Comments 18
Суть атаки вовсе не в LLMNR или IPv6, она в NTLM. Обрубить любые механизмы mitm в сети не факт что вообще возможно, и рубить надо корень, а не веточки отламывать.
Как итог, нужно везде укреплять безопасность, а вот как это сделать в статье мало сказано, ребята рассказали как они классно умеют ломать домены. Про защиту ждем новую статью.
Безопасность должна быть комплексной
:). Это безусловно верное, но слабо влияющее на конкретные практические меры утверждение, как и большинство общих фраз. Есть очевидные и давно известные "узкие" места, которые относительно легко закрываются/ограничиваются, и есть глобальные проблемы, общего решения для которых просто не существует. Просто исходя из соотношения затрат к результатам сначала надо закрывать первое, и только потом второе. Второе без первого просто не имеет смысла, совсем. Так вот NTLM (и RC4 в kerberos) — первое, MITM — второе.
не будет у вас использоваться Kerberos-аутентификация если вы к шарам по IP подключаетесь (заметил, так любят делать сетевики).
Старые вредные привычки — тоже одна из основных угроз безопасности, да.
Подписывание SMB-пакетов может сделать недоступным для вас линуксовые шары (со старой версией самбы или отключенной подписью).
Если админы/безопасники не хотят работать — конечно, может. Но о какой безопасности тогда идет речь вообще? Есть, конечно, ситуации, когда ограничение старых небезопасных практик объективно сложно, но в сабже-то обсуждается пример сети, где не "старые линуксовые шары", а гомогенная среда на ОС последнего поколения, да еще и потратились на воплощение некоторых современных практик. Хотя, откровенно говоря, описанная ситуация мне кажется какой-то искусственной — сделать вот это всё и тупо забыть про NTLM, когда любая гуглоссылка по вопросам безопасности в виндовых доменах будет буквально кричать об этом...
Microsoft:
Важно! Протокол Интернета версии 6 ( IPv6 ) является обязательной частью Windows Vista и более поздних версий. Не рекомендуется отключить IPv6 или его компонентов, или некоторые компоненты Windows могут не работать.Кроме того при запуске системы будет задержано на 5 секунд при отключении IPv6, задав параметр реестра DisabledComponents значения 0xfffffffнеправильно. Правильным значением должно быть значение 0xff. Дополнительные сведения см. на вопрос «Каковы рекомендации корпорации Майкрософт об отключении IPv6 ?» IPv6 для Microsoft Windows: вопросы и ответы
(http://technet.microsoft.com/en-us/network/cc987595.aspx)
Официальная рекомендация, например, PCI DSS — если не используется — отключить. Именно из-за атак на компоненты, про которые никто не подумал.
Никогда не видел никаких проблем с 0xFF.
го совсем никак, будите понимать как оно работает и протестируете как оно на самом деле работает на вашем оборудовании и ПО.
Согласно http://technet.microsoft.com/ru-ru/network/cc987595.aspx без IP v6 не будут работать:
— DirectAccess
— HomeGroup in Windows 7
— Windows Meeting Space
На своем опыте столкнулся с проблемами при создании кластера при отключеном IP v6 (хотя IP v6 в сети не использовался).
Официальная рекомендация Microsoft — не отключать.
DA не использовал.
Небольшо обновление по DA
В чем же основные отличия версии DirectAccess в Windows Server 2012 / 2012 R2 от версии Windows 2008 R2. Основное отличие – снижение требований к смежной инфраструктуре. Так, например:
Сервер DirectAccess теперь не обязательно должен быть пограничным, теперь он может находиться за NAT.
В том случае, если в качестве удаленных клиентов используется Windows 8 Enterprise, разворачивать внутреннюю инфраструктуру PKI не обязательно (за аутентификацию клиентов будет отвечать Kerberos-прокси, расположенный на сервере DA)
Не обязательно стало наличие IPv6 во внутренней сети организации
Поддержка OTP (One Time Password) и NAP (Network Access Protection) без необходимости развёртывания UAG
Отличная статья. Ещё можно было бы добавить про пароли в GPP.
все доступные машины в домене были не ниже Windows10/Windows Server2016, и на них стояли все самые свежие патчи. Сеть регулярно сканировалась, машины хардились. Все пользователи сидели через токены и не знали свои «20-символьные пароли».
И при этом не был отключен или хотя бы ограничен NTLM, хотя "уж сколько раз твердили миру..."?
Используя учетные данные компьютера RORYOTGS$, мы можем выполнять легитимные запросы к контроллеру домена.
Вы их и так можете выполнять, используя те самые учетные данные, которые использовали для создания "компьютера". Я так навскидку не припомню, зачем может понадобиться именно учетка компьютера.
Harmj0y провел интересное исследование и выяснил, что если в свойствах пользователя указать поддержку шифрования только Kerberos AES128 и AES256, Kerberos-тикет все равно выдается с шифрованием RC4_HMAC_MD5.
Для этого не нужно никакое исследование, это прямо следует собственно из сути этих параметров и описано в документации. Они ни разу не указывают поддержку "только" AES, они просто устанавливают в AD флаги поддержки AES для этой учетки, и никак не трогают поддержку других типов шифрования. Это разрешающие параметры, а не запрещающие.
Атаки на домен