Sicherheit verbessern bei Samba NTLM Auth

15/11/2011 - 13:16 von Alexandros Gougousoudis | Report spam
Hallo,

durch die testweise Nutzung des Tools ophcrack gegen die LDAP-Datenbank
unseres Samba 3 Servers, bin ich doch nun recht erschrocken, wie
effektiv das Teil die Passwörter entschlüsselt, egal ob es NT oder LM
Hashes sind. Zwar sind diese Eintràge durch den LDAP-Server extra
gesichert, aber ein unwohles Gefühl bleibt ja. Im Prinzip stehen die
Passwörter ja im Klartext im LDAP, das Tool hat 90% der Passwörter in
den ersten 10 Minuten entschlüsselt (LM), bzw. über die Hàlfte in einer
Stunde bei NT-Hashes.

Nun die Fragen, wie kann man das noch besser absichern?

1. Gibt es ein Upgrade für XP-SP3 um auf ein andere
Verschlüsselungsverfahren hochzurüsten?

2. Kann man am Samba-Server etwas einstellen, dass dort die ankommenden
Hashes nochmals verschlüsselt abgelegt werden? So dass die in der DB
einigermaßen sicher sind?


Danke
Alex
 

Lesen sie die antworten

#1 Sven Hartge
15/11/2011 - 13:48 | Warnen spam
Alexandros Gougousoudis wrote:

durch die testweise Nutzung des Tools ophcrack gegen die
LDAP-Datenbank unseres Samba 3 Servers, bin ich doch nun recht
erschrocken, wie effektiv das Teil die Passwörter entschlüsselt, egal
ob es NT oder LM Hashes sind. Zwar sind diese Eintràge durch den
LDAP-Server extra gesichert, aber ein unwohles Gefühl bleibt ja. Im
Prinzip stehen die Passwörter ja im Klartext im LDAP, das Tool hat 90%
der Passwörter in den ersten 10 Minuten entschlüsselt (LM), bzw. über
die Hàlfte in einer Stunde bei NT-Hashes.

Nun die Fragen, wie kann man das noch besser absichern?

1. Gibt es ein Upgrade für XP-SP3 um auf ein andere
Verschlüsselungsverfahren hochzurüsten?

2. Kann man am Samba-Server etwas einstellen, dass dort die
ankommenden Hashes nochmals verschlüsselt abgelegt werden? So dass die
in der DB einigermaßen sicher sind?



Die Hashes _müssen_ exakt so sein, weil diese Hashes intern in Windows
auch exakt so für die weitere Anmeldung benutzt werden.

Würdest du diese veràndern, würde Samba nicht mehr funktionieren.

Fakt ist nun einmal, dass die NTLM-Hashes equivalent zu
Klartext-Passwörtern zu sehen sind, einmal a) wegen ihrer Schwàche und
b) weil zwischen Windows-Systemen sie exakt so benutzt werden.

S!

Sigmentation fault. Core dumped.

Ähnliche fragen