Seguridad en Windows NT - PowerPoint PPT Presentation

About This Presentation
Title:

Seguridad en Windows NT

Description:

CONCEPTES AVAN ATS DE SISTEMES OPERATIUS. Seminaris de CASO, curs 00/ 01 - 1Q ... Seminaris de CASO, curs 00/ 01 - 1Q. 3.- Para acabar. Recomendaciones a tener ... – PowerPoint PPT presentation

Number of Views:98
Avg rating:3.0/5.0
Slides: 38
Provided by: alumnesd
Category:

less

Transcript and Presenter's Notes

Title: Seguridad en Windows NT


1
Seguridad en Windows NT
Antonio Buenosvinos Palomares (e6766739_at_est.fib.up
c.es)Ferran Falguera Martí (e3737526_at_est.fib.upc.
es)
2
Contenido
  • 1.- Conceptos básicos Mecanismos fundamentales
    de segurdad del sistema NT.
  • 2.- Metodología del ataque Técnicas básicas
    empleadas para el acceso al sistema.
  • 3.- Para acabar Recomendaciones a tener en
    cuenta.

3
1.- Conceptos Básicos
  • Mecanismos fundamentales de seguridad del sistema
    NT.

4
Contenido
  • Introducción
  • Administración de Cuentas
  • Políticas de Passwords
  • Permisos y derechos del Usuario
  • Compartición de recursos de red
  • Seguridad del registro
  • Auditoría de eventos
  • SAM

5
Introducción (1/3)
  • La seguridad en Windows NT es una combinación de
    técnicas que aseguran un nivel de protección
    consistente contra los accesos no deseados.
  • Para implementar la seguridad, tendremos que
    proteger la red, el sistema operativo y los
    datos.
  • La fácil instalación y manejo de NT, implican una
    mala configuración inicial.

6
Introducción (2/3)
  • El administrador tendrá que sacrificar recursos
    para aumentar la seguridad.
  • NT puede controlar los recursos de una o mas
    estaciones de trabajo.
  • Cuando controle mas de una estación pasara a ser
    un servidor de dominio.

7
Introducción (3/3)
  • Cuentas de usuarios
  • Cuenta local de usuariopertenecen a una única
    estación Windows NT.
  • Cuenta de dominio pertenecen al dominio en
    cuestión. El procedimiento de login requiere, el
    nombre de usuario y contraseña, y el dominio al
    que se está haciendo login.
  • Cuentas de grupos
  • Grupo local cuentas locales de usuarios y grupos
    globales de otros dominios.
  • Grupo globalcuentas de dominio.

8
Administración de Cuentas
  • El NT gestiona tanto a usuarios como máquinas y
    sus recursos.
  • NT debe validar la autentificación de los
    usuarios y proveerlo de los recursos necesarios
    para acceder al sistema.
  • La herramienta básica para administrar los
    usuarios y grupos de un dominio es el programa
    USRMGR.EXE, conocido por Administrador de
    Usuarios para dominios.

9
Políticas de Passwords
  • El Administrador puede forzar a los usuarios a
    cumplir ciertas reglas en la configuración de sus
    cuentas.
  • Algunas de las medidas más utilizadas son
  • Longitud máxima y mínima de la contraseña.
  • Duración máxima de la contraseña.
  • Histórico de la contraseña.
  • Bloqueo tras sucesivos fallos de login.
  • Combinación de caracteres en la contraseña.

10
Permisos y derechos del Usuario
  • Los permisos definen qué recursos pueden usar los
    usuarios o grupos de usuarios.
  • Por defecto NT crea unos usuarios y unos grupos,
    que son uno de los primeros puntos críticos que
    el Administrador debe controlar.
  • Es conveniente revisar qué derechos tienen los
    usuarios y grupos por defecto dentro del menú de
    políticas de derechos de usuarios

11
Seguridad del registro
  • El registro es una base de datos que mantiene
    información sobre la configuración hardware,
    software y de entorno de la máquina.
  • Por lo que es conveniente
  • Deshabilitar el acceso remoto al registro.
  • Deshabilitar (poner a 0) si es necesario el
    apagado del equipo.
  • Proteger adecuadamente el registro de usuarios no
    autorizados.
  • Hacer copias periódicas del mismo con la utilidad
    REGBACK.EXE

12
Auditoría de eventos
  • Las auditorías nos permiten rastrear los accesos
    a los archivos u a otros objetos, reintentos de
    inicio de sesión, apagados y encendidos del
    sistema, etc
  • Hay que buscar un equilibrio entre los costes y
    los beneficios derivados de la utilización de una
    auditoría.
  • También tenemos que tener en cuenta el trabajo de
    analizar la cantidad de información recogida por
    estas auditorías.
  • Básicamente podemos hacer un seguimiento de las
    actividades realizadas por el usuario.

13
SAM
  • Security Account Manager
  • Es la base de datos donde se almacenan los
    nombres de los usuarios y las contraseñas
    encriptadas de todos los usuarios del sistema
    local o del dominio.
  • Cuando el Sistema Operativo esta en
    funcionamiento este archivo esta bloqueado.
  • Es el equivalente al /etc/passwd de UNIX.

14
2.- Metodología del ataque
  • Técnicas básicas empleadas para el acceso al
    sistema.

15
Contenido
  • A qué nos enfrentamos?
  • Adivinar contraseñas
  • Cracking del SAM
  • Borrar huellas
  • Escalada de privilegios
  • Hoovering
  • Getadmin
  • Sechole
  • Troyanos

16
A qué nos enfrentamos?
  • El uso de sesiones interactivas en NT está
    restringido a cuentas administrativas, limitando
    la capacidad del usuario de ejecutar programas en
    la máquina atacada.
  • Cualquier atacante a este sistema que se precie,
    debe buscar cuentas equivalentes al
    Administrador.
  • Aunque existen herramientas que permiten
    establecer sesiones, estas no son habituales
  • Back Orifice 2000
  • Netbus

17
Adivinar contraseñas (1/3)
  • Adivinación manual
  • Los usuarios tienden a escoger la contraseña más
    fácil de recordar posible nombre-empresa,
    propio-nombre, apellido, invitado
    contraseña.
  • Por tanto, con una lista de usuarios conseguida
    tras un escaneo de los dominios de la red con por
    ejemplo DumpACL o sid2user, podemos intentar
    acceder a alguna de las cuentas que aquí se nos
    muestren.

18
Adivinar contraseñas (2/3)
  • Adivinación automática
  • Tenemos herramientas para hacer esta tarea tan
    tediosa automáticamente.
  • Herramientas como NAT, nos permiten hacer la
    comprobación automática a partir de
  • Un rango de direcciones IP de clase C.
  • Lista ne nombres de usuarios.
  • Diccionario de passwords.

19
Adivinar contraseñas (3/3)
  • Contramedidas.
  • En el caso que el sistema NT salga a Internet
    debería bloquearse el acceso a los servicios TCP
    y UDP 135-139 en el cortafuegos perimetral o
    router.
  • Desactivar los enlaces WINS Client (TCP/IP) para
    cualquier adaptador conectado a redes públicas.
  • Estas medidas son buenas en el caso que no se
    pretenda dar servicio de archivos a máquinas del
    área local si se da el caso deberemos restringir
    el dominio que tiene acceso a estos servicios.

20
Cracking del SAM (1/4)
  • Una vez se ha conseguido acceso de Administrador,
    el atacante tiene acceso libre hacia el Security
    Accounts Manager (SAM)
  • NT guarda los datos del SAM en un archivo en el
    directorio
  • systemroot\system32\config\SAM
  • Este archivo se mantiene bloqueado mientras el
    sistema se ejecuta, impidiendo así su posible
    lectura.

21
Cracking del SAM (2/4)
  • Cómo obtener el SAM?
  • Arrancar el sistema objetivo con un sistema
    operativo distinto
  • Crear disco de arranque con el sistema DOS
    incluyendo utilidad de copia.
  • Incluir el controlador de sistemas de ficheros
    NTFS llamado NTFSDOS.
  • Montar la partición que está como root e copiar
    el archivo SAM.
  • Copiar la copia de seguridad del archivo SAM
  • En el momento que se ejecuta la Utilidad de
    reparación de NT rdisk con la opción /s, se
    creará una copia comprimida del SAM, denominada
    Sam._, en el directorio systemroot\repair
  • Descomprimir el archivo obtenido con el comando
    expand sam._ sam

22
Cracking del SAM (3/4)
  • Cómo extraer la información del SAM
  • Existen actualmente varios softwares que permiten
    leer la información del SAM
  • Pwdump es un binario para Windows que permite
    pasarle como argumento el SAM extraído y vuelca
    la información en un documento ASCII.
  • L0phtcrack es una utilidad que ofrece el grupo
    L0pht. Esta ofrece un automatismo superior,
    descomprimiendo y extrayendo la información del
    SAM automáticamente.

23
Cracking del SAM (4/4)
  • Contramedidas
  • No existe una contramedida real para este tipo de
    intrusión, pero sí podemos tomar una serie de
    precauciones
  • Siempre que se haga una copia de seguridad con la
    opción /s que guarda la información del SAM,
    borrar el directorio /repair en cuanto no se
    necesite.
  • Restringir el acceso a la parte del registro que
    guarda la información del SAM HLKM/Security/SAM/D
    omains/Account/Users
  • Auditar el acceso para cuentas SYSTEM del archivo
    SAM. Posteriormente en el Visor de Sucesos
    podremos ver como se ha accedido.

24
Borrar Huellas
  • Si el sistema atacado tiene las opciones de
    Auditoria activadas puede que delaten un acceso
    no deseado a la cuenta Administrador.
  • Para eliminar esta información existe un software
    NTRK (Microsoft) que tiene una utilidad al
    respecto
  • Auditpol nos permite activar/desactivar cambiar
    las opciones del auditor Auditpol /disable nos
    permite anular el registrador de sucesos.
  • También nos pueden interesar eliminar todo lo que
    haya recogido el registro de sucesos
  • Aunque se puede borrar tranquilamente con el
    mismo visor de sucesos, existe una utilidad
    elsave (Jesper Lauritsen) que permite eliminar
    todo rastro.

25
Escalada de privilegios (1/6)
  • En cuanto se ha localizado alguna cuenta con
    login y password, puede que esta no sea de
    Administrador, con lo que no podemos abrir sesión
    interactiva y consecuentemente no podremos
    ejecutar nada en el sistema atacado.
  • Debemos pues conseguir información de las cuentas
    que hemos tenido acceso para obtener privilegios
    en otras cuentas.

26
Escalada de privilegios (2/6)
  • Hoovering (Aspiración de información)
  • Llamado así porque consiste en rastrear
    meticulosamente las cuentas a las que tenemos
    acceso con el objetivo de recopilar información
    de otras cuentas, carpetas compartidas, etc.
  • Los objetivos a alcanzar serán
  • systemroot\system32 y \rapair, directorios del
    servidor FTP o de sitios web con permiso de
    escritura.
  • Se puede usar srvinfo de NTRK, para enumerar
    recursos compartidos.
  • Emplear la utilidad Find para buscar cadenas de
    caracteres de tipo password
  • Intentar el acceso al registro con regdmp (NTRK)
    o utilizar la opción Conectar al registro en red
    en regedit.

27
Escalada de Privilegios (3/6)
  • Getadmin
  • Utilidad escrita por Konstantin Sobolev que añade
    a un usuario al grupo de Administradores local.
  • Se debe ejecutar de forma local en el sistema
    objetivo.
  • Se ejecuta desde la línea de comandos con la
    sintaxis getadmin ltnombre-usuariogt.
  • Se debe volver a arrancar la máquina para gozar
    de los privilegios en la máquina.
  • Contramedida
  • Service Pack 3

28
Escalada de privilegios (4/6)
  • Sechole
  • Funciona de forma similar a getadmin, así pues
    añade a un usuario al actual grupo de
    Administradores de la máquina.
  • Tiene la posibilidad de ejecutarse remotamente si
    en la máquina se ejecuta Internet Information
    Server.
  • Se tiene que tener acceso al directorio IIS con
    permiso de escritura y de ejecución.
  • Cargar los ejecutables de sechole, las DLL
    asociadas, el intérprete de comandos de NT
    cmd.exe y el programa ntuser con el que se puede
    modificar los usuarios, los grupos y las
    directivas de seguridad.
  • Ejecutar el programa en un navegador mediante una
    URL adecuada.

29
Escalada de privilegios (5/6)
  • Utilizando la utilidad ntuser desde el própio
    navegador se añade un nuevo usuario con la
    siguiente URL
  • http//192.168.202.154/scripts/cmd.exe/c20c\inet
    pub\scripts\ntuser.exe?20-s20add20corp120add2
    0mallory20-password20secret
  • On corp1 seria el nombre del servidor,
    mallory como nombre de usuario y secret el
    password
  • De esta forma conseguimos obtener privilegios de
    Administrador de forma remota en una máquina.

30
Escalada de privilegios (6/6)
  • Existen tres contramedidas
  • Existe un parche desarrollado por Microsoft
    llamado priv-fix.
  • No asignar accesos con permiso de escritura a
    directorios ejecutables de su servidor de
    internet.
  • Se puede hacer bloqueando el acceso a los puertos
    135 y 139 del servidor.
  • Auditar los privilegios de ejecución en el
    sistema de archivos del servidor web

31
Troyanos
  • Son prógramas que aparentan realizar alguna
    función útil, pero, en realidad, ejecuta algo
    completamente diferente de forma oculta.
  • Se podría sustituir regedit.exe por un archivo
    por lotes denominado regedit.cmd, y cuando el
    Administrador llame a regedit, se lanzara el
    archivo por lotes ejecutando una tarea no
    deseada.
  • Contramedidas
  • No existe una contramedida especifica,
    simplemente fijarse en comportamientos extraños.

32
3.- Para acabar
  • Recomendaciones a tener en cuenta.

33
Recomendaciones (1/5)
  • Procurar no crear un sistema de arranque dual, es
    decir, que contenga dos o más particiones de
    disco con un sistema operativo distinto en cada
    una de ellas.
  • Para implementar los mayores niveles de
    seguridad, se debe intentar dar formato a las
    particiones Windows NT con el sistema NTFS. Este
    sistema implementa seguridad a nivel de archivo,
    cada archivo o directorio posee su lista de
    control de acceso y tiene conocimiento en todo
    momento de quien tiene derechos sobre él

34
Recomendaciones (2/5)
  • Conviene dar a cada uno de los usuarios del
    sistema unas ciertas normas sobre el uso de la
    máquina Lo que está y lo que no está permitido.
  • Administrador no hay más que uno. A medida que el
    número de administradores tiende a infinito, la
    funcionalidad en la máquina tiende a cero.

35
Recomendaciones (3/5)
  • Una buena política de passwords es conveniente
    obligar a cambiar el passwd cada 3 meses,
    chequear las passwds de los usuarios contra
    diccionarios para encontrar passwds fáciles, no
    dejar repetir passwds, etc.
  • Planifica y decide que protocolos necesitas en tu
    red y elimina desde el panel de control aquellos
    que no vayas a usar.

36
Recomendaciones (4/5)
  • Para realizar una instalación segura de una
    máquina Windows NT conectada a Internet debe
  • Evitar el uso del Sistema de archivos FAT (x86).
  • Elimine o renombre la cuenta de administrador.
  • Active la Auditoría del sistema.
  • Deshabilite transporte Netbios/NetBeui sobre
    TCP/IP.
  • Bloquee los puertos TCP/UDP de servicios no
    esenciales.
  • Deshabilite el privilegio de "Acceso desde la
    red"

37
Recomendaciones (5/5)
  • Utilize los últimos Service Packs.
  • No ejecute servicios innecesarios y evite
    aquellos que se ejecutan en un contexto de
    seguridad de cuenta de usuario.
  • Migre su red hacia arquitecturas conmutadas, en
    las que resulta mas difícil realizar escuchas que
    en las infraestructuras compartidas.
Write a Comment
User Comments (0)
About PowerShow.com