На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Инвентаризация сети NetBIOS

При условии, что предварительный сбор данных и сканирование не выявили прямых путей к победе, злоумышленник попытается получить более подробную информацию об интере­сующих целях атаки, например, действительные имена пользователей или же слабо защи­щенные совместно используемые ресурсы. В системах Windows Server 2О03 существует множест­во путей извлечения подобной информации, а сам процесс мы называем инвентаризацией.
Ключевое отличие описанных ранее методов сбора информации от инвентаризации состоит в уровне доступа: инвентаризация подразумевает непосредственное соединение с системами и вы­полнение прямых запросов. Соответственно, злоумышленник может (и должен!) входить В систему или должен быть зарегистрирован в ней каким-нибудь иным образом. Мы покажем, что нужно ис­кать в журналах и как, при возможности, заблокировать такие действия,
На первый взгляд информация, собранная при инвентаризации, может показаться без­вредной. Но получение данных через бреши в системе обороны может оказаться губительным для всей стратегии безопасности, что мы и постараемся продемонстрировать на страницах этой главы. В общем случае, как только хакер получает действительное имя пользователя или доступ к совместно используемому ресурсу, подбор соответствующего пароля или выявление уязвимого места, связанного с протоколом совместного использования ресурса, становится лишь вопросом времени. Закрывая легко обнаруживаемые бреши в системе защиты, вы ли­шаете злоумышленника основной добычи.
Наше описание инвентаризации систем под управлением Windows Server 2003 сгруппирова­но по следующим темам,
т Инвентаризация сети NetBIOS
■ Инвентаризация служб удаленного вызова процедур (MS RPC— Microsoft Remote Procedure Call)
■ Инвентаризация служб SMB (Server Message Block — блок сообщений сервера)
■ Инвентаризация служб DNS
■ Инвентаризация SNMP
* Инвентаризация служб Active Directory
Для начала проанализируем уже собранную информацию, чтобы разобраться, с чего начать.
Вступление: изучение результатов сканирования
Различные способы инвентаризации обычно направлены на изучение конкретных служб, поэтому их необходимо использовать в соответствии с информацией, полученной при скани­ровании портов (см. главу 3, "Предварительный сбор данных и сканирование"). В табл. 4.1 перечислены службы, которые в основном проверяют хакеры при инвентаризации.
ТаЩица 4J.^j^6^^^^^^irer2003 исподь^емые хакща^й
Порт___Сервис_
TCP 53 Перенос зоны DMS
TCP 135 Распределитель адресата RPC
UDP 137 Служба имен NetBIOS (NBNS)
TCP 139 Служба сеансов NetBIOS (SMB поверх NetBIOS)
Порт Сервис
TCP 445 SMB поверх TCP (Direct Host)
UDP 161 Протокол SNMP (Simple Network Management Protocol]
TCP/UDP ЗВЭ Протокол ШАР (Lightweight Directory Access Protocol)
TCP/UDP 3268 Служба глобального каталога (Global Catalog Service)
В последующих разделах мы подробно рассмотрим атаки на эти службы, И что самое глав­ное — без необходимости аутентификации в системе!
Имена NetBIOS и IP-адреса

Не забывайте, что для замены IP-адресов машин их именами NetBIOS можно воспользо­ваться информацией, полученной при исследовании сети с помощью ping-запросов (см. главу 3, "Предварительный сбор данных и сканирование"). В большинстве случаев IP-адреса и имена NetBIOS взаимозаменяемы (например, адрес \\1Э2 .168 .202. 5 может быть эквивалентом имени \ \ SERVER_NAME). Для удобства злоумышленник может добавить соответствующие зна­чения в файл %sys-еш-оо t%\system3 2\drivers\eCc\LMHOSTS с добавлением синтаксиса #РДЕ, после чего необходимо выполнить из командной строки команду nbstst -R, чтобы пе­резагрузить таблицу имен. После этой операции при атаках можно использовать имена NetBIOS, которые будут преобразованы в [Р-адреса, сохраненные в файле LMHOSTS.
Будьте осторожны при организации сеанса работы с использованием IP-адресов вместо имен NetBIOS. Все последующие команды необходимо запускать для конкретной удаленной машины. Например, если вы установили "нулевой" сеанс (null session) по адресу \\192.168.2.5,а затем попытались извлечь информацию используя имя NetBIOS той же системы, то ничего не получит­ся. Windows запоминает, какое имя было указано, даже если пользователь сам это забыл!
О Отключите и заблокируйте эти службы!
Конечно же, единственной мерой противодействия относительно любого уязвимого мес­та, упомянутого в данной главе, является отключение служб, перечисленных в табл. 4.1. Мы покажем, насколько уязвимыми становятся системы, в которых не отключены эти службы по техническим причинам или из-за принятой политики. Также мы продемонстрируем специ­альные меры для уменьшения риска, который появляется при запуске этих служб. Если все-таки перечисленные выше службы работают в вашей системе, а особенно службы на основе протокола SMB (поверх NetBIOS или поверх TCP), то такая система всегда подвергается оп­ределенному риску компрометации.
Конечно, не менее важно заблокировать доступ к службам через внешние сетевые шлюзы. Эти службы в своем большинстве разрабатывались для работы в локальной сети без проверки прав доступа. Если они доступны через Internet, то взлом сети становится вопросом време­ни — это почти гарантировано.
И последним в списке, но не последним по значению является необходимость создания эшелонированной системы защиты. Доступ к службам необходимо ограничивать и на уровне отдельных хостов. Отличным средством для достижения этой цели является применение программного брандмауэра Internet Connection Firewall (ICF), который входит в состав сис­темы Windows: Server ЭП03

Инвентаризация службы имен NetBIOS
Первое, что удаленный взломщик попытается сделать в хорошо защищенной сети систем Windows Server 2003, — это узнать конфигурацию сети. Поскольку системы Windows Server 2003 все еще очень зависимы от службы имен NetBIOS (NBNS, которая использует UDP-порт 137), этот процесс мы иногда называем "инвентаризация сети NetBIOS". Доступно множество средств и методов обмена информацией по протоколу NetBIOS, большинство из которых встроены в сами операционные системы семейства Windows NTT Их мы и опишем сначала, а за­тем перейдем к средствам, разработанными другими компаниями. Описание мер противодейст­вия отложим до конца раздела, так как в данном случае они достаточно просты, и все необходи­мые действия могут быть выполнены чрезвычайно быстро.
Инвентаризация доменов с помощью команды net view

 

Популярность 9

 

Простота

10

 

Опасность

2

 

Степень риска

7

 

Команда net view — отличный пример встроенного средства инвентаризации. Это очень простая утилита, запускаемая из командной строки, которая выводит список всех доменов сети и всех хостов этих доменов. Ниже показано, как можно инвентаризовать все домены сети, ис­пользуя KoMaHirynet view.
C:\>net view /domain Domnin
CORLEOHE BAE Z IN I_DOMAIN TAT AGG LI A_DQMA IN 8RA2ZI
The command completed successfully.
Добавив к параметру /domain имя конкретного домена, можно получить список всех компьютеров домена.
C:\>n*t view /domainicorleone
Server Name Remark
WVITO Make him an offer be can't refuse
\\MICHAEL Nothing personal
WEONNY Badda bing badda boom
UFREDO        , I'm smart
\ЛCONNIE Don't forget the cannoli
Можно обойтись и без использования командной строки —программа Network Neighborhood (Сетевое окружение) ггредоставляет ту Же информацию, что и приведенные команды. Но из-за низкой скорости обновления списков в этой программе мы считаем использование утилит ко­мандной строки более удобным и быстрым.
Получение таблицы имен NetBIOS с помощью Программ nbtstat И nbtscan


Популярность

$

Простота

9

Опасность

I

Степень риска

6

Еще одна удобная встроенная программа nbtstat позволяет получить из удаленной сис­темы таблицу имен NetBIOS, is которой, как видно из следующего примера (листинг4.1), со­держится огромное количество информации.
Листинг 4.1. Получение таблицы NetBIOS с помощью программы nbtstaj
C:\>nbtstat -A 192.168.202.33
Local Area Connection: Node IpAddress:   [192.163.234.244]   Scope Id: NetBIOS Remote Machine Name Table Name Type Status
CAESARS VEGAS2 VEGAS2 CAESARS VEGAS2 VEGAS2 VEGAS2 .. MSBROWSE
<00> <00> <1C> <2Q> <1B> <1E> <1D> .<M>
UNIQUE
GROUP
GROUP
UNIQUE
UNIQUE
GROUP
UNIQUE
Registered Registered Registered Registered Registered Registered Registered
GROUP Registered MAC Address = 00-01-03-27-93-SF
Программа nbtstat позволяет узнать имя системы (CAESARS), домена или рабочей фушты, в которой она находится (VEGAS 2) и МАС-адреса. Эти объекты можно различать по их суффиксу NetBIOS (двузначное шестнадцатеричное число справа от имени) (см. табл. 4.2). В строке "Тип имени" присутствуют имена двух типов: уникальное (U) или груп повое (G).
Габлица 4,2. Суффиксы NetBIOS и связанные с ними типы имен и сщ
Имя NetBIOS
Суффикс    Тип имени Служба-


<имя компьютера >

00.

и

<имя компьютера>

01

G

<_MS_BROWSE_>

01

G

<иш компьютера >

оз

и

<имя компьютера>

06

и

<имя комьютера>

1F

и

<иш компьютера >

20

и

<иш компыотеоа>

21

и

<шя (О1члыогерэ>

22

и

<иш компыотера>

23

у

Woikstafon
Messenger (служба передачи сообщений для сообщений, пе­редаваемых данному компьютеру)
Master Browser
Messenger
RAS Server (сервер удаленного доступа)
NetDDE
Server
RAS Client (клиент службы удаленного доступа )
MS Exchange Interchange MS Exchange Store
93

 


Имя NetBIOS

Суффикс

Тип имени

Служба

 

<имя кшпштера>

24

и

MS Exchange Directory

 

<имн комлыогерэ>

30

и

Modem Sharing Server (служба совместного использования

 

 

 

ПИ IJ^l t nil (11

 

<имя компьютера >

31

и

Modem Sharing Client (клиент совместного использования модема)

<имя *шльютерз>

43

и

SMS Client Remote Control [удаленное управление шентами SMS)

<имя компьютера >

44

и

SMS Admin Remote Control Tool (утилита удаленного управле­нии SMS)

<имя компьютера >

45

и

SMS Client Remote Chat (удаленный чат для клиентов SMS)

<имя компьютера >

46

и

SMS Client Remote Transfer [удаленная передача данных для клиентов SMS)

<имя компьютера^

4C
52
87

и
и

DEC Patnworks TCPIP DEC Pattrworks TCPIP MS Exchange MTA [агент передачи)

 

<имя компьютера^ <имя компьютера >

 

<имя компьютера > <имя кшлыогера>

6A

и

Network mnnitnr anenf (ягнт- Network mnnitnrt

 

BF

и

Network monitor Application [приложение Network monitor)

<имя_пользовагеля>

03

и

Messenger Service (служба передачи сообщений для сообще­ний, передаваемых пользователю)

< имя домена >

00

G

Domain Name (имя домена)

 

■симя ломена>

IB

и

Domain Master Browser (главный браузер домена)

 

<имядоменэ>

G

Domain Controllers (контроллеры домена)

 

< имя домена >

ID

и

Master Browser (главный браузер)

 

< имя домена >

IE

G

Browser Service Elections

 

<:(Net"Services>
< 13"имя_томпьюгера>

A&k ' 1 i ■

IIS

 

00

и

IIS

 

< тя_ко»пьютера> IRISMULT1CAST

2B 2F

и
G

Сервер Lotus Notes Loius Notes

 

IRIS NAM ES ERVEH

33

G

Lotos Notes

 

В этом отчете не дано никакой информации о запушенных службах. Как правило, в системах Windows 2000 при запущенном сервере IIS в этой таблице будет присутствовать запись INet~Services. В системе Windows Server 2003 этой информации получить не удалось. Мы не уве­рены в причине такого поведения системы, но это весьма приятное изменение, поскольку оно снижает потенциальный риск предоставления злоумышленникам излишней информации.
Записи столбца "тип имени" в табл. 4.2 также имеют свои значения (см. табл. 4.3).
Таблица 4^ Типы имен NetBIOS -vtSfc-:^
Тип имени NetBIOS Описание
Уникальное (UNIQUE) Имени может соответствовать только один IP-адрес
Групповое [GROUP) Уникальное имя, но может существовать для нескольких IP-адресов
Многоканальное (MULTIHOMED)  Уникальное имя, но может существовать на нескольких интерфейсах одного компь­ютера

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика