Networkforensic

Cyber threat hunting

iSCSI - Authentication None

 14 December 2018  - Blog Post # 707

ISCSI
ISCSI kan benyttes over et netværk typisk i forbindelse med remote storage systemer. Default bliver dette opsat med Authentication None. Det betyder man ikke behøver at logge ind for at få adgang til et disk system. Hvad kan der være i vejem med det ? Der er mange veje til domain admin :-)  Eller bare ens backup filer som eks Hacking Team



CHAP
Eneste "sikrer" authentication mulighed er CHAP som også kan crackes ret nemt. Selvom der benyttes CHAP skal dette ikke direkte på et netværk uden beskyttelse som eks Ipsec eller vlans. Det hele kan sniffes og filer kan hentes ud af trafikken. Filer kan blive omskrevet "on the fly" osv. Men når man benytter CHAP kan Authentication sekvensen sniffes. Denne kan som skrevet crackes med hashcat.

Eavesdropping
Benyttes der et sted i transport laget eavesdropping. Så skal man nok forvente at man har tabt på forhånd.


IDS rule frigivet
Der findes ikke noget frigivet eller IDS rules man kan købe sig til, der finder når iscsi benyttes over usikre åbne kanaler. De frigivet IDS her finder når der sker en Authentication None eller en Authentication CHAP til eller fra ens netværk.

Frigivet
Jeg har frigivet en Wireshark profile der kan benyttes til analyse af iSCSI trafik.


 NF IDS Rules
5 Latest Updates  

ISCSI device login

Honypot top rules

Trojan Socks5systemz

Flawed Ammyy RAT

ISAKMP VPN Connection setup

3ve sinkhole

Download