Ćwiczenie nr 1 v2
Transkrypt
Ćwiczenie nr 1 v2
Przedmiot : Zasady Administracji Sieciami Ćwiczenie nr 1 v2 Testowanie haseł kont przy pomocy programu John the Ripper. 1. Wprowadzenie. Aby zapewnić bezpieczeństwo systemu należy działać zapobiegawczo, czyli testować go pod kątem luk w bezpieczeństwie i kontrolować stan jego pracy. Jednym z elementów tej kontroli jest testowanie i kontrolowanie haseł użytkowników. Zbyt proste hasła mogą być przyczyną przejęcia konta przez osoby nieuprawnione i wykorzystanie konta np. do penetracji ( ataków ) na nasze własne jak i inne systemy informatyczne. http://pl.wikipedia.org/wiki/John_the_Ripper John The Ripper jest narzędziem do łamania haseł stworzonym przez Openwall Project. Każdy użytkownik linuxa ma konto zabezpieczone hasłem, czy tez ktokolwiek inny korzystający z internetu ma założone konto e-mailowe, konto na stronę www, korzysta z jakiś usług wymagających autoryzacji hasłem lub zabezpiecza nim programy. No właśnie... hasło. Mało kto zastanawia się przy wyborze hasła i wpisuje swoje imię, ksywę, imię psa, mamy :) itd. Przykłady można wymieniać w nieskończoność. Jest to podstawowy błąd, ponieważ takie hasło jest bardzo łatwo złamać nawet zwykłemu użytkownikowi, choćby nawet metodą prób i błędów, nie mówiąc o łamaniu haseł za pomocą programów wykorzystujących do tego słowniki (Crack, John The Ripper). Korzystając z małych i dużych liter, cyfr oraz kilkunastu znaków dodatkowych ( ! # $ & % ) liczba wszystkich możliwych kombinacji haseł wynosi: 1 677 721 599 999 999 ! Jak wynika z dokumentu "Foiling the Cracker - A Survey of Improvemented to Password Security" na około 14 000 losowo wybranych kont (w USA), ponad 3 000 miało ustawione hasła, które znajdowały się w standardowym słowniku. 1 500 miało hasła 6 lub mniej znakowe, 11 było nazwami bohaterów z utworów Szekspira, 55 to nazwiska sławnych ludzi. Jakich haseł nie używać ? data urodzenia imię psa rodzinne miasto własne imię, nazwisko łatwe kombinacje klawiszy (ASDF, QWERTY itp.) popularne słowa (PIES, DOM) numer telefonu, pseudonim jakiekolwiek słowo znajdujące się w słowniku polskim wszystkie poprzednie napisane od tylu wszystkie poprzednie z dopisanym znakiem na początku lub na końcu wyrazu Wszystkie podane wyżej rodzaje haseł są hasłami BARDZO łatwymi do odgadnięcia (tzw. hasła słabe). PAMIĘTAJ: NIGDY NIE UŻYWAJ HASŁA TAKIEGO SAMEGO JAK TWÓJ LOGIN! Jakich haseł używać ? Hasła trudne do złamania składają się zarówno z małych jak i dużych liter, cyfr, znaków przestankowych, może zawierać spacje. Poza tym hasło takie powinno być łatwe do zapamiętania i powinno składać się co najmniej z siedmiu znaków. Przykład: hasło "krz18eslo" jest o wiele trudniejsze do złamania niż "krzeslo". Przykłady dobrych haseł (haseł mocnych): Tk7Mz Le BefU 100KrotkA Wskazówki dotyczące tworzenia haseł : Dobrym sposobem na stworzenie trudnych do złamania haseł jest wymyślenie sobie jakiegoś zdania, i jako hasło przyjąć pierwsze litery wyrazów w tym zdaniu. Np. Jestem Tomek mam 17 lat --> JTm17l. Jest to bardzo dobry sposób, hasło jest mocne, a Ty możesz je łatwo zapamiętać. Nie zostawiaj zapisanego gdziekolwiek hasła na widoku. Nic ci nie da trudne do złamania hasło skoro wszyscy wkoło będą je znali :) Może wydać Ci się to śmieszne, ale wiele włamań było możliwych dzięki nieuwadze ofiary. Dobrym pomysłem jest również zmiana hasła co jakiś czas. Jest to dosyć męczące, ale jeśli zależy ci na bezpieczeństwie twojego konta musisz to robić regularnie. Pomoc : http://www.narf.shl.pl/content/view/34/26/ 2. Zadania do wykonania w ćwiczeniu – Ćwiczenie należy wykonać pod systemem linux. Aby mieć dostęp do tekstu ćwiczenia zapisz je w pliku *.txt, które następnie będziesz mógł przeglądać pod linuxem. Pomoc dotyczącą kompilacji i stosowania programu John The Ripper możesz przeglądać w systemie linux po wydaniu polecenia : lynx http://www.narf.shl.pl/content/view/34/26/ – Uruchom system Linux i przy pomocy przeglądarki lynx ( lynx www.google.com ) znajdź w internecie pakiet John The Ripper i ściągnij na dysk lokalny systemu Linux. – Odpakuj pakiet John The Ripper do katalogu /root/john. – Zapoznaj się z instrukcją instalacji ../doc/install , następnie skompiluj program. – Zapoznaj się z instrukcją użycia programu ../doc/examples – utwórz w systemie konta ( adduser ) od loginu student0 do loginu student9 i przypisz im hasła : login : student1 – hasło : student1 login : student2 – hasło : student22 login : student3 – hasło : student333 login : student4 – hasło : student4444 login : student5 – hasło : 12345678 login : student6 – hasło : 87654321 login : student7 – hasło : linux login : student8 – hasło : dowolne swoje login : student9 – hasło : dowolne swoje trudne hasło login : student0 – hasło : dowolne swoje hasło, które należy dodać do domyślnego słownika haseł – na kolejnej konsoli uruchom program John The Ripper łamiący hasła TYLKO powyższych kont do 30 minut, z wydrukiem raportu na ekran, zaobserwuj w czasie wyniki łamania haseł. Łamanie wybranych kont można realizować poprzez użycie opcji programu John The Ripper bądź też przerabiając plik shadow zawierający nazwy kont z hasłami. – przedstaw wnioski z powyższych ćwiczeń i wyślij e-mailem na konto prowadzącego ćwiczenia wraz z następującymi informacjami wszystkich członków grupy : data : semestr : grupa : imię : nazwisko : numer indeksu : W polu „Temat” e-maila wpisz z dużych liter – INF_SD_S6_ZAS_G1_CW1 dla grupy 1 – INF_SD_S6_ZAS_G2_CW1 dla grupy 2 – Itp. Wnioski należy przesłać do czasu rozpoczęcia kolejnych zajęć.