יסודות Active Directory ברשתות ארגוניות, ולמה תוקפים אוהבים אותו כל כך¶
כמעט כל חברה בגודל בינוני ומעלה שמשתמשת בסביבת Windows מנהלת את כל המחשבים והמשתמשים שלה דרך מערכת אחת מרכזית שנקראת Active Directory. אם אתם רוצים להבין רשתות ארגוניות, או להיכנס לתחום אבטחת מידע ברמה רצינית, זה אחד הנושאים שאי אפשר לדלג עליהם - כי כמעט כל תקיפה ארגונית אמיתית עוברת בשלב מסוים דרך AD.
הבעיה שAD פותר¶
תארו לעצמכם חברה עם 2000 עובדים. בלי מערכת ניהול מרכזית, כל עובד חדש צריך שמישהו יגדיר לו ידנית משתמש בכל מחשב שהוא צריך לגשת אליו, כל שינוי הרשאות צריך להתבצע בנפרד בכל מערכת, וכל עובד שעוזב צריך שמישהו יזכור למחוק אותו מכל מקום. זה בלתי אפשרי לניהול בקנה מידה, ופתח דלת ענק לטעויות אבטחה.
Active Directory, שפותח על ידי מיקרוסופט, הוא שירות תעודה מרכזי (directory service) שמנהל את כל הזהויות והמשאבים ברשת ממקום אחד - משתמשים, מחשבים, קבוצות, הרשאות, ומדיניות אבטחה. במקום לנהל כל דבר בנפרד, כל זה מנוהל דרך שרת מרכזי שנקרא Domain Controller.
המושגים הבסיסיים שכדאי להכיר¶
- Domain - תחום. יחידת הניהול הבסיסית ב-AD. כל המשתמשים והמחשבים בתוך אותו domain מנוהלים תחת אותה מדיניות ומאגר זהויות משותף.
- Domain Controller - בקר תחום. השרת שמריץ את Active Directory בפועל, מחזיק את כל בסיס הנתונים של המשתמשים וההרשאות, ואחראי לאמת כל התחברות (authentication) ברשת.
- Organizational Unit - יחידה ארגונית. דרך לארגן משתמשים ומחשבים בתוך התחום, בדרך כלל לפי מבנה ארגוני - מחלקת פיתוח, מחלקת כספים, וכן הלאה, כל אחת עם מדיניות משלה.
- Group Policy - מדיניות קבוצתית. כללים שמוחלים אוטומטית על קבוצות משתמשים או מחשבים - למשל דרישת סיסמה מסוימת, חסימת גישה לכונני USB, או התקנה אוטומטית של תוכנה מסוימת.
- Kerberos. פרוטוקול האימות שעליו AD מבוסס. כשמשתמש מתחבר, הוא לא שולח את הסיסמה שלו ישירות בכל פעם, אלא מקבל "כרטיסים" (tickets) שמוכיחים את זהותו לזמן מוגבל.
למה זה כל כך מרכזי, גם לחוקרי אבטחה¶
אם תסתכלו כמעט על כל דוח על תקיפת כופרה (ransomware) בשנים האחרונות נגד חברות, תמצאו תבנית חוזרת - התוקף השיג דריסת רגל ראשונית במחשב אחד (למשל דרך פישינג), ואז המטרה המרכזית שלו הייתה להגיע לשליטה על ה-Domain Controller. ברגע שתוקף שולט ב-AD, הוא בעצם שולט בכל הרשת - כל משתמש, כל מחשב, הכל.
הסיבה לזה היא ש-AD, מרוב שהוא מרכזי וחזק, הופך ליעד התקיפה הכי משתלם ברשת ארגונית. תוקף לא צריך לפרוץ אלף מחשבים בנפרד - הוא צריך למצוא דרך אחת להגיע לשליטה על התעודה המרכזית, ומשם הכל פתוח לפניו. זו הסיבה שתחום שלם בתוך פנטסטינג (בדיקות חדירה) נקרא Active Directory attacks, וכולל טכניקות עם שמות כמו Pass the Hash, Kerberoasting ו-Golden Ticket, כולן ממוקדות במציאת דרכים לעקוף או לנצל את מנגנוני האימות של AD.
מה זה אומר עבורכם כלומדי רשתות¶
גם אם אתם לא מכוונים לפנטסטינג ארגוני ספציפית, הבנת AD היא בסיס חשוב מכמה סיבות:
- זו הסביבה השכיחה ביותר ברשתות ארגוניות מבוססות Windows בעולם, ורוב הסיכויים שתפגשו בה בכל תפקיד תשתית או אבטחה.
- היא ממחישה בצורה מצוינת רעיון מרכזי בניהול רשתות - ריכוזיות. יש כאן יתרון עצום בניהול, אבל גם סיכון עצום אם הנקודה המרכזית הזאת נופלת.
- היא דוגמה מעולה לאיך אימות (authentication) עובד בקנה מידה ארגוני, לא רק ברמת אתר בודד.
איך מתחילים ללמוד את זה¶
הדרך הכי טובה להבין AD היא לא רק לקרוא עליו, אלא להקים סביבת מעבדה משלכם - מכונה וירטואלית עם Windows Server, להגדיר domain, להוסיף כמה משתמשים, ולראות איך זה מתנהג בפועל. משם אפשר להתקדם להבין איך תקיפות נגד AD עובדות ומה ההגנות הנפוצות מולן.
זה בדיוק סוג הנושא שאנחנו נוגעים בו בקורס הרשתות שלנו כחלק מהבנת רשתות ארגוניות, ולמי שרוצה להעמיק לכיוון תקיפה ופנטסטינג, יש לנו מסלולים ייעודיים שממשיכים בדיוק משם.
קורס הרשתות המלא נמצא כאן, חינם ובעברית, כולל הבנה של רשתות ארגוניות וניהול זהויות מרכזי.
יש לכם שאלה על AD או סביבת מעבדה? שאלו בדיסקורד.
לסיכום¶
Active Directory הוא עמוד השדרה של רוב הרשתות הארגוניות בעולם, מערכת שהופכת ניהול של אלפי משתמשים ומחשבים למשימה בת ביצוע. אבל אותה ריכוזיות שהופכת אותו כל כך יעיל היא גם הסיבה שהוא היעד הכי מבוקש בכל תקיפה ארגונית רצינית - מי ששולט ב-AD, שולט בכל הרשת.