Jump to content

PEN-Test Finding Antwortzeiten


Direkt zur Lösung Gelöst von NilsK,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen, 

 

es wurden Pentests auf verschiedene Systeme gemacht. Ein Finding war bei alles gleich und betrifft die AD. Es ist möglich auf Grund der Antwortzeiten rauszufinden ob es den Benutzer gibt oder nicht. 

Heißt der DC hat bei existierten Benutzern mit falschen Passwort die Antwort in 100 ms gegeben. War der Benutzer nicht existent dauerte die Antwort 500 ms. So ist es einen Angreifer möglich zu erkennen ob die Konten überhaupt existieren. Wie kann ich dem DC ein gleiches Antwortverhalten vorschreiben. Also bei falschen Passwort mit der Antwort min. 500 ms warten oder so? Anders gefragt: hat jemand eine Idee was ich machen kann?

Link zu diesem Kommentar

Moin,

 

darüber hinaus wäre die Frage zu stellen, wie relevant das "Finding" überhaupt ist. Pentester schreiben gern mal was auf, wenn sie es gefunden haben, aber das heißt noch lange nicht, dass das in der jeweiligen Situation ein Risiko wäre. Wer kommt denn überhaupt so nah an das AD ran, dass er diese Messung zuverlässig durchführen könnte? Und wenn er so nah dran ist, wie wahrscheinlich ist es, dass er diesen Weg überhaupt gehen muss?

 

Mir wäre nicht bekannt, dass man das steuern kann. Das heißt nicht, dass es nicht geht. Aber für mich klingt das nach etwas, was der Hersteller lösen müsste und nicht das Anwenderunternehmen.

 

Gruß, Nils

 

Link zu diesem Kommentar

Moin,

 

ich sage ja gar nicht, dass das nicht relevant sein kann. Die Frage, die am Ende nur der TO bzw. seine Firma beantworten kann, bleibt aber trotzdem: Ist das im konkreten Gesamtzusammenhang relevant? Viele Firmen, deren Netzwerke ich kenne, müssten das realistisch mit "nein" beantworten, weil es auf der Liste relevanter Dinge nicht vor Position 100 auftaucht.

 

Und wenn das Thema weiter vorne steht - dann wäre zu prüfen, ob man das überhaupt selbst im Griff hat oder ob Microsoft das tun muss. Ich würde da im Zweifel ganz stumpf die Pentester fragen, ob ihnen ein Weg bekannt ist, wenn sie das schon testen.

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar

Moin, 
 

ich glaube ich wurde etwas falsch verstanden. Es wurde nicht die AD getestet. Sondern Tools die von intern und extern erreichbar sind. Also Anmeldefenster von z.B. Webapplikationen. Und es ist für uns ein Problem, wenn man die Benutzer von nicht Benutzern unterscheiden kann. Da man so gezielt auf Accounts die existieren Attacken fahren kann. 

Ich kann nur nicht jede einzelne Applikation absichern. Ich möchte das am Übeltäter selber machen. 

 

P.S.: Die Pentester geben nicht immer einen Lösungsvorschlag. Ist auch nicht ihre Aufgabe...

bearbeitet von darkjoda
Link zu diesem Kommentar

Moin,

 

na, dann ist das aber eine ganz andere Aufgabe. Und ob da das AD wirklich die richtige Stelle ist ...

 

In dem Fall ist ja mindestens eine weitere Komponente beteiligt, die in den meisten Fällen wohl selbst für den größten Teil der Verzögerung verantwortlich sein dürfte. Und genau dort (z.B. an dem Webinterface zum Login) müsste man IMHO ansetzen, nicht beim AD. Wobei, wenn ich mir das noch mal erlauben darf, in dem Szenario die Praxisrelevanz des Findings noch geringer sein dürfte. Bei dem, was im Netzwerk real zwischen Angreifer und AD ist, dürften die Messergebnisse kaum etwas aussagen.

 

Zu dem technischen Anteil der Frage kann ich sonst aber hier nix beitragen. Spontan fiele mir MFA ein, weil da so viel Verzögerung dazu kommt, dass der Unterschied mit Sicherheit nicht mehr feststellbar ist.

 

Gruß, Nils

 

Link zu diesem Kommentar
vor 4 Stunden schrieb NilsK:

na, dann ist das aber eine ganz andere Aufgabe. Und ob da das AD wirklich die richtige Stelle ist ...

Es sind gegenwertig drei Appliaktionen untersciedlister Art. Und auch wenn ich direkt auf die AD gehe bekomme ich das gleiche verhalten...

Danke für eure Vorschläge.
Auf so einfache Lösungen wie MFA bin ich auch schon gekommen. Leider geht dies nicht bei allen Anwendungen. Daher muss ich das Problem bei der Wurzel packen.

Danke für die Antowrten, aber ich glaube hier kann mir keiner Helfen.

Link zu diesem Kommentar

Im "Worst-Case" pack etwas wie eine Web Application Firewall / Reverse Proxy mit Pre-Authentication vor die drei Applikationen. Alternativer Ansatz: Pack ein Gateway à la Citrix ADC davor und veröffentliche die Web Applikationen bspw. im Unified Gateway. Evtl. wäre auch direkt die Veröffentlichung per Citrix Gateway und Cirtix Virtual Apps & Desktops ein Weg.

 

Generell müsste man jetzt aber etwas mehr über die drei Anwendungen wissen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...