Okta Hardening
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
हमलावर के दृष्टिकोण से, यह बहुत दिलचस्प है क्योंकि आप सभी पंजीकृत उपयोगकर्ताओं, उनके ईमेल पते, समूहों जिनका वे हिस्सा हैं, प्रोफाइल और यहां तक कि डिवाइस (मोबाइल और उनके OS) देख सकेंगे।
एक व्हाइटबॉक्स समीक्षा के लिए जांचें कि "लंबित उपयोगकर्ता क्रिया" और "पासवर्ड रीसेट" नहीं हैं।
यहां आप Okta में सभी बनाए गए समूहों को पाएंगे। यह समझना दिलचस्प है कि उपयोगकर्ताओं को कौन से विभिन्न समूह (अनुमतियों का सेट) दिए जा सकते हैं। यह देखना संभव है कि समूहों में शामिल लोग और प्रत्येक समूह को असाइन किए गए ऐप्स कौन से हैं।
बेशक, admin नाम वाले किसी भी समूह में दिलचस्पी है, विशेष रूप से समूह Global Administrators, सदस्यों की जांच करें ताकि यह जान सकें कि सबसे विशेषाधिकार प्राप्त सदस्य कौन हैं।
एक व्हाइटबॉक्स समीक्षा से, वहां 5 से अधिक वैश्विक व्यवस्थापक नहीं होने चाहिए (यदि केवल 2 या 3 हैं तो बेहतर है)।
यहां सभी उपयोगकर्ताओं के सभी उपकरणों की सूची पाएंगे। आप यह भी देख सकते हैं कि इसे सक्रिय रूप से प्रबंधित किया जा रहा है या नहीं।
यहां यह देखना संभव है कि कैसे प्रमुख जानकारी जैसे पहले नाम, अंतिम नाम, ईमेल, उपयोगकर्ता नाम... Okta और अन्य अनुप्रयोगों के बीच साझा की जाती है। यह दिलचस्प है क्योंकि यदि एक उपयोगकर्ता Okta में एक फ़ील्ड (जैसे उसका नाम या ईमेल) को संशोधित कर सकता है, जो फिर एक बाहरी अनुप्रयोग द्वारा उपयोग किया जाता है ताकि उपयोगकर्ता की पहचान की जा सके, तो एक अंदरूनी व्यक्ति अन्य खातों पर नियंत्रण करने की कोशिश कर सकता है।
इसके अलावा, Okta के प्रोफाइल User (default)
में आप देख सकते हैं कि कौन से फ़ील्ड प्रत्येक उपयोगकर्ता के पास हैं और कौन से उपयोगकर्ताओं द्वारा लिखने योग्य हैं। यदि आप व्यवस्थापक पैनल नहीं देख सकते हैं, तो बस अपनी प्रोफाइल जानकारी को अपडेट करने के लिए जाएं और आप देखेंगे कि आप कौन से फ़ील्ड अपडेट कर सकते हैं (ध्यान दें कि एक ईमेल पते को अपडेट करने के लिए आपको इसे सत्यापित करने की आवश्यकता होगी)।
डायरेक्टरीज़ आपको मौजूदा स्रोतों से लोगों को आयात करने की अनुमति देती हैं। मुझे लगता है कि यहां आप अन्य डायरेक्टरीज़ से आयातित उपयोगकर्ताओं को देखेंगे।
मैंने इसे नहीं देखा है, लेकिन मुझे लगता है कि यह पता लगाने के लिए दिलचस्प है कि Okta अन्य उपयोगकर्ताओं को आयात करने के लिए कौन सी डायरेक्टरीज़ का उपयोग कर रहा है, इसलिए यदि आप उस डायरेक्टरी को समझौता करते हैं तो आप Okta में बनाए गए उपयोगकर्ताओं में कुछ विशेषताओं के मान सेट कर सकते हैं और शायद Okta वातावरण को समझौता कर सकते हैं।
एक प्रोफाइल स्रोत एक ऐसा अनुप्रयोग है जो उपयोगकर्ता प्रोफाइल विशेषताओं के लिए सत्यता का स्रोत के रूप में कार्य करता है। एक उपयोगकर्ता केवल एक समय में एक ही अनुप्रयोग या डायरेक्टरी द्वारा स्रोत किया जा सकता है।
मैंने इसे नहीं देखा है, इसलिए इस विकल्प के संबंध में सुरक्षा और हैकिंग के बारे में कोई भी जानकारी सराहनीय है।
इस अनुभाग के Domains टैब में जांचें कि ईमेल पते किसका उपयोग ईमेल भेजने के लिए किया जाता है और कंपनी का Okta में कस्टम डोमेन (जिसे आप शायद पहले से जानते हैं)।
इसके अलावा, Setting टैब में, यदि आप व्यवस्थापक हैं, तो आप "एक कस्टम साइन-आउट पृष्ठ का उपयोग करें" और एक कस्टम URL सेट कर सकते हैं।
यहां कुछ दिलचस्प नहीं है।
आप यहां कॉन्फ़िगर किए गए अनुप्रयोगों को पा सकते हैं, लेकिन हम बाद में एक अलग अनुभाग में उनके विवरण देखेंगे।
दिलचस्प सेटिंग, लेकिन सुरक्षा के दृष्टिकोण से कुछ सुपर दिलचस्प नहीं है।
यहां आप सभी कॉन्फ़िगर किए गए अनुप्रयोगों और उनके विवरण को पा सकते हैं: किसके पास उन तक पहुंच है, यह कैसे कॉन्फ़िगर किया गया है (SAML, OPenID), लॉगिन के लिए URL, Okta और अनुप्रयोग के बीच मैपिंग...
Sign On
टैब में एक फ़ील्ड भी है जिसे Password reveal
कहा जाता है जो एक उपयोगकर्ता को अपने पासवर्ड को प्रकट करने की अनुमति देगा जब वह अनुप्रयोग सेटिंग्स की जांच कर रहा हो। उपयोगकर्ता पैनल से एक अनुप्रयोग की सेटिंग्स की जांच करने के लिए, 3 बिंदुओं पर क्लिक करें:
और आप ऐप के बारे में कुछ और विवरण देख सकते हैं (जैसे पासवर्ड प्रकट करने की सुविधा, यदि यह सक्षम है):
Access Certifications का उपयोग करें ताकि आप अपने उपयोगकर्ताओं की संसाधनों तक पहुंच की समीक्षा करने के लिए ऑडिट अभियान बना सकें और आवश्यक होने पर स्वचालित रूप से पहुंच को अनुमोदित या रद्द कर सकें।
मैंने इसे उपयोग में नहीं देखा है, लेकिन मुझे लगता है कि एक रक्षात्मक दृष्टिकोण से यह एक अच्छा फीचर है।
सुरक्षा सूचना ईमेल: सभी को सक्षम होना चाहिए।
CAPTCHA एकीकरण: कम से कम अदृश्य reCaptcha सेट करना अनुशंसित है
संगठन सुरक्षा: सब कुछ सक्षम किया जा सकता है और सक्रियण ईमेल को लंबे समय तक नहीं रहना चाहिए (7 दिन ठीक है)
उपयोगकर्ता गणना रोकथाम: दोनों को सक्षम होना चाहिए
ध्यान दें कि उपयोगकर्ता गणना रोकथाम तब प्रभावी नहीं होती यदि निम्नलिखित में से कोई भी स्थिति अनुमति दी जाती है (अधिक जानकारी के लिए उपयोगकर्ता प्रबंधन देखें):
स्व-सेवा पंजीकरण
ईमेल प्रमाणीकरण के साथ JIT प्रवाह
Okta ThreatInsight सेटिंग्स: खतरे के स्तर के आधार पर सुरक्षा को लॉग और लागू करें
यहां सही और खतरनाक कॉन्फ़िगर की गई सेटिंग्स को ढूंढना संभव है।
यहां आप सभी प्रमाणीकरण विधियों को पा सकते हैं जिनका उपयोग एक उपयोगकर्ता कर सकता है: पासवर्ड, फोन, ईमेल, कोड, WebAuthn... पासवर्ड प्रमाणीकरण में क्लिक करने पर आप पासवर्ड नीति देख सकते हैं। जांचें कि यह मजबूत है।
Enrollment टैब में आप देख सकते हैं कि कौन से आवश्यक या वैकल्पिक हैं:
फोन को अक्षम करना अनुशंसित है। सबसे मजबूत संभवतः पासवर्ड, ईमेल और WebAuthn का संयोजन हैं।
हर ऐप की एक प्रमाणीकरण नीति होती है। प्रमाणीकरण नीति यह सत्यापित करती है कि जो उपयोगकर्ता ऐप में साइन इन करने की कोशिश कर रहे हैं वे विशिष्ट शर्तों को पूरा करते हैं, और यह उन शर्तों के आधार पर कारक आवश्यकताओं को लागू करती है।
यहां आप प्रत्येक अनुप्रयोग तक पहुंचने की आवश्यकताएं पा सकते हैं। प्रत्येक अनुप्रयोग के लिए कम से कम पासवर्ड और एक अन्य विधि का अनुरोध करना अनुशंसित है। लेकिन यदि आप हमलावर के रूप में कुछ कमजोर पाते हैं तो आप इसे हमले का लक्ष्य बना सकते हैं।
यहां आप विभिन्न समूहों को असाइन की गई सत्र नीतियों को पा सकते हैं। उदाहरण के लिए:
MFA का अनुरोध करना, सत्र की अवधि को कुछ घंटों तक सीमित करना, ब्राउज़र एक्सटेंशन के बीच सत्र कुकीज़ को बनाए न रखना और स्थान और पहचान प्रदाता को सीमित करना (यदि यह संभव है) अनुशंसित है। उदाहरण के लिए, यदि हर उपयोगकर्ता को एक देश से लॉगिन करना चाहिए, तो आप केवल इस स्थान की अनुमति दे सकते हैं।
पहचान प्रदाता (IdPs) वे सेवाएं हैं जो उपयोगकर्ता खातों का प्रबंधन करती हैं। Okta में IdPs जोड़ने से आपके अंतिम उपयोगकर्ताओं को पहले एक सामाजिक खाते या स्मार्ट कार्ड के साथ प्रमाणीकरण करके आपके कस्टम अनुप्रयोगों के साथ स्व-पंजीकरण करने की अनुमति मिलती है।
पहचान प्रदाताओं के पृष्ठ पर, आप सामाजिक लॉगिन (IdPs) जोड़ सकते हैं और इनबाउंड SAML जोड़कर Okta को एक सेवा प्रदाता (SP) के रूप में कॉन्फ़िगर कर सकते हैं। एक बार जब आप IdPs जोड़ लेते हैं, तो आप उपयोगकर्ताओं को संदर्भ के आधार पर IdP की ओर निर्देशित करने के लिए रूटिंग नियम सेट कर सकते हैं, जैसे उपयोगकर्ता का स्थान, डिवाइस, या ईमेल डोमेन।
यदि कोई पहचान प्रदाता कॉन्फ़िगर किया गया है तो हमलावर और रक्षक के दृष्टिकोण से उस कॉन्फ़िगरेशन की जांच करें और यदि स्रोत वास्तव में विश्वसनीय है क्योंकि एक हमलावर इसे समझौता करके Okta वातावरण तक भी पहुंच प्राप्त कर सकता है।
प्रतिनिधि प्रमाणीकरण उपयोगकर्ताओं को अपने संगठन के Active Directory (AD) या LDAP सर्वर के लिए क्रेडेंशियल दर्ज करके Okta में साइन इन करने की अनुमति देता है।
फिर से, इसे फिर से जांचें, क्योंकि एक हमलावर जो किसी संगठन के AD को समझौता कर सकता है वह इस सेटिंग के कारण Okta में भी पहुंच प्राप्त कर सकता है।
एक नेटवर्क क्षेत्र एक कॉन्फ़िगर करने योग्य सीमा है जिसका उपयोग आप अपने संगठन में कंप्यूटर और उपकरणों को IP पते के आधार पर पहुंच देने या प्रतिबंधित करने के लिए कर सकते हैं। आप एक या अधिक व्यक्तिगत IP पते, IP पते की रेंज, या भौगोलिक स्थान निर्दिष्ट करके एक नेटवर्क क्षेत्र को परिभाषित कर सकते हैं।
एक बार जब आप एक या अधिक नेटवर्क क्षेत्रों को परिभाषित कर लेते हैं, तो आप उन्हें वैश्विक सत्र नीतियों, प्रमाणीकरण नीतियों, VPN सूचनाओं, और रूटिंग नियमों में उपयोग कर सकते हैं।
हमलावर के दृष्टिकोण से यह जानना दिलचस्प है कि कौन से IPs की अनुमति है (और जांचें कि क्या कोई IPs अन्य से अधिक विशेषाधिकार प्राप्त हैं)। हमलावर के दृष्टिकोण से, यदि उपयोगकर्ताओं को किसी विशिष्ट IP पते या क्षेत्र से पहुंच प्राप्त करनी चाहिए, तो जांचें कि यह सुविधा सही ढंग से उपयोग की जा रही है।
Endpoint Management: एंडपॉइंट प्रबंधन एक ऐसी स्थिति है जिसे प्रमाणीकरण नीति में लागू किया जा सकता है ताकि यह सुनिश्चित किया जा सके कि प्रबंधित उपकरणों को एक अनुप्रयोग तक पहुंच प्राप्त है।
मैंने इसे अभी तक उपयोग में नहीं देखा है। TODO
Notification services: मैंने इसे अभी तक उपयोग में नहीं देखा है। TODO
आप इस पृष्ठ पर Okta API टोकन बना सकते हैं, और देख सकते हैं कि कौन से बनाए गए हैं, उनके विशेषाधिकार, समाप्ति समय और Origin URLs। ध्यान दें कि API टोकन उन अनुमतियों के साथ उत्पन्न होते हैं जो उपयोगकर्ता ने टोकन बनाया है और केवल तभी मान्य होते हैं जब उपयोगकर्ता जो उन्हें बनाता है वह सक्रिय हो।
Trusted Origins उन वेबसाइटों को पहुंच प्रदान करते हैं जिन्हें आप नियंत्रित करते हैं और जिन्हें आप Okta API के माध्यम से अपने Okta संगठन तक पहुंचने के लिए विश्वसनीय मानते हैं।
API टोकन की संख्या अधिक नहीं होनी चाहिए, क्योंकि यदि अधिक हैं तो एक हमलावर उन्हें एक्सेस करने और उनका उपयोग करने की कोशिश कर सकता है।
स्वचालन आपको स्वचालित क्रियाएं बनाने की अनुमति देता है जो अंतिम उपयोगकर्ताओं के जीवन चक्र के दौरान होने वाली ट्रिगर स्थितियों के सेट के आधार पर चलती हैं।
उदाहरण के लिए, एक स्थिति "Okta में उपयोगकर्ता की निष्क्रियता" या "Okta में उपयोगकर्ता पासवर्ड की समाप्ति" हो सकती है और क्रिया "उपयोगकर्ता को ईमेल भेजें" या "Okta में उपयोगकर्ता जीवन चक्र की स्थिति बदलें" हो सकती है।
लॉग डाउनलोड करें। ये वर्तमान खाते के ईमेल पते पर भेजे जाते हैं।
यहां आप उपयोगकर्ताओं द्वारा किए गए कार्यों के लॉग को बहुत सारे विवरणों के साथ पा सकते हैं जैसे Okta में लॉगिन करना या Okta के माध्यम से अनुप्रयोगों में लॉगिन करना।
यह अन्य प्लेटफार्मों से लॉग आयात कर सकता है जिनका उपयोग Okta के साथ किया गया है।
API दर सीमाओं की जांच करें।
यहां आप Okta वातावरण के बारे में सामान्य जानकारी पा सकते हैं, जैसे कंपनी का नाम, पता, ईमेल बिलिंग संपर्क, ईमेल तकनीकी संपर्क और यह भी कि किसे Okta अपडेट प्राप्त करने चाहिए और किस प्रकार के Okta अपडेट।
यहां आप Okta एजेंट डाउनलोड कर सकते हैं ताकि Okta को अन्य तकनीकों के साथ समन्वयित किया जा सके।
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)