Okta Hardening

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Directory

People

Από την οπτική γωνία ενός επιτιθέμενου, αυτό είναι πολύ ενδιαφέρον καθώς θα μπορείτε να δείτε όλους τους εγγεγραμμένους χρήστες, τις διευθύνσεις email τους, τις ομάδες στις οποίες ανήκουν, προφίλ και ακόμη και συσκευές (κινητά μαζί με τα λειτουργικά τους συστήματα).

Για μια ανασκόπηση whitebox ελέγξτε ότι δεν υπάρχουν πολλές “Εκκρεμείς ενέργειες χρήστη” και “Επαναφορά κωδικού πρόσβασης”.

Groups

Εδώ θα βρείτε όλες τις δημιουργημένες ομάδες στο Okta. Είναι ενδιαφέρον να κατανοήσετε τις διαφορετικές ομάδες (σύνολο δικαιωμάτων) που θα μπορούσαν να παραχωρηθούν σε χρήστες.
Είναι δυνατόν να δείτε τους ανθρώπους που περιλαμβάνονται σε ομάδες και τις εφαρμογές που έχουν ανατεθεί σε κάθε ομάδα.

Φυσικά, οποιαδήποτε ομάδα με το όνομα admin είναι ενδιαφέρουσα, ειδικά η ομάδα Global Administrators, ελέγξτε τα μέλη για να μάθετε ποιοι είναι οι πιο προνομιούχοι.

Από μια ανασκόπηση whitebox, δεν θα πρέπει να υπάρχουν περισσότερα από 5 παγκόσμιοι διαχειριστές (καλύτερα αν υπάρχουν μόνο 2 ή 3).

Devices

Βρείτε εδώ μια λίστα με όλες τις συσκευές όλων των χρηστών. Μπορείτε επίσης να δείτε αν διαχειρίζεται ενεργά ή όχι.

Profile Editor

Εδώ είναι δυνατόν να παρατηρήσετε πώς οι βασικές πληροφορίες όπως τα ονόματα, τα επώνυμα, τα email, τα ονόματα χρήστη… μοιράζονται μεταξύ του Okta και άλλων εφαρμογών. Αυτό είναι ενδιαφέρον γιατί αν ένας χρήστης μπορεί να τροποποιήσει στο Okta ένα πεδίο (όπως το όνομά του ή το email) που στη συνέχεια χρησιμοποιείται από μια εξωτερική εφαρμογή για να ταυτοποιήσει τον χρήστη, ένας εσωτερικός χρήστης θα μπορούσε να προσπαθήσει να αναλάβει άλλους λογαριασμούς.

Επιπλέον, στο προφίλ User (default) από το Okta μπορείτε να δείτε ποια πεδία έχει κάθε χρήστης και ποια είναι γραπτά από τους χρήστες. Αν δεν μπορείτε να δείτε τον πίνακα διαχείρισης, απλώς μεταβείτε για να ενημερώσετε τις πληροφορίες του προφίλ σας και θα δείτε ποια πεδία μπορείτε να ενημερώσετε (σημειώστε ότι για να ενημερώσετε μια διεύθυνση email θα χρειαστεί να την επιβεβαιώσετε).

Directory Integrations

Οι καταλόγοι σας επιτρέπουν να εισάγετε άτομα από υπάρχουσες πηγές. Υποθέτω ότι εδώ θα δείτε τους χρήστες που εισάγονται από άλλους καταλόγους.

Δεν το έχω δει, αλλά υποθέτω ότι αυτό είναι ενδιαφέρον για να ανακαλύψετε άλλους καταλόγους που χρησιμοποιεί το Okta για να εισάγει χρήστες ώστε αν συμβιβάσετε αυτόν τον κατάλογο να μπορείτε να ορίσετε κάποιες τιμές χαρακτηριστικών στους χρήστες που δημιουργούνται στο Okta και ίσως να συμβιβάσετε το περιβάλλον του Okta.

Profile Sources

Μια πηγή προφίλ είναι μια εφαρμογή που λειτουργεί ως πηγή αλήθειας για τα χαρακτηριστικά του προφίλ χρήστη. Ένας χρήστης μπορεί να προέρχεται μόνο από μία εφαρμογή ή κατάλογο τη φορά.

Δεν το έχω δει, οπότε οποιαδήποτε πληροφορία σχετικά με την ασφάλεια και την hacking σχετικά με αυτή την επιλογή είναι ευπρόσδεκτη.

Customizations

Brands

Ελέγξτε στην καρτέλα Domains αυτής της ενότητας τις διευθύνσεις email που χρησιμοποιούνται για την αποστολή email και το προσαρμοσμένο domain μέσα στο Okta της εταιρείας (το οποίο πιθανώς ήδη γνωρίζετε).

Επιπλέον, στην καρτέλα Setting, αν είστε διαχειριστής, μπορείτε να “Χρησιμοποιήσετε μια προσαρμοσμένη σελίδα αποσύνδεσης” και να ορίσετε μια προσαρμοσμένη διεύθυνση URL.

SMS

Τίποτα ενδιαφέρον εδώ.

End-User Dashboard

Μπορείτε να βρείτε εδώ τις εφαρμογές που έχουν ρυθμιστεί, αλλά θα δούμε τις λεπτομέρειες αυτών αργότερα σε μια διαφορετική ενότητα.

Other

Ενδιαφέρουσα ρύθμιση, αλλά τίποτα υπερβολικά ενδιαφέρον από άποψη ασφάλειας.

Applications

Applications

Εδώ μπορείτε να βρείτε όλες τις ρυθμισμένες εφαρμογές και τις λεπτομέρειές τους: Ποιος έχει πρόσβαση σε αυτές, πώς είναι ρυθμισμένες (SAML, OpenID), URL για σύνδεση, οι αντιστοιχίσεις μεταξύ του Okta και της εφαρμογής…

Στην καρτέλα Sign On υπάρχει επίσης ένα πεδίο που ονομάζεται Password reveal που θα επιτρέπει σε έναν χρήστη να αποκαλύψει τον κωδικό πρόσβασής του όταν ελέγχει τις ρυθμίσεις της εφαρμογής. Για να ελέγξετε τις ρυθμίσεις μιας εφαρμογής από τον Πίνακα Χρηστών, κάντε κλικ στις 3 τελείες:

Και θα μπορούσατε να δείτε μερικές περισσότερες λεπτομέρειες σχετικά με την εφαρμογή (όπως τη δυνατότητα αποκάλυψης κωδικού πρόσβασης, αν είναι ενεργοποιημένη):

Identity Governance

Access Certifications

Χρησιμοποιήστε τις Πιστοποιήσεις Πρόσβασης για να δημιουργήσετε εκστρατείες ελέγχου για να αναθεωρήσετε την πρόσβαση των χρηστών σας σε πόρους περιοδικά και να εγκρίνετε ή να ανακαλέσετε την πρόσβαση αυτόματα όταν απαιτείται.

Δεν το έχω δει να χρησιμοποιείται, αλλά υποθέτω ότι από αμυντική άποψη είναι μια ωραία δυνατότητα.

Security

General

  • Emails ειδοποίησης ασφαλείας: Όλα θα πρέπει να είναι ενεργοποιημένα.
  • Ενσωμάτωση CAPTCHA: Συνιστάται να ρυθμίσετε τουλάχιστον το αόρατο reCaptcha
  • Ασφάλεια Οργάνωσης: Όλα μπορούν να ενεργοποιηθούν και τα email ενεργοποίησης δεν θα πρέπει να διαρκούν πολύ (7 ημέρες είναι εντάξει)
  • Πρόληψη καταμέτρησης χρηστών: Και τα δύο θα πρέπει να είναι ενεργοποιημένα
  • Σημειώστε ότι η Πρόληψη Καταμέτρησης Χρηστών δεν ισχύει αν επιτρέπεται οποιαδήποτε από τις παρακάτω συνθήκες (Δείτε Διαχείριση χρηστών για περισσότερες πληροφορίες):
  • Αυτοεξυπηρέτηση Εγγραφής
  • Ροές JIT με αυθεντικοποίηση email
  • Ρυθμίσεις Okta ThreatInsight: Καταγράψτε και επιβάλετε ασφάλεια με βάση το επίπεδο απειλής

HealthInsight

Εδώ είναι δυνατόν να βρείτε σωστά και επικίνδυνα ρυθμισμένα settings.

Authenticators

Εδώ μπορείτε να βρείτε όλες τις μεθόδους αυθεντικοποίησης που θα μπορούσε να χρησιμοποιήσει ένας χρήστης: Κωδικός πρόσβασης, τηλέφωνο, email, κωδικός, WebAuthn… Κάνοντας κλικ στον αυθεντικοποιητή Κωδικού πρόσβασης μπορείτε να δείτε την πολιτική κωδικού πρόσβασης. Ελέγξτε ότι είναι ισχυρή.

Στην καρτέλα Enrollment μπορείτε να δείτε πώς είναι οι απαιτούμενες ή προαιρετικές:

Συνιστάται να απενεργοποιήσετε το τηλέφωνο. Οι πιο ισχυρές είναι πιθανώς ένας συνδυασμός κωδικού πρόσβασης, email και WebAuthn.

Authentication policies

Κάθε εφαρμογή έχει μια πολιτική αυθεντικοποίησης. Η πολιτική αυθεντικοποίησης επαληθεύει ότι οι χρήστες που προσπαθούν να συνδεθούν στην εφαρμογή πληρούν συγκεκριμένες προϋποθέσεις και επιβάλλει απαιτήσεις παραγόντων με βάση αυτές τις προϋποθέσεις.

Εδώ μπορείτε να βρείτε τις απαιτήσεις για πρόσβαση σε κάθε εφαρμογή. Συνιστάται να ζητήσετε τουλάχιστον κωδικό πρόσβασης και άλλη μέθοδο για κάθε εφαρμογή. Αλλά αν ως επιτιθέμενος βρείτε κάτι πιο αδύναμο μπορεί να είστε σε θέση να το επιτεθείτε.

Global Session Policy

Εδώ μπορείτε να βρείτε τις πολιτικές συνεδρίας που έχουν ανατεθεί σε διαφορετικές ομάδες. Για παράδειγμα:

Συνιστάται να ζητήσετε MFA, να περιορίσετε τη διάρκεια της συνεδρίας σε μερικές ώρες, να μην διατηρείτε cookies συνεδρίας σε επεκτάσεις προγράμματος περιήγησης και να περιορίσετε την τοποθεσία και τον Παροχέα Ταυτότητας (αν αυτό είναι δυνατό). Για παράδειγμα, αν κάθε χρήστης θα πρέπει να συνδεθεί από μια χώρα, θα μπορούσατε να επιτρέψετε μόνο αυτή την τοποθεσία.

Identity Providers

Οι Παροχείς Ταυτότητας (IdPs) είναι υπηρεσίες που διαχειρίζονται λογαριασμούς χρηστών. Η προσθήκη IdPs στο Okta επιτρέπει στους τελικούς χρήστες σας να εγγραφούν μόνοι τους με τις προσαρμοσμένες εφαρμογές σας πρώτα αυθεντικοποιώντας με έναν κοινωνικό λογαριασμό ή μια έξυπνη κάρτα.

Στη σελίδα Παροχών Ταυτότητας, μπορείτε να προσθέσετε κοινωνικές συνδέσεις (IdPs) και να ρυθμίσετε το Okta ως πάροχο υπηρεσιών (SP) προσθέτοντας εισερχόμενο SAML. Αφού προσθέσετε IdPs, μπορείτε να ρυθμίσετε κανόνες δρομολόγησης για να κατευθύνετε τους χρήστες σε έναν IdP με βάση το πλαίσιο, όπως η τοποθεσία του χρήστη, η συσκευή ή το domain email.

Αν οποιοσδήποτε πάροχος ταυτότητας είναι ρυθμισμένος από την οπτική γωνία επιτιθέμενου και αμυντικού ελέγξτε αυτή τη ρύθμιση και αν η πηγή είναι πραγματικά αξιόπιστη καθώς ένας επιτιθέμενος που τον συμβιβάσει θα μπορούσε επίσης να αποκτήσει πρόσβαση στο περιβάλλον του Okta.

Delegated Authentication

Η εξουσιοδότηση μέσω αντιπροσώπου επιτρέπει στους χρήστες να συνδέονται στο Okta εισάγοντας διαπιστευτήρια για τον Active Directory (AD) ή LDAP server της οργάνωσής τους.

Και πάλι, ελέγξτε αυτό, καθώς ένας επιτιθέμενος που συμβιβάσει τον AD μιας οργάνωσης θα μπορούσε να είναι σε θέση να μεταπηδήσει στο Okta χάρη σε αυτή τη ρύθμιση.

Network

Μια ζώνη δικτύου είναι ένα ρυθμιζόμενο όριο που μπορείτε να χρησιμοποιήσετε για να παρέχετε ή να περιορίσετε την πρόσβαση σε υπολογιστές και συσκευές στην οργάνωσή σας με βάση τη διεύθυνση IP που ζητά πρόσβαση. Μπορείτε να ορίσετε μια ζώνη δικτύου καθορίζοντας μία ή περισσότερες μεμονωμένες διευθύνσεις IP, εύρη διευθύνσεων IP ή γεωγραφικές τοποθεσίες.

Αφού ορίσετε μία ή περισσότερες ζώνες δικτύου, μπορείτε να τις χρησιμοποιήσετε σε Παγκόσμιες Πολιτικές Συνεδρίας, πολιτικές αυθεντικοποίησης, ειδοποιήσεις VPN και κανόνες δρομολόγησης.

Από την οπτική γωνία ενός επιτιθέμενου είναι ενδιαφέρον να γνωρίζετε ποιες IPs επιτρέπονται (και να ελέγξετε αν οποιαδήποτε IPs είναι πιο προνομιούχες από άλλες). Από την οπτική γωνία ενός επιτιθέμενου, αν οι χρήστες θα πρέπει να έχουν πρόσβαση από μια συγκεκριμένη διεύθυνση IP ή περιοχή ελέγξτε ότι αυτή η δυνατότητα χρησιμοποιείται σωστά.

Device Integrations

  • Διαχείριση Τερματικών: Η διαχείριση τερματικών είναι μια προϋπόθεση που μπορεί να εφαρμοστεί σε μια πολιτική αυθεντικοποίησης για να διασφαλιστεί ότι οι διαχειριζόμενες συσκευές έχουν πρόσβαση σε μια εφαρμογή.
  • Δεν το έχω δει να χρησιμοποιείται ακόμα. TODO
  • Υπηρεσίες ειδοποίησης: Δεν το έχω δει να χρησιμοποιείται ακόμα. TODO

API

Μπορείτε να δημιουργήσετε tokens API Okta σε αυτή τη σελίδα και να δείτε αυτά που έχουν δημιουργηθεί, τα δικαιώματα τους, τον χρόνο λήξης και τις διευθύνσεις προέλευσης. Σημειώστε ότι τα tokens API δημιουργούνται με τα δικαιώματα του χρήστη που δημιούργησε το token και είναι έγκυρα μόνο αν ο χρήστης που τα δημιούργησε είναι ενεργός.

Οι Εμπιστευμένες Προελεύσεις παρέχουν πρόσβαση σε ιστότοπους που ελέγχετε και εμπιστεύεστε για να αποκτήσετε πρόσβαση στην οργάνωση Okta μέσω του API Okta.

Δεν θα πρέπει να υπάρχουν πολλά tokens API, καθώς αν υπάρχουν, ένας επιτιθέμενος θα μπορούσε να προσπαθήσει να τα αποκτήσει και να τα χρησιμοποιήσει.

Workflow

Automations

Οι αυτοματισμοί σας επιτρέπουν να δημιουργείτε αυτοματοποιημένες ενέργειες που εκτελούνται με βάση ένα σύνολο συνθηκών ενεργοποίησης που συμβαίνουν κατά τη διάρκεια του κύκλου ζωής των τελικών χρηστών.

Για παράδειγμα, μια συνθήκη θα μπορούσε να είναι “Αδράνεια χρήστη στο Okta” ή “Λήξη κωδικού πρόσβασης χρήστη στο Okta” και η ενέργεια θα μπορούσε να είναι “Αποστολή email στον χρήστη” ή “Αλλαγή κατάστασης κύκλου ζωής χρήστη στο Okta”.

Reports

Reports

Κατεβάστε τα logs. Αποστέλλονται στη διεύθυνση email του τρέχοντος λογαριασμού.

System Log

Εδώ μπορείτε να βρείτε τα logs των ενεργειών που εκτελούνται από τους χρήστες με πολλές λεπτομέρειες όπως η σύνδεση στο Okta ή σε εφαρμογές μέσω του Okta.

Import Monitoring

Αυτό μπορεί να εισάγει logs από άλλες πλατφόρμες που προσπελάστηκαν με το Okta.

Rate limits

Ελέγξτε τα όρια ρυθμού API που έχουν επιτευχθεί.

Settings

Account

Εδώ μπορείτε να βρείτε γενικές πληροφορίες σχετικά με το περιβάλλον του Okta, όπως το όνομα της εταιρείας, τη διεύθυνση, τον επαφή τιμολόγησης email, τον τεχνικό επαφή email και επίσης ποιος θα πρέπει να λαμβάνει ενημερώσεις Okta και ποιο είδος ενημερώσεων Okta.

Downloads

Εδώ μπορείτε να κατεβάσετε τους πράκτορες Okta για να συγχρονίσετε το Okta με άλλες τεχνολογίες.

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks