Bezpečnost novell netwaru

Tak jsem se rozhodl napsat clanek o (ne)bezpecnosti NetWare, protoze 99% siti, ktere jsem videl maji zavazne bezpecnostni nedostatky (a supervisitori s tim nechteji nic delat, jsou vetsinou BFA) - KATASTROFA. Nemyslim si, ze netware je nebezpecny system, prave naopak, ale musi byt dobre nakonfigurovany. Tento clanek jiz vysel v Netmagu (http://netmag.cz/), toto je jeho upravena verze. Cele je to jedna velka slatanina, tak mi za to prosim nenadavejte. Pokud vas z toho cokoliv zajima, muzu se o tom trochu rozepsat. Pokud mate o neco zajem nechte mi nekde vzkaz.

Nejvice der je vzdycky v pristupovych pravech. Mylne si spravci mysli, ze prava write k .exe souboru nikdo nezneuzije (neb to ON neumi). Omyl. Nemusi se ale v zadnem pripade jednat jen o spustitelne programy, "patchnout" se da prakticky cokoliv, treba i neskodne vypadajici (opravdu jen vypadajici) .bgi soubor (chcete to predvest?). Dalsi chybka je v povoleni prava modify & write do mail directory (sys:mail), ve kterem je ulozen take login script (u 3.x), takze neni problem ho supervisorovi zmenit, aby treba sejmul cely SYS:. Nezapomente taky kazdemu novemu userovi vyrobit Login Script, protoze do SYS:MAIL maji useri pravo Create, z cehoz vypliva, ze kdokoliv muze login script vyrobit.

K (ne)velkemu prekvapeni se data prenaseji po siti (jako obvykle) v nekodovane podobe. Z toho plyne, ze jakmile user odchyti pakety, ve kterych prenasite dulezity soubor, ma ho taky <g>. To je ale moc namahave, takze je jednodusi si nejak pridelit prava. Treba tak, ze prijde k serevru a naloaduje NLMko, ktere ho udela adminem, nebo kdyz nema pristup k serveru, tak odchytne packet s heslem na rconsoli (ktere je velmi jednoduse kodovane...). Dalsi metoda jak se udelat superuserem je poslat na server packet s prikazem s falesnou IPX adresou - a to adresou prave prilogovaneho supervisor-equivalenta. Tato feature se da nastesti na serveru vypnout, ale defaultne vypnuta neni, takze to jde v 99% pripadu ;(. Mimochodem, uz na to existuje pekna radka programu - treba BLogout, hacknet, ... (vzdyt je to tak jednoduche, podporuje to sam IPX driver...)

Dalsi zastavka bude u Bindery a NDSky. Zacneme bindery, ktera je starsi. Prvni dira se vyskytuje u nekterych revizi NW 3.12, NW server v urcitych situacich neprepise blok pameti, ve kterem mel ulozene rozkodovane heslo. V cem je problem? Kdyz se vytvari user, tak se mu nastavi heslo a identification, takze se obcas pouzije buffer s heslem ... a to se za vlastni identification zapise ;((. Mimochodem, tato chyba je pomerne oblibena na CVUT v Dejvicich. V bindery je (stejne jako v NDSce) samozrejme mozne schovat nejakeho uzivatele, takze ho nikdo neuvidi. Dalsi moznosti, jak zjistit neci heslo je ziskat soubory s bindery (treba zalohy, .oldy,...) a ty potom slovnikem nebo brute-force dekodovat. Taky by nemel byt problem odchytit packety s NDSkou, kdyz se synchronizuje, ale niky jsem to nezkousel. Snad ani nemusim podotykat, ze format bindery a NDSky je crackery VELMI dobre zdokumentovany, stejne jako algoritmy kodovani hesel (Viz Bindery scalpel, Pandora, atd)...

Nikdy nedavejte server do mistnosti pristupne userum, jak jsem psal vyse, je velmi jednoduche si pres nej pridelit superv. prava. Obcas je konzole serveru zaheslovana z monitor.nlm, ale odheslovat takovyto server je prace na par vterin (treba z debuggeru,...). Je stale jeste moznost prikazem SECURE CONSOLE server trochu vice zabezpecit, takze user bude znacne omezen. Problem je ale v tom, ze bude omezen znacne i spravce serveru ;( Nicmene i takto zabezpecena konzole se da odheslovat... A kdyz jsme byli u toho debuggeru, tak taky neni problem napriklad "upravit" server, aby nekontroloval hesla. Rozhodne nedoporucuji pouzivat rconsoli a jine zcela bezpecne nastroje na spravu serveru a uzivatelskych stanic. Mezi tyto zcela bezpecne utility radim vsechny ty exacy, hini, remote mgmt, ...etc. Velmi jednoduse se vetsina z nich da cracknout ipx spoofingem.

Oblibene utility mezi crackery jsou take ruzne sledovace klavesnice, zapisovace hesel, atd. Utilit tohot druhu je prilis mnoho a tak se pomerne hojne pouzivaji. Velmi produktivni byla skupina YTMAR, ktera napsala nejmene 3 kousky (ty znam a vim o nich, urcite jich ale bude jeste vic). Ty nejjednodussi "spioni" hesla nechavaji v pameti, takze si je musite vyzvednout. Dalsi varianta je posilat hesla pres IPX/SPX. SPY + NSPY pracuji tak, ze chycena hesla zapisuji do 0. stopy hard disku. A ty "nejinteligentnejsi" je zapisuji nekam do souboru. Existuje taky patchnuty login.exe, ktery zapisuje hesla do bindery; to pouzitelne ale pouze, kdyz je nw cracknuty. Vsechny tyto programy pracuji 100% na NW3.12. Pokud je pouzijete u 4.x verze, vetsina z nich prestane chodit. IMHO to je ale jedno, protoze takovyto postup je velmi slozity a neefektivni, takze ho pouzivejte az ve stavu opravdove nouze. Vzdyt server jde ve vetsine pripadu cracknout mnohem jednoduseji :-)).

Dalsim problemem je, ze supervisori doufaji, ze useri neziskaji ovladace a klienta k NetWare, aby prekonali ochrany. Neni nijak neobvykle, ze pri bootu se natahuje plno bezpecnostnich programu (napriklad zamek floppydisku, sledovatko cinnosti, ...) a supervisor tise doufa, ze se nikomu nepodari nabootovat z diskety a pripojit se na server, aby prekonal ty zabezpecovatka. Nebo se ochrana muze volat z login scriptu (co tak se prilogovat bez login scriptu?). Ne, toto neni cesta vedouci k uspechu.

Nakonec se podivame na jinou vec (ktera s bezpecnosti nema nic spolecneho) - kradeni licenci k NetWare. vzhledem k tomu, ze netware neni zrovna nejlevnejsi, tak je pomerne caste. U NW4.x je lze dokonce skladat, u NW3.x muzeme pouzit pouze tu nejvyssi. Verze 3.x ma licenci ulozenou primo v server.exe, z cehoz vyplyva predchozi. NW 4.x je ma ulozene v adresari SYS:_NETWARE (popripade na licencni diskete). Tento adresar je pro crackery velmi zajimavy - je v nem ulozena hromada uzitecnych informaci: vyse jmenovane licence, soubory NDSky, ...etc. Do SYS:_NETWARE se dostanete pouze ze serveru (A ani na nem ho neuvidite v dirlistu SYS:). Ze stanice nemate vubec narok. Pokud jej budete proskoumavat, doporucuji si stahnout mc.nlm, jcmd.nlm, nwshell.nlm, popripade nejaky dalsi shell. Muzete se do nej taky podivat z rconsole (verze 4.x a vyse), ale neni to prilis efektivni.

Do ted' jsem popisoval jak bourat netware "zevnitr", tzn musite mit pocitac s ipx routovatelnym primo k NetWare. Nebylo by ale jednodussi to bourat treba pres internet? Jiste, i tato moznost tu je. IPX packety lze "zabalit" do UDP, takze no problem. Na protejsim serveru musi byt nastaveny tzv. IP tunell a mate vyhrano. Pokud je nejaka komunikace jiz "established", muzete ji napr. prebrat. To udelate tak, ze reknete nejakemu routeru aby neroutoval packety tam kam by se melo ;). IP TUNELL muze byt samozrejme kodovany, ale neznam nikoho, kdo to pouziva. Vice informaci naleznete v RFC, konkretne rfc1234 (hezke cislo, co?). IP TUNELL pouziva UDP port 213, takze si muzete nmapnout nejakou sit a hned vidite, kde muzete zacit s bouranim.

Timto samozrejme seznam bezpecnostnich "problemu" NetWare nekonci, ale myslim si, ze jsem ty nejznamejsi vypsal. Dalsim zajimavym materialem, ze ktereho se da nacerpat spousta napadu jak sit zabezpecit (a cracknout) je Novell NetWare Hacking FAQ od Simple Nomada. Takze ted' je jen na Vas, spravcich serveru, zda budou site nadale derave jak jsou, nebo to crackerum trochu stizite. Hodne stesti :-)