Title: Seguridad en Windows NT
1Seguridad en Windows NT
Antonio Buenosvinos Palomares (e6766739_at_est.fib.up
c.es)Ferran Falguera Martí (e3737526_at_est.fib.upc.
es)
2Contenido
- 1.- Conceptos básicos Mecanismos fundamentales
de segurdad del sistema NT. - 2.- Metodología del ataque Técnicas básicas
empleadas para el acceso al sistema. - 3.- Para acabar Recomendaciones a tener en
cuenta.
31.- Conceptos Básicos
- Mecanismos fundamentales de seguridad del sistema
NT.
4Contenido
- Introducción
- Administración de Cuentas
- Políticas de Passwords
- Permisos y derechos del Usuario
- Compartición de recursos de red
- Seguridad del registro
- Auditoría de eventos
- SAM
5Introducción (1/3)
- La seguridad en Windows NT es una combinación de
técnicas que aseguran un nivel de protección
consistente contra los accesos no deseados. - Para implementar la seguridad, tendremos que
proteger la red, el sistema operativo y los
datos. - La fácil instalación y manejo de NT, implican una
mala configuración inicial.
6Introducción (2/3)
- El administrador tendrá que sacrificar recursos
para aumentar la seguridad. - NT puede controlar los recursos de una o mas
estaciones de trabajo. - Cuando controle mas de una estación pasara a ser
un servidor de dominio.
7Introducción (3/3)
- Cuentas de usuarios
- Cuenta local de usuariopertenecen a una única
estación Windows NT. - Cuenta de dominio pertenecen al dominio en
cuestión. El procedimiento de login requiere, el
nombre de usuario y contraseña, y el dominio al
que se está haciendo login. - Cuentas de grupos
- Grupo local cuentas locales de usuarios y grupos
globales de otros dominios. - Grupo globalcuentas de dominio.
8Administración de Cuentas
- El NT gestiona tanto a usuarios como máquinas y
sus recursos. - NT debe validar la autentificación de los
usuarios y proveerlo de los recursos necesarios
para acceder al sistema. - La herramienta básica para administrar los
usuarios y grupos de un dominio es el programa
USRMGR.EXE, conocido por Administrador de
Usuarios para dominios.
9Políticas de Passwords
- El Administrador puede forzar a los usuarios a
cumplir ciertas reglas en la configuración de sus
cuentas. - Algunas de las medidas más utilizadas son
- Longitud máxima y mínima de la contraseña.
- Duración máxima de la contraseña.
- Histórico de la contraseña.
- Bloqueo tras sucesivos fallos de login.
- Combinación de caracteres en la contraseña.
10Permisos y derechos del Usuario
- Los permisos definen qué recursos pueden usar los
usuarios o grupos de usuarios. - Por defecto NT crea unos usuarios y unos grupos,
que son uno de los primeros puntos críticos que
el Administrador debe controlar. - Es conveniente revisar qué derechos tienen los
usuarios y grupos por defecto dentro del menú de
políticas de derechos de usuarios
11Seguridad del registro
- El registro es una base de datos que mantiene
información sobre la configuración hardware,
software y de entorno de la máquina. - Por lo que es conveniente
- Deshabilitar el acceso remoto al registro.
- Deshabilitar (poner a 0) si es necesario el
apagado del equipo. - Proteger adecuadamente el registro de usuarios no
autorizados. - Hacer copias periódicas del mismo con la utilidad
REGBACK.EXE
12Auditoría de eventos
- Las auditorías nos permiten rastrear los accesos
a los archivos u a otros objetos, reintentos de
inicio de sesión, apagados y encendidos del
sistema, etc - Hay que buscar un equilibrio entre los costes y
los beneficios derivados de la utilización de una
auditoría. - También tenemos que tener en cuenta el trabajo de
analizar la cantidad de información recogida por
estas auditorías. - Básicamente podemos hacer un seguimiento de las
actividades realizadas por el usuario.
13SAM
- Security Account Manager
- Es la base de datos donde se almacenan los
nombres de los usuarios y las contraseñas
encriptadas de todos los usuarios del sistema
local o del dominio. - Cuando el Sistema Operativo esta en
funcionamiento este archivo esta bloqueado. - Es el equivalente al /etc/passwd de UNIX.
142.- Metodología del ataque
- Técnicas básicas empleadas para el acceso al
sistema.
15Contenido
- A qué nos enfrentamos?
- Adivinar contraseñas
- Cracking del SAM
- Borrar huellas
- Escalada de privilegios
- Hoovering
- Getadmin
- Sechole
- Troyanos
16A qué nos enfrentamos?
- El uso de sesiones interactivas en NT está
restringido a cuentas administrativas, limitando
la capacidad del usuario de ejecutar programas en
la máquina atacada. - Cualquier atacante a este sistema que se precie,
debe buscar cuentas equivalentes al
Administrador. - Aunque existen herramientas que permiten
establecer sesiones, estas no son habituales - Back Orifice 2000
- Netbus
17Adivinar contraseñas (1/3)
- Adivinación manual
- Los usuarios tienden a escoger la contraseña más
fácil de recordar posible nombre-empresa,
propio-nombre, apellido, invitado
contraseña. - Por tanto, con una lista de usuarios conseguida
tras un escaneo de los dominios de la red con por
ejemplo DumpACL o sid2user, podemos intentar
acceder a alguna de las cuentas que aquí se nos
muestren.
18Adivinar contraseñas (2/3)
- Adivinación automática
- Tenemos herramientas para hacer esta tarea tan
tediosa automáticamente. - Herramientas como NAT, nos permiten hacer la
comprobación automática a partir de - Un rango de direcciones IP de clase C.
- Lista ne nombres de usuarios.
- Diccionario de passwords.
19Adivinar contraseñas (3/3)
- Contramedidas.
- En el caso que el sistema NT salga a Internet
debería bloquearse el acceso a los servicios TCP
y UDP 135-139 en el cortafuegos perimetral o
router. - Desactivar los enlaces WINS Client (TCP/IP) para
cualquier adaptador conectado a redes públicas. - Estas medidas son buenas en el caso que no se
pretenda dar servicio de archivos a máquinas del
área local si se da el caso deberemos restringir
el dominio que tiene acceso a estos servicios.
20Cracking del SAM (1/4)
- Una vez se ha conseguido acceso de Administrador,
el atacante tiene acceso libre hacia el Security
Accounts Manager (SAM) - NT guarda los datos del SAM en un archivo en el
directorio - systemroot\system32\config\SAM
- Este archivo se mantiene bloqueado mientras el
sistema se ejecuta, impidiendo así su posible
lectura.
21Cracking del SAM (2/4)
- Cómo obtener el SAM?
- Arrancar el sistema objetivo con un sistema
operativo distinto - Crear disco de arranque con el sistema DOS
incluyendo utilidad de copia. - Incluir el controlador de sistemas de ficheros
NTFS llamado NTFSDOS. - Montar la partición que está como root e copiar
el archivo SAM. - Copiar la copia de seguridad del archivo SAM
- En el momento que se ejecuta la Utilidad de
reparación de NT rdisk con la opción /s, se
creará una copia comprimida del SAM, denominada
Sam._, en el directorio systemroot\repair - Descomprimir el archivo obtenido con el comando
expand sam._ sam
22Cracking del SAM (3/4)
- Cómo extraer la información del SAM
- Existen actualmente varios softwares que permiten
leer la información del SAM - Pwdump es un binario para Windows que permite
pasarle como argumento el SAM extraído y vuelca
la información en un documento ASCII. - L0phtcrack es una utilidad que ofrece el grupo
L0pht. Esta ofrece un automatismo superior,
descomprimiendo y extrayendo la información del
SAM automáticamente.
23Cracking del SAM (4/4)
- Contramedidas
- No existe una contramedida real para este tipo de
intrusión, pero sí podemos tomar una serie de
precauciones - Siempre que se haga una copia de seguridad con la
opción /s que guarda la información del SAM,
borrar el directorio /repair en cuanto no se
necesite. - Restringir el acceso a la parte del registro que
guarda la información del SAM HLKM/Security/SAM/D
omains/Account/Users - Auditar el acceso para cuentas SYSTEM del archivo
SAM. Posteriormente en el Visor de Sucesos
podremos ver como se ha accedido.
24Borrar Huellas
- Si el sistema atacado tiene las opciones de
Auditoria activadas puede que delaten un acceso
no deseado a la cuenta Administrador. - Para eliminar esta información existe un software
NTRK (Microsoft) que tiene una utilidad al
respecto - Auditpol nos permite activar/desactivar cambiar
las opciones del auditor Auditpol /disable nos
permite anular el registrador de sucesos. - También nos pueden interesar eliminar todo lo que
haya recogido el registro de sucesos - Aunque se puede borrar tranquilamente con el
mismo visor de sucesos, existe una utilidad
elsave (Jesper Lauritsen) que permite eliminar
todo rastro.
25Escalada de privilegios (1/6)
- En cuanto se ha localizado alguna cuenta con
login y password, puede que esta no sea de
Administrador, con lo que no podemos abrir sesión
interactiva y consecuentemente no podremos
ejecutar nada en el sistema atacado. - Debemos pues conseguir información de las cuentas
que hemos tenido acceso para obtener privilegios
en otras cuentas.
26Escalada de privilegios (2/6)
- Hoovering (Aspiración de información)
- Llamado así porque consiste en rastrear
meticulosamente las cuentas a las que tenemos
acceso con el objetivo de recopilar información
de otras cuentas, carpetas compartidas, etc. - Los objetivos a alcanzar serán
- systemroot\system32 y \rapair, directorios del
servidor FTP o de sitios web con permiso de
escritura. - Se puede usar srvinfo de NTRK, para enumerar
recursos compartidos. - Emplear la utilidad Find para buscar cadenas de
caracteres de tipo password - Intentar el acceso al registro con regdmp (NTRK)
o utilizar la opción Conectar al registro en red
en regedit.
27Escalada de Privilegios (3/6)
- Getadmin
- Utilidad escrita por Konstantin Sobolev que añade
a un usuario al grupo de Administradores local. - Se debe ejecutar de forma local en el sistema
objetivo. - Se ejecuta desde la línea de comandos con la
sintaxis getadmin ltnombre-usuariogt. - Se debe volver a arrancar la máquina para gozar
de los privilegios en la máquina. - Contramedida
- Service Pack 3
28Escalada de privilegios (4/6)
- Sechole
- Funciona de forma similar a getadmin, así pues
añade a un usuario al actual grupo de
Administradores de la máquina. - Tiene la posibilidad de ejecutarse remotamente si
en la máquina se ejecuta Internet Information
Server. - Se tiene que tener acceso al directorio IIS con
permiso de escritura y de ejecución. - Cargar los ejecutables de sechole, las DLL
asociadas, el intérprete de comandos de NT
cmd.exe y el programa ntuser con el que se puede
modificar los usuarios, los grupos y las
directivas de seguridad. - Ejecutar el programa en un navegador mediante una
URL adecuada.
29Escalada de privilegios (5/6)
- Utilizando la utilidad ntuser desde el própio
navegador se añade un nuevo usuario con la
siguiente URL - http//192.168.202.154/scripts/cmd.exe/c20c\inet
pub\scripts\ntuser.exe?20-s20add20corp120add2
0mallory20-password20secret - On corp1 seria el nombre del servidor,
mallory como nombre de usuario y secret el
password - De esta forma conseguimos obtener privilegios de
Administrador de forma remota en una máquina.
30Escalada de privilegios (6/6)
- Existen tres contramedidas
- Existe un parche desarrollado por Microsoft
llamado priv-fix. - No asignar accesos con permiso de escritura a
directorios ejecutables de su servidor de
internet. - Se puede hacer bloqueando el acceso a los puertos
135 y 139 del servidor. - Auditar los privilegios de ejecución en el
sistema de archivos del servidor web
31Troyanos
- Son prógramas que aparentan realizar alguna
función útil, pero, en realidad, ejecuta algo
completamente diferente de forma oculta. - Se podría sustituir regedit.exe por un archivo
por lotes denominado regedit.cmd, y cuando el
Administrador llame a regedit, se lanzara el
archivo por lotes ejecutando una tarea no
deseada. - Contramedidas
- No existe una contramedida especifica,
simplemente fijarse en comportamientos extraños.
323.- Para acabar
- Recomendaciones a tener en cuenta.
33Recomendaciones (1/5)
- Procurar no crear un sistema de arranque dual, es
decir, que contenga dos o más particiones de
disco con un sistema operativo distinto en cada
una de ellas. - Para implementar los mayores niveles de
seguridad, se debe intentar dar formato a las
particiones Windows NT con el sistema NTFS. Este
sistema implementa seguridad a nivel de archivo,
cada archivo o directorio posee su lista de
control de acceso y tiene conocimiento en todo
momento de quien tiene derechos sobre él
34Recomendaciones (2/5)
- Conviene dar a cada uno de los usuarios del
sistema unas ciertas normas sobre el uso de la
máquina Lo que está y lo que no está permitido. - Administrador no hay más que uno. A medida que el
número de administradores tiende a infinito, la
funcionalidad en la máquina tiende a cero.
35Recomendaciones (3/5)
- Una buena política de passwords es conveniente
obligar a cambiar el passwd cada 3 meses,
chequear las passwds de los usuarios contra
diccionarios para encontrar passwds fáciles, no
dejar repetir passwds, etc. - Planifica y decide que protocolos necesitas en tu
red y elimina desde el panel de control aquellos
que no vayas a usar.
36Recomendaciones (4/5)
- Para realizar una instalación segura de una
máquina Windows NT conectada a Internet debe - Evitar el uso del Sistema de archivos FAT (x86).
- Elimine o renombre la cuenta de administrador.
- Active la Auditoría del sistema.
- Deshabilite transporte Netbios/NetBeui sobre
TCP/IP. - Bloquee los puertos TCP/UDP de servicios no
esenciales. - Deshabilite el privilegio de "Acceso desde la
red"
37Recomendaciones (5/5)
- Utilize los últimos Service Packs.
- No ejecute servicios innecesarios y evite
aquellos que se ejecutan en un contexto de
seguridad de cuenta de usuario. - Migre su red hacia arquitecturas conmutadas, en
las que resulta mas difícil realizar escuchas que
en las infraestructuras compartidas.