Okta Hardening
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
एक हमलावर के दृष्टिकोण से, यह बहुत दिलचस्प है क्योंकि आप सभी पंजीकृत उपयोगकर्ताओं, उनके ईमेल पते, वे समूह जिनका वे हिस्सा हैं, प्रोफाइल और यहां तक कि डिवाइस (मोबाइल और उनके OS) देख सकेंगे।
एक व्हाइटबॉक्स समीक्षा के लिए जांचें कि "लंबित उपयोगकर्ता क्रिया" और "पासवर्ड रीसेट" नहीं हैं।
यहां आप Okta में बनाए गए सभी समूहों को पाएंगे। यह समझना दिलचस्प है कि उपयोगकर्ताओं को कौन से विभिन्न समूह (अनुमतियों का सेट) दिए जा सकते हैं। यह देखना संभव है कि समूहों में शामिल लोग और प्रत्येक समूह को असाइन की गई ऐप्स कौन सी हैं।
बेशक, admin नाम वाले किसी भी समूह में दिलचस्पी है, विशेष रूप से समूह Global Administrators, सदस्यों की जांच करें ताकि यह जान सकें कि सबसे विशेषाधिकार प्राप्त सदस्य कौन हैं।
एक व्हाइटबॉक्स समीक्षा से, वहां 5 से अधिक वैश्विक प्रशासक नहीं होने चाहिए (यदि केवल 2 या 3 हैं तो बेहतर है)।
यहां सभी उपयोगकर्ताओं के सभी डिवाइसों की सूची पाएंगे। आप यह भी देख सकते हैं कि इसे सक्रिय रूप से प्रबंधित किया जा रहा है या नहीं।
यहां यह देखना संभव है कि कैसे महत्वपूर्ण जानकारी जैसे पहले नाम, अंतिम नाम, ईमेल, उपयोगकर्ता नाम... Okta और अन्य अनुप्रयोगों के बीच साझा की जाती है। यह दिलचस्प है क्योंकि यदि एक उपयोगकर्ता Okta में एक फ़ील्ड (जैसे उसका नाम या ईमेल) को संशोधित कर सकता है जो फिर एक बाहरी अनुप्रयोग द्वारा उपयोग किया जाता है ताकि उपयोगकर्ता की पहचान की जा सके, तो एक अंदरूनी व्यक्ति अन्य खातों को अपने कब्जे में लेने की कोशिश कर सकता है।
इसके अलावा, Okta के प्रोफाइल User (default) में आप देख सकते हैं कि प्रत्येक उपयोगकर्ता के पास कौन से फ़ील्ड हैं और कौन से उपयोगकर्ताओं द्वारा लिखने योग्य हैं। यदि आप व्यवस्थापक पैनल नहीं देख सकते हैं, तो बस अपनी प्रोफाइल जानकारी को अपडेट करने के लिए जाएं और आप देखेंगे कि आप कौन से फ़ील्ड अपडेट कर सकते हैं (ध्यान दें कि एक ईमेल पते को अपडेट करने के लिए आपको इसकी पुष्टि करनी होगी)।
डायरेक्टरीज़ आपको मौजूदा स्रोतों से लोगों को आयात करने की अनुमति देती हैं। मुझे लगता है कि यहां आप अन्य डायरेक्टरीज़ से आयातित उपयोगकर्ताओं को देखेंगे।
मैंने इसे नहीं देखा है, लेकिन मुझे लगता है कि यह पता लगाने के लिए दिलचस्प है कि Okta अन्य उपयोगकर्ताओं को आयात करने के लिए कौन सी डायरेक्टरीज़ का उपयोग कर रहा है ताकि यदि आप उस डायरेक्टरी को समझौता करते हैं तो आप Okta में बनाए गए उपयोगकर्ताओं में कुछ विशेषताओं के मान सेट कर सकते हैं और शायद Okta वातावरण को समझौता कर सकते हैं।
एक प्रोफाइल स्रोत एक ऐप्लिकेशन है जो उपयोगकर्ता प्रोफाइल विशेषताओं के लिए सत्य का स्रोत के रूप में कार्य करता है। एक उपयोगकर्ता केवल एक समय में एक ही ऐप्लिकेशन या डायरेक्टरी द्वारा स्रोत किया जा सकता है।
मैंने इसे नहीं देखा है, इसलिए इस विकल्प के संबंध में सुरक्षा और हैकिंग के बारे में कोई भी जानकारी सराहनीय है।
इस अनुभाग के Domains टैब में जांचें कि ईमेल पते का उपयोग ईमेल भेजने के लिए किया गया है और कंपनी का Okta में कस्टम डोमेन (जिसे आप शायद पहले से जानते हैं)।
इसके अलावा, Setting टैब में, यदि आप व्यवस्थापक हैं, तो आप "एक कस्टम साइन-आउट पृष्ठ का उपयोग करें" और एक कस्टम URL सेट कर सकते हैं।
यहां कुछ दिलचस्प नहीं है।
आप यहां कॉन्फ़िगर की गई ऐप्लिकेशन पा सकते हैं, लेकिन हम बाद में एक अलग अनुभाग में उनके विवरण देखेंगे।
दिलचस्प सेटिंग, लेकिन सुरक्षा के दृष्टिकोण से कुछ सुपर दिलचस्प नहीं है।
यहां आप सभी कॉन्फ़िगर की गई ऐप्लिकेशन और उनके विवरण पा सकते हैं: किसके पास उन तक पहुंच है, यह कैसे कॉन्फ़िगर किया गया है (SAML, OPenID), लॉगिन के लिए URL, Okta और ऐप्लिकेशन के बीच मैपिंग...
Sign On टैब में एक फ़ील्ड भी है जिसे Password reveal कहा जाता है जो एक उपयोगकर्ता को ऐप्लिकेशन सेटिंग्स की जांच करते समय अपना पासवर्ड प्रकट करने की अनुमति देगा। उपयोगकर्ता पैनल से किसी ऐप्लिकेशन की सेटिंग्स की जांच करने के लिए, 3 बिंदुओं पर क्लिक करें:
और आप ऐप के बारे में कुछ और विवरण देख सकते हैं (जैसे पासवर्ड प्रकट करने की सुविधा, यदि यह सक्षम है):
Access Certifications का उपयोग करें ताकि आप अपने उपयोगकर्ताओं की संसाधनों तक पहुंच की समीक्षा करने के लिए ऑडिट अभियान बना सकें और आवश्यक होने पर स्वचालित रूप से पहुंच को मंजूरी या रद्द कर सकें।
मैंने इसे उपयोग में नहीं देखा है, लेकिन मुझे लगता है कि एक रक्षात्मक दृष्टिकोण से यह एक अच्छा फीचर है।
सुरक्षा सूचना ईमेल: सभी को सक्षम होना चाहिए।
CAPTCHA एकीकरण: कम से कम अदृश्य reCaptcha सेट करना अनुशंसित है
संगठन सुरक्षा: सब कुछ सक्षम किया जा सकता है और सक्रियण ईमेल को लंबे समय तक नहीं रहना चाहिए (7 दिन ठीक है)
उपयोगकर्ता गणना रोकथाम: दोनों को सक्षम होना चाहिए
ध्यान दें कि उपयोगकर्ता गणना रोकथाम तब प्रभावी नहीं होती यदि निम्नलिखित में से कोई भी स्थिति अनुमति दी जाती है (अधिक जानकारी के लिए उपयोगकर्ता प्रबंधन देखें):
स्व-सेवा पंजीकरण
ईमेल प्रमाणीकरण के साथ JIT प्रवाह
Okta ThreatInsight सेटिंग्स: खतरे के स्तर के आधार पर सुरक्षा को लॉग और लागू करें
यहां सही और खतरनाक कॉन्फ़िगर की गई सेटिंग्स को ढूंढना संभव है।
यहां आप सभी प्रमाणीकरण विधियों को पा सकते हैं जो एक उपयोगकर्ता उपयोग कर सकता है: पासवर्ड, फोन, ईमेल, कोड, WebAuthn... पासवर्ड प्रमाणीकरण में क्लिक करके आप पासवर्ड नीति देख सकते हैं। जांचें कि यह मजबूत है।
Enrollment टैब में आप देख सकते हैं कि कौन से आवश्यक या वैकल्पिक हैं:
फोन को अक्षम करना अनुशंसित है। सबसे मजबूत संभवतः पासवर्ड, ईमेल और WebAuthn का संयोजन है।
हर ऐप का एक प्रमाणीकरण नीति होती है। प्रमाणीकरण नीति यह सत्यापित करती है कि जो उपयोगकर्ता ऐप में साइन इन करने की कोशिश कर रहे हैं वे विशिष्ट शर्तों को पूरा करते हैं, और यह उन शर्तों के आधार पर कारक आवश्यकताओं को लागू करती है।
यहां आप प्रत्येक ऐप्लिकेशन तक पहुंचने की आवश्यकताएं पा सकते हैं। प्रत्येक ऐप्लिकेशन के लिए कम से कम पासवर्ड और एक अन्य विधि का अनुरोध करना अनुशंसित है। लेकिन यदि आप एक हमलावर के रूप में कुछ कमजोर पाते हैं तो आप इसे हमले का लक्ष्य बना सकते हैं।
यहां आप विभिन्न समूहों को असाइन की गई सत्र नीतियों को पा सकते हैं। उदाहरण के लिए:
MFA का अनुरोध करना, सत्र की अवधि को कुछ घंटों तक सीमित करना, ब्राउज़र एक्सटेंशन के बीच सत्र कुकीज़ को बनाए न रखना और स्थान और पहचान प्रदाता को सीमित करना (यदि यह संभव है) अनुशंसित है। उदाहरण के लिए, यदि हर उपयोगकर्ता को एक देश से लॉगिन करना चाहिए, तो आप केवल इस स्थान की अनुमति दे सकते हैं।
पहचान प्रदाता (IdPs) वे सेवाएं हैं जो उपयोगकर्ता खातों का प्रबंधन करती हैं। Okta में IdPs जोड़ने से आपके अंत उपयोगकर्ताओं को पहले एक सामाजिक खाते या स्मार्ट कार्ड के साथ प्रमाणीकरण करके आपके कस्टम ऐप्लिकेशनों के साथ स्व-पंजीकरण करने की अनुमति मिलती है।
पहचान प्रदाताओं के पृष्ठ पर, आप सामाजिक लॉगिन (IdPs) जोड़ सकते हैं और इनबाउंड SAML जोड़कर Okta को एक सेवा प्रदाता (SP) के रूप में कॉन्फ़िगर कर सकते हैं। एक बार जब आप IdPs जोड़ लेते हैं, तो आप उपयोगकर्ताओं को एक IdP की ओर निर्देशित करने के लिए रूटिंग नियम सेट कर सकते हैं, जैसे उपयोगकर्ता का स्थान, डिवाइस, या ईमेल डोमेन।
यदि कोई पहचान प्रदाता कॉन्फ़िगर किया गया है तो एक हमलावर और रक्षक के दृष्टिकोण से उस कॉन्फ़िगरेशन की जांच करें और यदि स्रोत वास्तव में विश्वसनीय है क्योंकि एक हमलावर इसे समझौता करके Okta वातावरण तक पहुंच प्राप्त कर सकता है।
प्रतिनिधि प्रमाणीकरण उपयोगकर्ताओं को अपने संगठन के Active Directory (AD) या LDAP सर्वर के लिए क्रेडेंशियल दर्ज करके Okta में साइन इन करने की अनुमति देता है।
फिर से, इसे पुनः जांचें, क्योंकि एक हमलावर जो एक संगठन के AD को समझौता कर सकता है वह इस सेटिंग के कारण Okta में पहुंच प्राप्त कर सकता है।
एक नेटवर्क क्षेत्र एक कॉन्फ़िगर करने योग्य सीमा है जिसका उपयोग आप अपने संगठन में कंप्यूटरों और उपकरणों तक पहुंच अनुमानित या प्रतिबंधित करने के लिए कर सकते हैं जो IP पते के आधार पर है जो पहुंच का अनुरोध कर रहा है। आप एक या अधिक व्यक्तिगत IP पते, IP पते की रेंज, या भौगोलिक स्थान निर्दिष्ट करके एक नेटवर्क क्षेत्र को परिभाषित कर सकते हैं।
एक बार जब आप एक या अधिक नेटवर्क क्षेत्रों को परिभाषित कर लेते हैं, तो आप उन्हें वैश्विक सत्र नीतियों, प्रमाणीकरण नीतियों, VPN सूचनाओं, और रूटिंग नियमों में उपयोग कर सकते हैं।
एक हमलावर के दृष्टिकोण से यह जानना दिलचस्प है कि कौन से Ps की अनुमति है (और जांचें कि क्या कोई IPs अन्य से अधिक विशेषाधिकार प्राप्त हैं)। एक हमलावर के दृष्टिकोण से, यदि उपयोगकर्ताओं को किसी विशिष्ट IP पते या क्षेत्र से पहुंच प्राप्त करनी चाहिए, तो जांचें कि यह सुविधा सही ढंग से उपयोग की जा रही है।
Endpoint Management: एंडपॉइंट प्रबंधन एक शर्त है जिसे प्रमाणीकरण नीति में लागू किया जा सकता है ताकि यह सुनिश्चित किया जा सके कि प्रबंधित उपकरणों को एक ऐप्लिकेशन तक पहुंच प्राप्त है।
मैंने अभी तक इसका उपयोग नहीं देखा है। TODO
Notification services: मैंने अभी तक इसका उपयोग नहीं देखा है। TODO
आप इस पृष्ठ में Okta API टोकन बना सकते हैं, और देख सकते हैं कि कौन से बनाए गए हैं, उनके विशेषाधिकार, समाप्ति समय और Origin URLs। ध्यान दें कि API टोकन उन अनुमतियों के साथ उत्पन्न होते हैं जो उपयोगकर्ता ने टोकन बनाया है और केवल तभी मान्य होते हैं जब उपयोगकर्ता जो उन्हें बनाता है वह सक्रिय हो।
Trusted Origins उन वेबसाइटों को पहुंच प्रदान करते हैं जिन्हें आप नियंत्रित करते हैं और Okta API के माध्यम से आपके Okta संगठन तक पहुंचने के लिए विश्वसनीय हैं।
यहां बहुत सारे API टोकन नहीं होने चाहिए, क्योंकि यदि हैं तो एक हमलावर उन्हें एक्सेस करने और उनका उपयोग करने की कोशिश कर सकता है।
स्वचालन आपको स्वचालित क्रियाएं बनाने की अनुमति देता है जो अंत उपयोगकर्ताओं के जीवन चक्र के दौरान होने वाली ट्रिगर स्थितियों के सेट के आधार पर चलती हैं।
उदाहरण के लिए, एक स्थिति हो सकती है "Okta में उपयोगकर्ता की निष्क्रियता" या "Okta में उपयोगकर्ता का पासवर्ड समाप्ति" और क्रिया हो सकती है "उपयोगकर्ता को ईमेल भेजें" या "Okta में उपयोगकर्ता जीवन चक्र की स्थिति बदलें"।
लॉग डाउनलोड करें। ये वर्तमान खाते के ईमेल पते पर भेजे जाते हैं।
यहां आप उपयोगकर्ताओं द्वारा किए गए कार्यों के लॉग को बहुत सारे विवरणों के साथ पा सकते हैं जैसे Okta में लॉगिन करना या Okta के माध्यम से ऐप्लिकेशनों में लॉगिन करना।
यह अन्य प्लेटफार्मों से लॉग आयात कर सकता है जो Okta के साथ एक्सेस किए गए हैं।
परीक्षा करें कि API दर सीमाएं पहुंच गई हैं।
यहां आप Okta वातावरण के बारे में सामान्य जानकारी पा सकते हैं, जैसे कंपनी का नाम, पता, ईमेल बिलिंग संपर्क, ईमेल तकनीकी संपर्क और यह भी कि किसे Okta अपडेट प्राप्त करने चाहिए और किस प्रकार के Okta अपडेट।
यहां आप अन्य तकनीकों के साथ Okta को समन्वयित करने के लिए Okta एजेंट डाउनलोड कर सकते हैं।
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
