2009. május 19., kedd

Network Access Control alulnézetből

Tanulságos történet, amelynek természetesen semmi köze a valósághoz, mindennemű hasonlóság a véletlen műve.

Nemrég auditáltunk egy hálózatot, amely Network Access Controlt implementál és a hálózathoz történő távoli csatlakozáshoz a Nagy, Hidas Jelvényű Amerikai Hálózati Gyártó compliance-kliensét kellett telepíteni.

A kliens rengeteg mindent ellenőriz a gépünkön, mielőtt csatlakozhatnánk a hálózathoz és adatforgalmat kezdhetnénk meg rajta: ellenőrzi, hogy minden biztonsági frissítés telepítésre került-e a gépre, nincsenek-e illegális eszközök telepítve, kielégítő vírusvédelem és személyi tűzfal üzemel-e. Amennyiben mindent rendben talál és még a felhasználónevünk-jelszavunk is stimmel, hozzáenged a hálózathoz VPN-nel, és már forgalmazhatunk is.

A tesztelésre használt gép sok kritériumnak nem felelt meg: egyrészt nem volt rajta víruskergető (nyilván, hiszen karanténba tette volna a teszteszközök 80%-át "Achtung! Dangerous hacking tool!"-hibaüzenettel), másrészt nem volt beléptetve a megrendelő domainjébe. Kíváncsiak voltunk, hogy mi történik, ha a klienssel megpróbálunk csatlakozni: biztosra vettük, hogy egy mogorva hibaüzenetnél tovább semmiképp sem jutunk.

Hogy hová kell csatlakozni, illetve mit kell telepíteni a távoli eléréshez, egy készséges FAQ-oldal elárulta a megrendelő weboldalán. Felhasználónevet és jelszót szerezni sem volt sokkal nehezebb, ugyanis a megrendelő könnyen kitalálható szerkezető e-mailcímeket alkalmazott, amelyek előtagja a felhasználónév volt; egy célzott google-keresésből 18 accountnévvel lettünk gazdagabbak, amelyek közül az egyik jelszava "Almafa123" volt.

A teszt következő fázisaként próbaképp csatlakoztunk a felhasználónévvel-jelszóval a hálózathoz: azt vártuk, hogy hibaüzenetet kapunk: nem felel meg a policy-nak, ezért nem enged be. Egészen meglepődtünk, de beengedett a hálózat, noha mosolyunk kissé lehervadt: egy izolált, korlátozott elérésű VLAN-ba tette gépünket az NAC, a hálózatból gyakorlatilag csak az intranetes webfelület volt elérhető, ahhoz azonban nem volt jó a VPN-es jelszó.

Sokkal érdekesebb volt azonban az, hogy a subneten körülnézve találtunk számtalan hosztot, amelyen biztosan nincs telepítve minden frissítés, illetve nincs tűzfal (hiszen az NAC előzékenyen összegyűjtötte nekünk őket). Nem is kellett sokáig kutatni, a tavaly év végi MS08-067-es sebezhetőség kijavítását több hoszton nem végezték el, így azok könnyű célpontnak bizonyultak.

Mint később kiderült, a kérdéses hosztok a megrendelő alkalmazottaihoz tartoztak és csak távoli eléréshez kellett az NAC-s procedúra, a belső hálózathoz csatlakozva gyakorlatilag ellenőrzés nélkül forgalmazhattak a 80-as porton, ilyen módon a felgyógyított, reverse http shell-t használó backdoorjainkkal szabadon kommunikálhattunk, ilyen módon hozzáférve mindenhez, amire az audit során törekednünk kellett.
Mi a történet tanulsága? Többet is összegyűjtöttünk.
  1. Az NAC önmagában hatástalan, akkor láthatja csak el a feladatát, ha a betartatni kívánt policyt megszegőket nem engedi a hálózathoz. Az utólagos interjúk során kiderült, hogy az NAC-t eredetileg ebben a szellemben állították be, azonban az alkalmazottak panaszai miatt engedékenyre szabályozták.
  2. Megfelelő erősségű jelszavak kellenek. Ennél többet nem is mondanánk.
  3. A belső hálózathoz fizikailag csatlakozó hosztokat is kell szabályozni, tehát a házirendet nem betartó hosztokat semmilyen körülmények között nem szabad(na) hozzáengedni a hálózathoz.
  4. A nem megfelelő hosztokat nem szabad(na) azonos VLAN-ba tenni, ahol egymással is kommunikálhatnak: a siker egyik kulcspontja az volt, hogy láttunk számtalan hosztot, amelyek biztosan nem felelnek meg az amúgy igen szigorú házirendnek.

Nincsenek megjegyzések:

Megjegyzés küldése

Kommentek