22. Juni 2006

Aus Labor für Echtzeitsysteme

(Unterschied zwischen Versionen)
Wechseln zu: Navigation, Suche
Version vom 15:51, 28. Jun. 2006 (bearbeiten)
Studi (Diskussion | Beiträge)
(Gruppe ohne Namen)
← Zum vorherigen Versionsunterschied
Version vom 16:00, 28. Jun. 2006 (bearbeiten) (rückgängig)
Christian (Diskussion | Beiträge)
(Beantwortung von Fragen zum Thema Honeypot)
Zum nächsten Versionsunterschied →
Zeile 45: Zeile 45:
= Beantwortung von Fragen zum Thema Honeypot = = Beantwortung von Fragen zum Thema Honeypot =
-(muss noch geschrieben werden)+ 
 +Die Ergebnisse hierzu können [http://www.honeynet.org/scans/scan23/ hier] nachgelesen werden.

Version vom 16:00, 28. Jun. 2006

Knacken von Passwörtern in gegebener passwd- und shadow-Datei

Ziel dieser Aufgabe war es die Passwörter zu Benutzernamen in einer gegebenen shadow- und passwd- Datei zu knacken. Zur Vorgehensweise gab es keine weiteren Informationen und auch der Lösungsweg blieb freigestellt.

Zunächst wurden Informationen zur Vorgehensweise per Suchmachine aus dem Internet gesucht. Als Tool wurde schnell "John the Ripper" ausfindig gemacht.

Wie die meisten Programme lässt es sich mit

apt-get install john

wenn nicht schon geschehen, installieren.

Da sich die verschlüsselten Passwörter nicht mehr in der passwd Datei selbst befinden, sondern in der shadow-Datei ausgelagert sind, kann nur diese verwendet werden.

Zunächst muss aber das Verschlüsselungsverfahren der Passwörter herausgefunden. Hier wurde als erstes MD5 versucht und führte auch zum Erfolg (weitere mögliche Verfahren sind DES, BSDI, BF, AFS und LM). In den meisten Fällen ist unter Linux MD5 oder DES im Einsatz, wobei sich diese beiden Verfahren darin unterscheiden, dass DES nur die ersten acht Zeichen eines Passwortes verwenden, MD5 dagegen alle Zeichen.

Weiterhin ist es möglich entweder alle Passwörter in der Shadow Datei zu knacken oder nur ein bestimmtes. Dies lässt sich über den Parameter

-user:xxx 

angeben, wobei xxx für den Benutzernamen steht. Ohne diesen Parameter wird versucht alle Passwörter zu knacken. Der zugehörige Befehl lautet:

john -format:MD5 [-user:xxx] shadow

Sobald john ein Passwort gefunden hat wird es ausgegeben. Das Programm merkt sich bereits geknackte Passwörter, sodass bei einem neuen Start diese nicht neu geknackt werden müssen. Bereits gefundene Passwörter lassen sich mit dem Befehl

john -show shadow 

erneut anzeigen.

Um den Prozess evtl. zu beschleunigen, ist es möglich Wortlisten anzugeben, die dann zuerst durchprobiert werden. Dies erfolgt durch Angabe des Parameters

-wordfile:FILE 

Verschiedene Wordfiles können über den Befehl

apt-cache search wordlist

angezeigt und anschliessend mit

apt-get install WORDFILE 

installiert werden.

Netzwerkaufbau nach Anleitung der jeweils anderen Gruppe

(unvollständig)

Gruppe ohne Namen

Die aus fünf Personen (Andreas Rütten, Jens Nitschke, Christian Kaczynski, Jörg Fichtner, Stefan Hüskes) bestehende Gruppe ohne Namen versuchte, ein Netzwerk mit verschiedenene Diensten entsprechend der Anforderungen in Firewall.png (s. 01. Juni 2006) aufzubauen. Hierbei sollte sich die Gruppe auf die Dokumentation der Gruppe Firefuckers (s. 08. Juni 2006) stützen und deren Rechner (A3,A4,B3,B4) zu besagtem Netzwerk zusammenschließen. Da die Aufgabe des Netzwerkaufbau von dieser Gruppe ganz anders angegangen worden ist (z.B.: mit NAT-Unterstützung), bedurfte es anfangs erst einmal einige Zeit zum Verständnis der dokumentierten Vorgehensweise. Nach dem Zusammenschluss der einzelnen Rechner und der Konfiguration der in der Aufgabenstellung gewünschten Dienste (lt. Dokumentation der Gruppe Firefuckers), konnte beispielsweise von jedem der angeschlossenen Rechner per ssh auf einen anderen zugegriffen werden oder ein anderer Rechner angepingt werden. Sobald das Skript, welches die Firewall-Konfiguration beinhaltete, gestartet wurde, konnten die laut Aufgabenstellung respektierten Verbindungen (z.B.: über ssh oder ping) nicht aufgebaut werden. Wurde das Skript zum Rücksetzen der Firewall-Konfiguration ausgeführt, funktionierte der Datenfluss wieder wie gewünscht. Trotz intensiver Bemühungen, das uns vorgegebene Skript der Gruppe Firefuckers zu verstehen und zu analysieren, konnten keine genauen Ursachen für dieses Fehlverhalten der Firewall gefunden werden.

Beantwortung von Fragen zum Thema Honeypot

Die Ergebnisse hierzu können hier nachgelesen werden.

Persönliche Werkzeuge