LAN Manager

LAN Manager
Fejlesztő Microsoft , 3Com
OS család OS/2
Forrás zárva
Első kiadás 1987  ( 1987 )
legújabb verzió 2.2a (1994 ) ( 1994 )
Támogatott platformok x86
Engedély Szabadalmazott
Állapot megszakított
Előző MS-Net , Xenix-NET, 3+Share

A LAN Manager  egy hálózati operációs rendszer , amelyet a Microsoft fejlesztett ki a 3Com Corporationnel együttműködésben . Úgy tervezték, hogy helyettesítse a 3Com 3+Share hálózati szerverszoftverét, amely az MS-DOS erősen módosított verzióján futott .

Történelem

A LAN Manager az IBM és a Microsoft által közösen kifejlesztett OS/2 operációs rendszeren alapult . Eredetileg a Server Message Block protokollt használta a NetBIOS Frames (NBF) protokollon keresztül, vagy a Xerox Network Services (XNS) protokoll speciális változatát. Ezeket az örökölt protokollokat a korábbi termékektől örökölték, például az MS -Net MS-DOS-hoz , a Xenix-NET for MS-Xenix és a fent említett 3+Share. A LAN Manager Unix verziója is elérhető volt LAN Manager/X néven.

1990-ben a Microsoft bejelentette a LAN Manager 2.0-t számos fejlesztéssel, beleértve a TCP/IP támogatását szállítási protokollként. A LAN Manager 2.2 legújabb verziója, amely az MS-OS/2 1.31-es alap operációs rendszert tartalmazta, a Windows NT Advanced Server 1993-as megjelenéséig a Microsoft szerver operációs rendszere maradt .

Verziók

Sok szállító szállított licencelt verziókat, többek között:

Biztonsági rendszer

A LAN Manager (LM) hitelesítés egy protokoll, amelyet a Windows-kliensek hitelesítésére használnak a hálózati műveletekhez, beleértve a tartományi kapcsolatokat, a hálózati erőforrásokhoz való hozzáférést, valamint a felhasználói vagy számítógépes hitelesítést. Az LM hitelesítési szint határozza meg, hogy a protokoll milyen kérést/választ egyeztet az ügyfél és a szerver között. Az LmCompatibilityLevel paraméterben megadott érték határozza meg, hogy melyik hitelesítési protokoll kerül felhasználásra a hálózatra való bejelentkezéskor. Ez az érték befolyásolja az ügyfelek által használt hitelesítési protokoll szintjét, az egyeztetett munkamenet-biztonság szintjét és a kiszolgálók által elfogadott hitelesítés szintjét. Lehetséges opciók:

Jelentése Paraméter
0 Küldje el a Lan Manager válaszait
egy Lan Manager küldése – használja az NTLMv2 munkamenet-biztonságot a tárgyalások során
2 Csak NTLM-válasz küldése
3 Csak NTLMv2 választ küldjön
négy Csak NTLMv2 válasz küldése, LM elutasítása
5 Csak NTLMv2 válasz küldése, LM és NTLM elutasítása

Kriptanalízis

A LAN Manager hitelesítés az LM hash algoritmus néven ismert gyenge felhasználói jelszó - kivonatolási módszert alkalmazza, amely az 1980-as évek közepén keletkezett, amikor a vírusok váltak a fő problémává, nem pedig a nagyfrekvenciás hálózati visszacsatolási támadások. Ezáltal az ilyen hash-ek pillanatok alatt feltörhetők szivárványtáblázatokkal, vagy órák alatt nyers erővel . Használatát a Windows NT rendszerben felváltotta az NTLM , amelynek régebbi verziói még mindig sebezhetők a szivárványtáblákkal szemben, de kevésbé sebezhetők a brute force támadásokkal szemben. Az NTLM a helyi fiókokkal való bejelentkezéshez használatos, mivel a Windows Vista és újabb alapértelmezés szerint már nem támogatja az LM hash-t. A Kerberost az Active Directory - környezetekben használják .

A LAN Manager hitelesítési protokoll fő hátrányai a következők:

  1. A hash generálása előtt minden jelszót nagybetűvé alakítunk. Ezért az olyan jelszavakat, mint a jelszó, a jelszó, a jelszó, a jelszó és más hasonló kombinációk nagybetűssé, azaz JELSZÓ-vá alakítják. A 256 bájtos ASCII-karakterkészletben a jelszókarakterek is 95 karakteres részhalmazra korlátozódnak.
  2. A jelszó hossza 14 karakterre korlátozott.
  3. A 14 karakterből álló jelszót 7 + 7 karakterre osztják, majd a hash-t a két félre külön-külön számítják ki. A hash kiszámításának ez a módszere nagyban megkönnyíti a hackelést, mivel a támadónak 14 helyett kétszer 7 karakterrel kell próbálkoznia. A 14 számjegyű jelszó erőssége minden , ami sokkal kisebb, mint egy 14 számjegyű jelszó elméleti erőssége .
  4. Ha a jelszó legfeljebb 7 karakterből áll, a hash második fele mindig ugyanazt az állandó értéket fogja megjeleníteni (0xAAD3B435B51404EE).
  5. A hash értéket nélkül küldik el a hálózati kiszolgálóknak , így sebezhetővé válik a köztes támadásokkal szemben , és lehetővé teszi szivárványtáblák létrehozását is.

LM hash részletei

Az LM hash (más néven LanMan hash vagy LAN Manager hash) egy jelszókivonatoló funkció, amelyet a Microsoft LAN Manager és a Microsoft Windows verzióiban használnak a Windows NT előtti felhasználói jelszavak tárolására. A korábbi LAN Manager protokoll támogatása a Windows későbbi verzióiban is folytatódott a visszafelé kompatibilitás érdekében, de a Microsoft azt javasolta a rendszergazdáknak, hogy tiltsák le a protokollt; Windows Vista rendszerben a protokoll alapértelmezés szerint le van tiltva.

Algoritmus

Az LM hash kiszámítása a következőképpen történik: [1] [2]

  1. A felhasználói jelszó hossza legfeljebb 14 karakter lehet. Ha a jelszó 14 karakternél hosszabb, a hash nem számítható ki.
  2. A jelszót a rendszer nagybetűssé alakítja.
  3. A jelszó az OEM kódlaprendszerben van kódolva . [3]
  4. A jelszó 14 bájtig nullákkal van kitöltve. [négy]
  5. A jelszó két 7 bájtos részre van osztva.
  6. Ezek az értékek két DES kulcs létrehozására szolgálnak , mindegyik 7 bájtos feléből egyet. A rendszer 7 bájtot konvertál bitfolyammá, és minden 7 bit után egy nullát szúr be. Ez létrehozza a DES kulcshoz szükséges 64 bitet.
  7. Ezen kulcsok mindegyike a " " ASCII karakterlánc DES-titkosítására szolgál KGS!@#$%, ami két 8 bájtos titkosított értéket eredményez. A DES CipherMode-ot ECB-re, a PaddingMode-ot pedig értékre kell állítani NONE.
  8. Ez a két rejtjelezett szöveg értéke egy 16 bájtos értéket alkot, amely az LM hash.

Biztonsági sebezhetőségek

Bár az LM hash a minőségi DES blokk titkosításon alapul, nem egyirányú függvény , mivel a jelszó a kivonatból meghatározható több tervezési hiba miatt: [5] Először is, a jelszavak nem tartalmazhatnak többet, mint 14 karakter, ami megadja a jelszavak elméleti maximális számát .

Másodszor, a 7 karakternél hosszabb jelszavak két részre vannak osztva, és mindegyik rész külön-külön kivonatolva van. Ez a hiba lehetővé teszi a jelszó mindkét felét külön-külön megtámadva, így a brutális erőszakhoz szükséges jelszavak száma . Ezenkívül a jelszóban lévő összes kisbetű nagybetűre változik a jelszó kivonatolása előtt, így tovább csökken a jelszó helye .

Ezenkívül az LM-kivonat nem használ kriptográfiai sót , amely egy szabványos módszer a szótári felsorolás megakadályozására . Ezért olyan támadások lehetségesek rajta, mint a szivárványtáblák . Ezenkívül minden 8 karakternél rövidebb jelszó 7 null bájt kivonatát eredményezi, ami állandó 0xAAD3B435B51404EE értéket eredményez, amely lehetővé teszi a rövid jelszavak vizuális azonosítását. 2003- ban megjelent az Ophcrack  , egy szivárványtáblákon alapuló támadás. Kihasználja az LM titkosítás összes sebezhetőségét, és elég nagy adatbázist tartalmaz ahhoz, hogy néhány másodperc alatt feltörje szinte az összes szám-karakteres LM-kivonatot. Számos feltörő eszköz, mint például a RainbowCrack , az L0phtCrack és a Cain is tartalmaz ilyen támadásokat, így az LM hashek feltörése triviális.

Megoldások

A biztonsági hibák kiküszöbölésére a Microsoft 1993-ban bevezette az NTLMv 1 protokollt. A kivonatoláshoz az NTLM Unicode -támogatást használ , helyette LMhash=DESeach(DOSCHARSET(UPPERCASE(password)), "KGS!@#$%")-ra , ami nem igényel kitöltést vagy csonkolást a kulcs egyszerűsítése érdekében. Másrészt a Windows számítógépeket sok éven keresztül alapértelmezés szerint úgy konfigurálták, hogy mind az LM-kivonatból, mind az NTLM-kivonatból kapott válaszokat küldjék és fogadják, így az NTLM-kivonat használata nem nyújtott további biztonságot, míg a gyenge hash továbbra is jelen volt. NThash=MD4(UTF-16-LE(password))

A biztonság növelése érdekében jó gyakorlatnak tekintették az LM és az NTLMv1 hitelesítési protokollok letiltását ott, ahol nincs rájuk szükség. A Windows Vista és a Windows Server 2008 rendszertől kezdve a Microsoft alapértelmezés szerint letiltotta az LM-kivonatot; ez a funkció a helyi fiókok számára engedélyezhető egy biztonsági házirend-beállításon keresztül. A felhasználók azt is megakadályozhatják, hogy jelszavukhoz LM-kivonat generáljon, ha legalább tizenöt karakterből álló jelszót használnak.

Az LM hash további használatának okai

Sok régi SMB -megvalósításhoz sok időbe telt, amíg támogatást nyújtottak a Microsoft által az LM-kivonatolás helyett létrehozott erősebb protokollokhoz, mivel az ezeket a könyvtárakat támogató nyílt forráskódú közösségeknek először vissza kellett fejteniük az új protokollokat – a Sambának 5 évbe telt, hogy támogatást adjon NTLMv2 , míg a JCIFS 10 évig tartott.

NTLM protokollok elérhetősége az LM kivonatolás helyettesítésére
Termék NTLMv1 támogatás NTLMv2 támogatás
Windows NT 3.1 RTM (1993) Nem támogatott
Windows NT 3.5 RTM (1994) Nem támogatott
Windows NT 3.51 RTM (1995) Nem támogatott
Windows NT4 RTM (1996) Service Pack 4 [6] (1998. október 25.)
Windows 95 Nem támogatott Directory Service Client (megjelent a Windows 2000 Server rendszerrel, 2000. február 17.)
Windows 98 RTM Directory Service Client (megjelent a Windows 2000 Server rendszerrel, 2000. február 17.)
Windows 2000 RTM (2000. február 17.) RTM (2000. február 17.)
Windows ME RTM (2000. szeptember 14.) Directory Service Client (megjelent a Windows 2000 Server rendszerrel, 2000. február 17.)
Samba ? 3.0 -s verzió [7] (2003. szeptember 24.)
JCIFS Nem támogatott 1.3.0 verzió (2008. október 25.) [8]
IBM AIX (SMBFS) 5.3 (2004) [9] A v7.1 óta nem támogatott [10]

Lásd még

Jegyzetek

  1. 3. fejezet - Operációs rendszer telepítése: Az LMHash . Microsoft TechNet . Letöltve: 2015. május 12. Az eredetiből archiválva : 2015. május 18.
  2. Glass, Eric Az NTLM hitelesítési protokoll és biztonsági támogatási szolgáltató: The LM Response . Letöltve: 2015. május 12. Az eredetiből archiválva : 2012. március 18..
  3. Lokalizált MS operációs rendszerek listája (elérhetetlen hivatkozás) . Microsoft Developer Network . Letöltve: 2015. május 12. Az eredetiből archiválva : 2015. május 18. 
  4. A fürtszolgáltatási fiók jelszavát 15 vagy több karakterre kell állítani, ha a NoLMHash házirend engedélyezve van . Microsoft (2006. október 30.). Letöltve: 2015. május 12. Az eredetiből archiválva : 2014. szeptember 10..
  5. Johansson, Jasper M. Windows jelszavak: Minden, amit tudnod kell . Microsoft (2004. június 29.). Letöltve: 2015. május 12. Az eredetiből archiválva : 2015. január 12.
  6. Windows NT 4.0 Service Pack 4 Readme.txt fájl (40 bites) . Microsoft (1998. október 25.). Letöltve: 2015. május 12. Az eredetiből archiválva : 2014. december 31..
  7. A Samba Team bejelentette a Samba 3.0 első hivatalos kiadását . SAMBA (2003. szeptember 24.). Letöltve: 2015. május 12. Az eredetiből archiválva : 2014. december 16..
  8. A Java CIFS Client Library . Letöltve: 2015. május 12. Az eredetiből archiválva : 2015. május 10.
  9. AIX 5.3 Hálózat- és kommunikációkezelés: Szerver üzenetblokk fájlrendszer . IBM (2010. március 15.). Letöltve: 2015. május 12. Az eredetiből archiválva : 2015. május 18.
  10. AIX 7.1 Hálózat- és kommunikációkezelés: Szerver üzenetblokk fájlrendszer . IBM (2011. december 5.). Letöltve: 2015. május 12. Az eredetiből archiválva : 2015. május 18.

Linkek