Boardregeln nicht zu ;) . Man kann natürlich über eine GPO mit komplexen Passworten und wöchentlichen Passwortwechsel solche Attacken nahezu ausschließen, allerdings muss man dann einen Admin einstellen der nichts anders macht als Passwörter zurückzusetzen, da mal wieder einer sein Passwort vergessen hat. :D Gruß Data Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 5. Mai 2005 Melden Teilen Geschrieben 5. Mai 2005 Man kann ohne weiteres an das Kerberoslogin kommen, der Passwort-Crack dazu läuft dann über eine Bruteforceattacke. Je mehr User im Netz sind um so größer ist die Wahrscheinlichkeit eines schnellen Erfolg der Bruteforceattacke. Ein Depp ist immer dabei, der es einem einfach macht. Wie du selbst weiter unten schreibst. Die Lösung heisst: Kennwortrichtlinien. Die Programme Kerbsniff und Kerbcrack eignen sich dazu, aber auch Cain kann dass. In 10 min gehen die durch ca. 10 Mil. Wörter und dazu braucht man keinen P4 3Ghz. Ich kenne Kerbsniff und Kerbcrack auch. Wobei ich mich frage, wie Kerbsniff funktioniert. Ist dort ein Packetsniffer integriert? Leider verfolgt Arne Vidstrom die "If you don't know how it works, don't ask" Philosophie. Man kann natürlich über eine GPO mit komplexen Passworten und wöchentlichen Passwortwechsel solche Attacken nahezu ausschließen, allerdings muss man dann einen Admin einstellen der nichts anders macht als Passwörter zurückzusetzen, da mal wieder einer sein Passwort vergessen hat. :D Wie immer: Sicherheit vs. Komfort. Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 Hi, Ich kenne Kerbsniff und Kerbcrack auch. Wobei ich mich frage, wie Kerbsniff funktioniert. Ist dort ein Packetsniffer integriert? Leider verfolgt Arne Vidstrom die "If you don't know how it works, don't ask" Philosophie. Wollen wir das wirklich wissen. :shock: Ich denke das ganze funktioniert über eine MIM-Attacke. Aber wer viel fragt..... Wie immer: Sicherheit vs. Komfort. oder besser Sicherheit vs. Adminnerven :D . Der Mix macht es. Gruß Data Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 Sehr interessant eure Diskussion :D Aber ich frage mich ernsthaft, wie ein Brutforce Angriff über das Netz auf AD funktionieren soll, wenn man eine Account lock-out policy aktiviert hat. Nach drei Versuchen ist da nomalerweise Sense. :suspect: :wink2: Anders sieht es da aber bei beispielsweis L0ftcrack aus. Da wird ja die lokale SAM/Registry nach Hash-Werten abgeklappert.... Nun ja, möchte da aber keineswegs Öl in's Feuer giesen.... :D Gruss Velius Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 Hi Velius, warum Öl :D - Benzin :D :D Nein mal Spaß beseite, wir sind etwas ins Philosphieren gekommen. Prinizipiell hast Du ja recht, allerdings kommen wir dann wieder zu dem Admin der neu eingestellt werden muss, weil irgendjemand sein komplexes 12 Zeichen (Alphanumerisch mit Sonderzeichen) langes Passwort mal wieder 3x falsch eingegeben hat. So ist das Leben halt, hart und ungerecht. Gruß Data Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 Aber ich frage mich ernsthaft, wie ein Brutforce Angriff über das Netz auf AD funktionieren soll, wenn man eine Account lock-out policy aktiviert hat. Nach drei Versuchen ist da nomalerweise Sense. :suspect: :wink2: Tja, wenn man Kennwortrichtlinien überhaupt aktiviert hat. Das wurde ja schon angesprochen. Anders sieht es da aber bei beispielsweis L0ftcrack aus. Da wird ja die lokale SAM/Registry nach Hash-Werten abgeklappert.... Interessant ist die Sache IMHO in großen Netzwerken. Und da es auf DCs keine SAM gibt wüßte ich nicht, wie L0phtcrack da weiterhelfen könnte. Bei Memberservern und Clients klar. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 Auf DCs gibt es AFAIK keine SAM. Ich wüßte nicht, das L0phtcrack da weiterhelfen könnte. Ich rede auch nicht von einem DC, sondern von Notebooks bespielsweise.... Sobald du dich einmal an der Domäne angemdeldet hast, wird dein Passwort als Hashwert lokal zwischengespeichert. Anderfalls wäre das lokale Anmelden ohne Domäne nicht möglich. Das Setting kann man aber auch mit GPO gänzlich unterbinden. Jeder DC hat eine SAM, andernfalls könntest du nicht in den Verzeichnisdienst Wiederherstellungs Modus wechseln. Nur im normalbetrieb ist diese nicht geladen. Ich sehe da nicht so'n Problem mit den Password Policies. Im schlimmsten Fall kann man auch das Recht Accounts zu entsperren delegieren. Es gibt auch 3rd Party Tools wie von Quest welche das erleichtern. Gruss Velius P.S.: Kennwortrichtlinien sind standartmäsig aktiviert. Es fragt sich nur welche, und ob diese verwässert wurden.... Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 Jeder DC hat eine SAM, andernfalls könntest du nicht in den Verzeichnisdienst Wiederherstellungs Modus wechseln. Nur im normalbetrieb ist diese nicht geladen. Nur bringt es nichts, wenn ein Angreifer das DSRM Passwort kennt. Es sei denn, es ist identisch mit dem Administrator Passwort. P.S.: Kennwortrichtlinien sind standartmäsig aktiviert. Es fragt sich nur welche, und ob diese verwässert wurden.... Eben. Oft werden diese aus Bequemlichkeit bzw. um Support Anfragen zu vermeiden verändert oder deaktviert. Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 Hi Velius, bitte nenne mir Deine Arbeitgeber und ich wechsele sofort :D . Deligieren von solchen Aufgaben ist bei uns undenkbar. Kaum zu glauben aber war. Wir müssen immer an unsere armen User denken. Die GF will es so, da kann man sich noch so sehr die Zunge fusselig reden. Gruß Data PS: carlito, bist aber fleißig. Ich galube als wir mit dem Thread angefangen habe warst Du bei ca. 350 Postings. ;) Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 Nur bringt es nichts, wenn ein Angreifer das Password für DSRM kennt. Es sei denn, das DSRM- und das Administrator Passwort ist identisch. . Mein ich ja: Die wahrscheinlichkeit damit Schaden anzurichten ist verschwindend gering. Ausserdem ist der physische Zugriff auf einen Controller immernoch das grösser Risiko, wenn auch klein, denn ich habe noch nicht gehört, dass einer lokal die NTDS.DIT gehackt hat.... :D @Data1701 Wir haben eine Person mit einem Taskpad und einer Delegation....(sie braucht es aber nicht oft). Ausserdem haben wir mindestens 7 Zeichen mit komplexer Kennwortvoraussetzung, und nach 3 x falsch ist Feierabend. Das alle 90 Tage..... Ach ja, die Kennwortchronik steht übrigens auf 5. Also alles in allem kann man sagen, dass sich die Probleme mit Passwörtern in Grenzen halten. Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 @ Velius Wieviele User - Welche Branche ? Gruß Data Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 Hi Velius, Habt ihr kein autom. Entsperren. Sonst bist du ziemlich anfällig gegen DOS-Attacken und am Morgen geht erstmal nichts mehr. Wenn ich das DSRM-Passwort habe, kann ich alles mögliche installieren, dll's austauschen, die ntds.dit wegkopieren, korrumpieren etc. ... kein gutes Gefühl, wenn jemand dieses PW bekommt. Ausserdem, wer hat schon verschiedene DSRMs auf allen DCs. cu blub Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 Hi Blub Du meinst die Kontosperrdauer? Die liegt bei 75 Minuten. Klar, ein Restrisiko bleibt, aber zuerst müsste der Angreiffer auch alle Benutzernamen kennen. Das DSRM Problem ist auch klar, aber eben, bei physischem Zugriff sieht's eh meist bitter aus. Allerdings ist mir kein Weg bekannt, Passwort Informationen aus der NTDS.DIT auszulesen. Schrotten kann man sie zwar, aber sonst nicht viel. 100% Sicherheit gibt's nicht, man kann aber versuchen eine gute Balance zu finden. In den meisten Fällen reicht es, wenn man den Wert oder den Gewinn durch den damit verbunden Aufwand für den Angreiffer dermasen drosselt, dass es sich schlussendlich nicht mehr lohnt. Gruss Velius Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 Hi Velius, Durch die SIDs bzw. RIDs brauch ich die Accountnamen gar ned zu wissen, um Konten zu sperren. Daher ist eine begrenzte Kontosperrdauer schon ganz gut. Kennen tue ich auch keine praktische Möglichkeit die PW aus der nts.dit heute herauszubekommen. Aber z.B. Revisionen können sehr creativ sein! Ich habe neulich erst die Anfrage bekommen, ob ich garantieren kann, dass wichtige Daten unter Windows auch in 5 o. 15 Jahren nicht entschlüsselt werden können. Da wäre eine geklaute ntds.dit schlecht, weil die lässt sich mit Rechnern in 15 Jahren ziemlich sicher aufmachen. Schaumer mal, wann die Quantenkryptographie für Windows kommt :cool: cu blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.