Geavanceerde Computernetwerken
From RygirWiki
Contents |
[edit] 2009-2010
[edit] Security : Intrusion detection systems
[edit] Opdracht
[edit] nmap
nmap -v -A 172.16.200.3(DMZ)(output)
Vond 2 poorten open.nmap -v -A 172.16.200.2(Gast)(output)
Vond geen poorten open.nmap -v -A 172.16.200.1(Intern)(output)
Vond geen poorten open.
Starting Nmap 4.50 ( http://insecure.org ) at 2009-11-16 12:53 GMT
Initiating ARP Ping Scan at 12:53
Scanning 172.16.200.1 [1 port]
Completed ARP Ping Scan at 12:53, 0.01s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 12:53
Completed Parallel DNS resolution of 1 host. at 12:53, 0.07s elapsed
Initiating SYN Stealth Scan at 12:53
Scanning 172.16.200.1 [1711 ports]
Completed SYN Stealth Scan at 12:53, 36.55s elapsed (1711 total ports)
Initiating Service scan at 12:53
Initiating OS detection (try #1) against 172.16.200.1
Retrying OS detection (try #2) against 172.16.200.1
SCRIPT ENGINE: Initiating script scanning.
Host 172.16.200.1 appears to be up ... good.
All 1711 scanned ports on 172.16.200.1 are filtered
MAC Address: 00:50:BA:79:44:B0 (D-link)
Too many fingerprints match this host to give specific OS details
Network Distance: 1 hop
Read data files from: /usr/local/share/nmap
OS and Service detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 39.493 seconds
Raw packets sent: 3471 (157.282KB) | Rcvd: 1 (42B)
[edit] httprint
Ik heb gezocht achter een http-server fingerprint utility
Ik heb op volgende site http://www.darknet.org.uk/2007/09/httprint-v301-web-server-fingerprinting-tool-download/
HTTPRINT gevonden. Deze gedownload en uitgevoerd.
De volgende regel in commandline zoekt achter de fingerprint van de webserver (de -P0 was nodig omdat pingen geblokt wordt door PF en deze tool zonder dit denkt dat hier geen host staat)
httprint -h 172.16.200.3 -s signatures.txt -P0
Deze gaf volgende output waarin duidelijk te zien is welke server hier gebruikt wordt (de regels erachetr laten de overeenkomst zien met andere webservers, hits en percentage) :
httprint v0.301 (beta) - web server fingerprinting tool
(c) 2003-2005 net-square solutions pvt. ltd. - see readme.txt
http://net-square.com/httprint/
httprint@net-square.com
Finger Printing on http://172.16.200.3:80/
Finger Printing Completed on http://172.16.200.3:80/
--------------------------------------------------
Host: 172.16.200.3
Derived Signature:
TinyWeb/1.93
811C9DC5E2CE6920811C9DC5811C9DC5811C9DC5505FCFE84276E4BBC184CB92
0D7645B5811C9DC52A200B4C811C9DC5811C9DC5811C9DC5B06FE5D7811C9DC5
E2CE6920E2CE6923E2CE6923811C9DC568D17AAE811C9DC56ED3C295811C9DC5
E2CE6920E2CE69202A200B4C6ED3C2956ED3C2956ED3C2956ED3C2956ED3C295
6ED3C2956ED3C295811C9DC5E2CE6920E2CE6920
Banner Reported: TinyWeb/1.93
Banner Deduced: WebSitePro/2.3.18
Score: 76
Confidence: 45.78
------------------------
Scores:
WebSitePro/2.3.18: 76 45.78
TUX/2.0 (Linux): 73 39.44
JRun Web Server: 68 30.16
Com21 Cable Modem: 66 26.89
Microsoft-IIS/5.0 ASP.NET: 65 25.34
Microsoft-IIS/5.1: 65 25.34
Netscape-Enterprise/4.1: 63 22.41
Apache/2.0.x: 63 22.41
Apache/1.3.26: 62 21.03
Apache/1.3.27: 61 19.70
VisualRoute 2005 Server Edition: 61 19.70
Apache/1.3.[4-24]: 60 18.43
SMC Wireless Router 7004VWBR: 59 17.21
AOLserver/3.5.6: 58 16.04
EMWHTTPD/1.0: 58 16.04
dwhttpd (Sun Answerbook): 58 16.04
IDS-Server/3.2.2: 58 16.04
Belkin Wireless router: 56 13.85
Microsoft-IIS/5.0: 55 12.83
Apache/1.3.[1-3]: 55 12.83
Apache/1.2.6: 55 12.83
Intel NetportExpressPro/1.0: 55 12.83
Apache-Tomcat/4.1.29: 53 10.93
Oracle Servlet Engine: 50 8.41
Jetty (unverified): 48 6.94
Surgemail webmail (DManager): 48 6.94
Linksys WRTP54G: 48 6.94
Netscape-Enterprise/3.6 SP2: 47 6.27
MikroTik RouterOS: 47 6.27
CompaqHTTPServer/1.0: 46 5.64
AssureLogic/2.0: 46 5.64
Microsoft-IIS/4.0: 45 5.04
Microsoft-IIS/6.0: 45 5.04
MiniServ/0.01 Webmin: 45 5.04
TightVNC: 45 5.04
Allied Telesyn Ethernet switch: 45 5.04
Lexmark Optra Printer: 45 5.04
RealVNC/4.0: 45 5.04
JC-HTTPD/1.14.18: 45 5.04
Netscape-Enterprise/3.5.1G: 43 3.95
Microsoft ISA Server (external): 43 3.95
Agranat-EmWeb: 41 3.00
Boa/0.94.11: 41 3.00
Netscape-Enterprise/3.5.1: 40 2.58
thttpd: 38 1.82
Tanberg 880 video conf: 38 1.82
Orion/2.0x: 36 1.18
Xerver_v3: 35 0.90
BaseHTTP/0.3 Python/2p3.3 edna/0.4: 35 0.90
Ipswitch-IMail/8.12: 35 0.90
Zeus/4.0: 21 0.76
Lotus-Domino/6.x: 21 0.76
HP-ChaiServer/3.0: 21 0.76
cisco-IOS: 21 0.76
Hewlett Packard xjet: 20 0.76
HP Jet-Direct Print Server: 20 0.76
Netgear MR814v2 - IP_SHARER WEB 1.0: 20 0.76
Microsoft-IIS/URLScan: 22 0.75
MiniServ/0.01: 22 0.75
Zeus/4_2: 23 0.73
AOLserver/3.4.2-3.5.1: 23 0.73
Jana Server/1.45: 23 0.73
SunONE WebServer 6.0: 24 0.69
CompaqHTTPServer-SSL/4.2: 34 0.65
GWS/2.1 Google Web Server: 15 0.62
Netscape-Enterprise/3.6: 13 0.53
Linksys Print Server: 13 0.53
ServletExec: 27 0.49
fnord: 12 0.48
Microsoft ISA Server (internal): 12 0.48
Microsoft-IIS/5.0 Virtual Host: 12 0.48
WebSENSE/1.0: 12 0.48
squid/2.5.STABLE5: 12 0.48
Netscape-Enterprise/4.1: 11 0.42
RemotelyAnywhere: 11 0.42
Cisco-HTTP: 11 0.42
3Com/v1.0: 11 0.42
Oracle XML DB/Oracle9i: 11 0.42
Cisco Pix 6.2: 11 0.42
Netscape-Enterprise/6.0: 33 0.42
CompaqHTTPServer/4.2: 33 0.42
AkamaiGHost: 33 0.42
Domino-Go-Webserver/4.6.2.8: 28 0.39
Stronghold/4.0-Apache/1.3.x: 28 0.39
Stronghold/2.4.2-Apache/1.3.x: 28 0.39
Zeus/4.1: 10 0.37
Linksys AP2: 10 0.37
NetWare-Enterprise-Web-Server/5.1: 10 0.37
WebLogic Server 8.x: 10 0.37
WebLogic Server 8.1: 10 0.37
Zope/2.6.0 ZServer/1.1b1: 10 0.37
Jetty/4.2.2: 10 0.37
RomPager/4.07 UPnP/1.0: 10 0.37
Linksys with Talisman firmware: 10 0.37
Tcl-Webserver/3.4.2: 10 0.37
WebLogic XMLX Module 8.1: 30 0.13
Lotus-Domino/5.x: 0 0.00
Linksys AP1: 0 0.00
Linksys Router: 0 0.00
EHTTP/1.1: 0 0.00
Snap Appliances, Inc./3.x: 0 0.00
NetBuilderHTTPDv0.1: 0 0.00
NetPort Software 1.1: 0 0.00
Tomcat Web Server/3.2.3: 0 0.00
Linksys BEFSR41/BEFSR11/BEFSRU31: 0 0.00
Ubicom/1.1: 0 0.00
Resin/3.0.8: 0 0.00
Adaptec ASM 1.1: 0 0.00
MailEnable-HTTP/5.0: 0 0.00
Ubicom/1.1 802.11b: 0 0.00
--------------------------------------------------
IDS output :
[root@easyids1 ~]# tail -f /var/log/messages -n0
Nov 16 06:24:12 easyids1 snort[3698]: [1:384:5] ICMP PING [Classification: Misc activity] [Priority: 3]: {ICMP} 172.16.0.71 -> 172.16.200.3
Nov 16 06:25:15 easyids1 snort[3698]: [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING[Priority: 3]: {TCP} 172.16.0.71:35156 -> 172.16.200.3:80
Nov 16 06:25:35 easyids1 snort[3698]: [119:18:1] (http_inspect) WEBROOT DIRECTORY TRAVERSAL[Priority: 3]: {TCP} 172.16.0.71:48820 -> 172.16.200.3:80
[edit] Tinyweb exploit
We hebben volgende exploit gevonden en gebruikt (Perl code)
A vulnerability in TinyWeb allows remote attackers to cause the server to crash by sending it a special request. The following exploit code can be used to test your system for the mentioned vulnerability.
http://milw0rm.com/exploits/782
Deze uitgevoerd met "perl tiny.pl 172.16.200.3" Ze lukte niet wegens versie 1.9.3 wordt gebruikt die sinds die versie volgende update hebben gebracht :
Description: Ziv Kamir has discovered a vulnerability in TinyWEB, which can be exploited by malicious people to download or disclose the content of files in the "cgi-bin/" directory. The vulnerability is caused due to an input validation error, which causes content in "cgi-bin/" to be treated as non-executable files. Example: http://[victim]/./cgi-bin/[some_file] The vulnerability has been confirmed in version 1.92. Other versions may also be affected.
Helaas was hier niets van te detecteren in IDS...
[edit] hping
hping syn flood attack (info hping syn flood, hieronder outputvoorbeeld van 22 lines)
bt ~ # hping -i u1 -S -p 80 172.16.200.3
HPING 172.16.200.3 (eth0 172.16.200.3): S set, 40 headers + 0 data bytes
len=46 ip=172.16.200.3 ttl=127 DF id=20945 sport=80 flags=SA seq=0 win=65535 rtt=0.7 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20946 sport=80 flags=SA seq=1 win=65535 rtt=1.7 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20947 sport=80 flags=SA seq=2 win=65535 rtt=1.8 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20948 sport=80 flags=SA seq=3 win=65535 rtt=1.7 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20949 sport=80 flags=SA seq=4 win=65535 rtt=1.7 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20950 sport=80 flags=SA seq=5 win=65535 rtt=1.7 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20951 sport=80 flags=SA seq=6 win=65535 rtt=1.7 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20952 sport=80 flags=SA seq=7 win=65535 rtt=1.8 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20953 sport=80 flags=SA seq=8 win=65535 rtt=1.7 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20954 sport=80 flags=SA seq=9 win=65535 rtt=1.7 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20955 sport=80 flags=SA seq=10 win=65535 rtt=2.1 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20956 sport=80 flags=SA seq=11 win=65535 rtt=2.7 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20957 sport=80 flags=SA seq=12 win=65535 rtt=1.9 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20958 sport=80 flags=SA seq=13 win=65535 rtt=1.7 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20959 sport=80 flags=SA seq=14 win=65535 rtt=1.8 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20960 sport=80 flags=SA seq=15 win=65535 rtt=1.7 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20961 sport=80 flags=SA seq=16 win=65535 rtt=1.7 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20962 sport=80 flags=SA seq=17 win=65535 rtt=1.8 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20963 sport=80 flags=SA seq=18 win=65535 rtt=1.7 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20964 sport=80 flags=SA seq=19 win=65535 rtt=1.8 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20965 sport=80 flags=SA seq=20 win=65535 rtt=1.7 ms
len=46 ip=172.16.200.3 ttl=127 DF id=20966 sport=80 flags=SA seq=21 win=65535 rtt=2.1 ms
--- 172.16.200.3 hping statistic ---
24 packets tramitted, 22 packets received, 9% packet loss
round-trip min/avg/max = 0.7/1.8/2.7 ms
len=46 ip=172.16.200.3 ttl=127 DF id=45944 sport=80 flags=SA seq=53821 win=65535 rtt=3.5 ms
len=46 ip=172.16.200.3 ttl=127 DF id=45945 sport=80 flags=SA seq=53822 win=65535 rtt=3.5 ms
len=46 ip=172.16.200.3 ttl=127 DF id=45946 sport=80 flags=SA seq=53823 win=65535 rtt=3.5 ms
len=46 ip=172.16.200.3 ttl=127 DF id=45947 sport=80 flags=SA seq=53824 win=65535 rtt=3.5 ms
ICMP Host Unreachable from ip=172.16.200.1 name=UNKNOWN
len=46 ip=172.16.200.3 ttl=127 DF id=45948 sport=80 flags=SA seq=54057 win=65535 rtt=2.5 ms
--- 172.16.200.3 hping statistic ---
54648 packets tramitted, 24965 packets received, 55% packet loss
round-trip min/avg/max = 0.7/6.6/40.1 ms
Resultaat: IDS heeft niks gedetecteerd, we hebben wel last ondervonden van onderbrekingen in de dienst, de webserver was namelijk niet bereikbaar met tussenpauzes.
[edit] hping3
voor SYN en FIN tegelijk aan te zetten
hping3 172.16.200.3 -p 80 -S -F
HPING 172.16.200.3 (eth0 172.16.200.3): SF set, 40 headers + 0 data bytes
len=46 ip=172.16.200.3 ttl=127 DF id=54713 sport=80 flags=SA seq=0 win=65535 rtt=1.6 ms
len=46 ip=172.16.200.3 ttl=127 DF id=54715 sport=80 flags=SA seq=1 win=65535 rtt=1.7 ms
len=46 ip=172.16.200.3 ttl=127 DF id=54717 sport=80 flags=SA seq=2 win=65535 rtt=1.7 ms
len=46 ip=172.16.200.3 ttl=127 DF id=54720 sport=80 flags=SA seq=3 win=65535 rtt=1.7 ms
len=46 ip=172.16.200.3 ttl=127 DF id=54722 sport=80 flags=SA seq=4 win=65535 rtt=1.7 ms
len=46 ip=172.16.200.3 ttl=127 DF id=54724 sport=80 flags=SA seq=5 win=65535 rtt=1.7 ms
len=46 ip=172.16.200.3 ttl=127 DF id=54725 sport=80 flags=SA seq=6 win=65535 rtt=1.6 ms
len=46 ip=172.16.200.3 ttl=127 DF id=54728 sport=80 flags=SA seq=7 win=65535 rtt=1.6 ms
len=46 ip=172.16.200.3 ttl=127 DF id=54729 sport=80 flags=SA seq=8 win=65535 rtt=1.6 ms
len=46 ip=172.16.200.3 ttl=127 DF id=54730 sport=80 flags=SA seq=9 win=65535 rtt=1.6 ms
len=46 ip=172.16.200.3 ttl=127 DF id=54731 sport=80 flags=SA seq=10 win=65535 rtt=1.6 ms
len=46 ip=172.16.200.3 ttl=127 DF id=54733 sport=80 flags=SA seq=11 win=65535 rtt=1.6 ms
len=46 ip=172.16.200.3 ttl=127 DF id=54734 sport=80 flags=SA seq=12 win=65535 rtt=2.5 ms
len=46 ip=172.16.200.3 ttl=127 DF id=54735 sport=80 flags=SA seq=13 win=65535 rtt=2.5 ms
len=46 ip=172.16.200.3 ttl=127 DF id=54736 sport=80 flags=SA seq=14 win=65535 rtt=2.5 ms
len=46 ip=172.16.200.3 ttl=127 DF id=54737 sport=80 flags=SA seq=15 win=65535 rtt=2.5 ms
len=46 ip=172.16.200.3 ttl=127 DF id=54738 sport=80 flags=SA seq=16 win=65535 rtt=2.5 ms
len=46 ip=172.16.200.3 ttl=127 DF id=54739 sport=80 flags=SA seq=17 win=65535 rtt=2.5 ms
len=46 ip=172.16.200.3 ttl=127 DF id=54741 sport=80 flags=SA seq=18 win=65535 rtt=2.4 ms
--- 172.16.200.3 hping statistic ---
19 packets tramitted, 19 packets received, 0% packet loss
round-trip min/avg/max = 1.6/1.9/2.5 ms
EasyIDS detecteerde dit als volgt :
[root@easyids1 ~]# tail -f /var/log/messages -n0
Nov 17 04:39:59 easyids1 snort[3698]: [1:624:7] SCAN SYN FIN [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:2341 -> 172.16.200.3:80
Nov 17 04:40:00 easyids1 snort[3698]: [1:624:7] SCAN SYN FIN [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:2342 -> 172.16.200.3:80
Nov 17 04:40:01 easyids1 snort[3698]: [1:624:7] SCAN SYN FIN [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:2343 -> 172.16.200.3:80
Nov 17 04:40:02 easyids1 snort[3698]: [1:624:7] SCAN SYN FIN [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:2344 -> 172.16.200.3:80
Nov 17 04:40:03 easyids1 snort[3698]: [1:624:7] SCAN SYN FIN [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:2345 -> 172.16.200.3:80
Nov 17 04:40:04 easyids1 snort[3698]: [1:624:7] SCAN SYN FIN [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:2346 -> 172.16.200.3:80
Nov 17 04:40:05 easyids1 snort[3698]: [1:624:7] SCAN SYN FIN [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:2347 -> 172.16.200.3:80
Nov 17 04:40:06 easyids1 snort[3698]: [1:624:7] SCAN SYN FIN [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:2348 -> 172.16.200.3:80
Nov 17 04:40:07 easyids1 snort[3698]: [1:624:7] SCAN SYN FIN [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:2349 -> 172.16.200.3:80
Nov 17 04:40:08 easyids1 snort[3698]: [1:624:7] SCAN SYN FIN [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:2350 -> 172.16.200.3:80
Nov 17 04:40:09 easyids1 snort[3698]: [1:624:7] SCAN SYN FIN [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:2351 -> 172.16.200.3:80
Nov 17 04:40:10 easyids1 snort[3698]: [1:624:7] SCAN SYN FIN [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:2352 -> 172.16.200.3:80
Nov 17 04:40:11 easyids1 snort[3698]: [1:624:7] SCAN SYN FIN [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:2353 -> 172.16.200.3:80
Nov 17 04:40:12 easyids1 snort[3698]: [1:624:7] SCAN SYN FIN [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:2354 -> 172.16.200.3:80
Nov 17 04:40:13 easyids1 snort[3698]: [1:624:7] SCAN SYN FIN [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:2355 -> 172.16.200.3:80
Nov 17 04:40:14 easyids1 snort[3698]: [1:624:7] SCAN SYN FIN [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:2356 -> 172.16.200.3:80
Nov 17 04:40:15 easyids1 snort[3698]: [1:624:7] SCAN SYN FIN [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:2357 -> 172.16.200.3:80
Nov 17 04:40:16 easyids1 snort[3698]: [1:624:7] SCAN SYN FIN [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:2358 -> 172.16.200.3:80
Nov 17 04:40:17 easyids1 snort[3698]: [1:624:7] SCAN SYN FIN [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:2359 -> 172.16.200.3:80
voor zelfs address spoofing te doen :
hping3 172.16.200.3 -p 80 -a 192.168.1.1 -S -i u1
HPING 172.16.200.3 (eth0 172.16.200.3): S set, 40 headers + 0 data bytes
--- 172.16.200.3 hping statistic ---
10247 packets tramitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
result : server not found zolang dit loopt...
[edit] LANguard
LANguard Network Scanner v(2.0) Dit om het LAN de verkennen. Resultaat van 172.16.200.3 :
NETBIOS discovery ...
Done sending, waiting for responses ...
SNMP discovery ...
Community string : public
Done sending, waiting for responses ...
ICMP sweep ... (PING !)
Done sending, waiting for responses ...
NETBIOS discovery ...
Done sending, waiting for responses ...
SNMP discovery ...
Community string : public
Done sending, waiting for responses ...
ICMP sweep ... (PING !)
Done sending, waiting for responses ...
NETBIOS discovery ...
Done sending, waiting for responses ...
SNMP discovery ...
Community string : public
Done sending, waiting for responses ...
ICMP sweep ... (PING !)
Done sending, waiting for responses ...
NETBIOS discovery ...
Done sending, waiting for responses ...
SNMP discovery ...
Community string : public
Done sending, waiting for responses ...
ICMP sweep ... (PING !)
Done sending, waiting for responses ...
NETBIOS discovery ...
Done sending, waiting for responses ...
SNMP discovery ...
Community string : public
Done sending, waiting for responses ...
ICMP sweep ... (PING !)
Done sending, waiting for responses ...
Ready
No computers found.
Ready
Resultaat van IDS is :output
Resultaat van 172.16.200.1 :
NETBIOS discovery ...
Done sending, waiting for responses ...
SNMP discovery ...
Community string : public
Done sending, waiting for responses ...
ICMP sweep ... (PING !)
Done sending, waiting for responses ...
NETBIOS discovery ...
Done sending, waiting for responses ...
SNMP discovery ...
Community string : public
Done sending, waiting for responses ...
ICMP sweep ... (PING !)
Done sending, waiting for responses ...
NETBIOS discovery ...
Done sending, waiting for responses ...
SNMP discovery ...
Community string : public
Done sending, waiting for responses ...
ICMP sweep ... (PING !)
Done sending, waiting for responses ...
NETBIOS discovery ...
Done sending, waiting for responses ...
SNMP discovery ...
Community string : public
Done sending, waiting for responses ...
ICMP sweep ... (PING !)
Done sending, waiting for responses ...
NETBIOS discovery ...
Done sending, waiting for responses ...
SNMP discovery ...
Community string : public
Done sending, waiting for responses ...
ICMP sweep ... (PING !)
Done sending, waiting for responses ...
Ready
No computers found.
Ready
Resultaat van IDS is :output
[edit] Verslag
Een IDS detecteert patronen in het netwerkverkeer die kunnen duiden op kwaadaardig opzet of op zijn minst ongewenst gedrag. Specifiek beweert EasyIDS onder andere buffer overflows, stealth port scans, web application attacks, en OS fingerprinting pogingen te detecteren.
Onze pogingen om gedetecteerd te worden vallen binnen deze groepen van aanvallen en pogingen om het netwerk af te tasten, dus kunnen we een idee krijgen van hoeveel vertrouwen men kan plaatsen in hun beweringen. Sommige van onze aanvalspogingen vielen in het water door de firewall of ze waren op z'n minst stevig afgezwakt, niettemin zouden ze gedetecteerd moeten worden.
Een factor die van grote invloed is op het nut van een IDS is Noise, veroorzaakt door software bugs, datacorruptie of verkeer dat ergens is beland waar het niet thuis hoort of andere oorzaken. Deze kunnen namelijk een grote stortvloed aan "false positives" veroorzaken dus hebben we gekeken naar de uitvoer van EasyIDS zonder dat we pogingen ondernamen. Deze is steeds maagdelijk blanco gebleven waardoor we met redelijk vertrouwen hebben aangenomen dat alle uitvoer een reactie op onze pogingen was.
Het spreekt voor zich dat netwerkverkeer dat de IDS niet bereikt niet gedetecteerd wordt, intern verkeer zal dus onder normale omstandigheden nooit gedetecteerd worden, en dat hebben we dan ook niet expliciet getest.
We hebben een aantal varianten op nmap portscans geprobeerd, deze nmap opdrachten werden steeds gedecteerd door het IDS :
Nov 16 06:54:10 easyids1 snort[3698]: [1:1228:7] SCAN nmap XMAS [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:43487 -> 172.16.200.1:37033
Nov 16 06:54:12 easyids1 snort[3698]: [1:365:8] ICMP PING undefined code [Classification: Misc activity] [Priority: 3]: {ICMP} 172.16.0.71 -> 172.16.200.1
Nov 16 06:54:12 easyids1 snort[3698]: [1:384:5] ICMP PING [Classification: Misc activity] [Priority: 3]: {ICMP} 172.16.0.71 -> 172.16.200.1
We merken aan de uitvoer dat hij zelfs nmap herkent heeft en kunnen dus besluiten dat nmap en portscans in het algemeen snel tegen de lamp lopen. Het is niet uitgesloten dat een voorzichtigere aanpak met nmap alsnog door de mazen van het net kan glippen, ons is het in ieder geval niet gelukt om nmap zich behoedzaam genoeg te laten gedragen om niet opgemerkt te worden.
Vervolgens hebben we httprint aan het werk gezet, in een (overbodige, maar realistische) poging om te achterhalen welke webserver er werd gebruikt. Dit is namelijk een http-server fingerprint utility die op basis van responses op een aantal opdrachten kan achterhalen welke webserver het betreft.
EasyIDS had ons echter direct in de gaten, zo blijkt uit de volgende uitvoer :
Nov 16 06:24:12 easyids1 snort[3698]: [1:384:5] ICMP PING [Classification: Misc activity] [Priority: 3]: {ICMP} 172.16.0.71 -> 172.16.200.3
Nov 16 06:25:15 easyids1 snort[3698]: [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING[Priority: 3]: {TCP} 172.16.0.71:35156 -> 172.16.200.3:80
Nov 16 06:25:35 easyids1 snort[3698]: [119:18:1] (http_inspect) WEBROOT DIRECTORY TRAVERSAL[Priority: 3]: {TCP} 172.16.0.71:48820 -> 172.16.200.3:80
Het valt ons op dat pogingen om wijzer te worden over het netwerk vrij consistent ontdekt worden. Dit maakt het al een stuk moeilijker voor iemand die geen "inside knowledge" heeft om binnen te raken zonder opgemerkt te worden.
Na onze inspectiepogingen leek het een goed moment om eens een gerichte aanval te proberen. We vonden een Tinyweb exploit (http://milw0rm.com/exploits/782) die we hebben losgelaten op onze webserver. Helaas was hier niets van te zien in de logs van IDS. Dit hoeft op zich niet te verbazen, want net zoals een virusscanner moet het IDS systeem hiervoor voorzien zijn van "signatures" om deze te detecteren. EasyIDS zou deze mogelijkheid moeten bieden maar uit onze bevindingen blijkt alvast dat deze exploit niet bij de signatures zat die op onze EasyIDS machine geïnstalleerd zijn. Dit is dan ook meteen een gekend nadeel van IDS : de nood aan signature updates. Veel aanvallen zijn immers gericht op specifieke versies van software (met vaak verouderde versies die geinstalleerd zijn en dus gekende zwakke punten hebben). Daarom is er nood aan constant bijgewerkte set van signatures om deze dreiging het hoofd te bieden. Een verouderde signature database kan een IDS dan ook kwetsbaar maken voor nieuwe aanvallen.
De aanval lukte overigens niet omdat de fout waarvan we misbruik trachten te maken al is opgelost in de versie 1.9.3 die we ter beschikking hadden, maar dat wist EasyIDS niet.
Daarna zijn we overgegaan op algemenere DDOS aanvallen, zoals een syn flood attack met hping. EasyIDS heeft hiervan niks gedetecteerd ondanks dat we bevestiging kregen van de juistheid van onze aanval : de webserver was namelijk niet bereikbaar, met tussenpauzes.
Dit lijkt ons een vrij ernstige tekortkoming, we konden een succesvolle aanval uitvoeren zonder gedecteerd te worden die niet gebruik maakt van enigerlei software fout. Typisch voor aanvallen die niet gedecteerd worden is dat er te weinig aanvallen zijn, waardoor ze niet boven de "false-alarm" drempel uit komen en dus genegeerd worden. Dit kan hier echter niet het geval zijn vermits we een niet aflatende stroom van identieke pakketten hebben zien doorkomen met Wireshark. Mogelijk moet het IDS systeem meer informatie hebben over het doelsysteem om een goed onderscheid te kunnen maken tussen een "populair" systeem en eentje dat overbelast wordt. Het is immers niet ondenkbaar dat er gewoon zeer veel connecties gemaakt worden naar een bepaalde server.
Ook hier is het onwaarschijnlijk dat het niet gedecteerd werd omwille van een te klein aantal aanvallen, er zijn meer dan 10 000 pakketten verstuurd.
Vervolgens hebben we met hping3 gespeeld, om te kijken wat het IDS doet met onzinnige pakketten zoals bvb wanneer we SYN en FIN tegelijk aan zetten.
EasyIDS lijkt dit niet aanvaardbaar te vinden zoals we gehoopt hadden want in de logs vonden we :
Nov 17 04:40:06 easyids1 snort[3698]: [1:624:7] SCAN SYN FIN [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 172.16.0.71:2348 -> 172.16.200.3:80
Een zeer duidelijke beschrijving van onze aanval.
Omdat ons IP address steeds als een beschuldigende vinger in onze richting opdook in de logs hebben we een DOS aanval uitgevoerd terwijl we gebruik maakten van address spoofing. We hebben adressen zowel van de internet range geprobeerd als van de interne netwerken, en vreemd genoeg werd geen enkele gedecteerd. Erger nog, als we bijvoorbeeld de volgende opdracht uitvoerden :
hping3 172.16.200.3 -p 80 -a 192.168.1.1 -S -i u1
Dan was het doelsysteem compleet onbereikbaar, "server not found", zolang de opdracht liep. Dit was dan ook onze meest succesvolle aanval, een complete denial of service, die niet gedetecteerd werd! Een deel van de verklaring hier is dat EasyIDS onvoldoende wist over de indeling van onze LANs en dus niet kon oordelen over het address spoofen. Ook was dit een (bewust) lek in onze firewall configuratie. Toch zou een dergelijke vloedgolf aan pakketten de aandacht wel mogen trekken.
Als laatste een variant van het netwerk profileren genre: LANguard Network Scanner v(2.0).
De uitvoer hiervan stelde nogal teleur, toen we de DMZ range scanden :
SNMP discovery ... Community string : public Done sending, waiting for responses ... ICMP sweep ... (PING !) Done sending, waiting for responses ... Ready No computers found. Ready
Hij vond dus niets, ondanks dat er toch duidelijk een webserver was. Niettemin heeft IDS hem wel gevonden, met een hele resem logvermeldingen zoals :
Nov 17 04:00:41 easyids1 snort[3698]: [1:417:5] ICMP Information Request [Classification: Misc activity] [Priority: 3]: {ICMP} 172.16.0.71 -> 172.16.200.3
Als een bevestiging op onze eerdere ervaringen stellen we ook hier weer vast dat pogingen om informatie over het doelnetwerk te bekomen snel een rood licht zullen doen branden.
We hebben gemerkt dat als we te specifiek gingen met onze aanvallen de IDS zich van geen kwaad bewust was. Pogingen tot informatievergaring zoals fingerprinting van applicaties zijn zeer riskant met een IDS in de buurt (hoewel een standaard ping geen problemen lijkt te geven). DOS aanvallen lijken echter verdacht succesvol te zijn. Hiertegen zijn we dan ook onvoldoende gewapend met de huidige setup.
Voor eventueel meer details over de gebruikte commando's en de uitvoer van de programma's, zie http://rygir.net/wiki/index.php?title=Geavanceerde_Computernetwerken . [Dit verslag op een eigen pagina]
[edit] Authenticatie : 802.1x
Zie meer info in manual.
[edit] Opdracht 1
config vlan default delete 1,33-48
create vlan radius tag 2
create vlan internet tag 3
config vlan radius add untagged 1
config vlan internet add untagged 33-48
create ipif sw2radius 192.168.0.2/24 radius
#enabled by default... enable ipif sw2radius
enable 802.1x
config 802.1x auth_mode port_based
config 802.1x capability ports 48 authenticator
config radius add 1 192.168.0.1 key gcn default
config 802.1x init port_based ports 48
#zorgt voor dat auth via radius moet gebeuren... config 802.1x auth_parameter ports 48 port_control auto
