LU.NET.UA - Захист інформації в інтернеті

:: Меню ::

Головна
Введення

Частина I.
Вивчення мети

1. Попередній збір даних
2. Сканування
3. Інвентаризація

Частина II.
Уразливість систем

4. Уразливість Windows 95/98/me
5. Уразливість Windows NT
6. Уразливість Windows 2000

Частина III.
Уразливість мереж

9. Уразливість видалених з'єднань, РВХ, Voicemail і віртуальних приватних мереж
10. Мережеві пристрої
11. Брандмауери
12. Атаки DOS

   Частина IV.
Уразливість програмного забезпечення

13. Вади засобів видаленого управління
14. Розширені методи
15. Уразливість в Web
16. Атаки на користувачів Internet
 Братани
Карта сайту
Добавити у вибране

:: Друзі ::

--

:: Статистика ::

 

 

 

 

 


Інвентаризація Windows Nt/2000

За весь час свого існування Windows NT заслужила на репутацію системи, яка надає загальнодоступну інформацію по будь-якому видаленому запиту. В основному це здійснюється через протоколи передачі даних Cifs/smb (Common Internet File System/server Message Block), від яких в значній мірі залежить робота мережевих служб. Хоча в Win 2000 є можливість автономного використання протоколу Tcp/ip без протоколу NETBIOS, вона отримала в спадок всі недоліки своєї попередниці. Система Win 2000 містить також декілька нових можливостей, які можуть зацікавити випадкового складальника інформації. У даному розділі обговорюватимуться і старі, і нові особливості, а також дії, що рекомендуються, за допомогою яких можна захистити цінну інформацію ще до того моменту, коли хто-небудь збере достатню кількість інформації для великомасштабної атаки.

Windows Nt/2000 Hacking Kit


Починаючи з версії Windows NT 3.1 компанія Microsoft пропонує за окрему платню додатковий комплект документації і компакт-диск, на якому зібрана безліч утиліт для адміністрування мереж на базі Windows NT, — Windows NT Resource Kit (як у варіанті Workstation, так і у варіанті Server). У комплект NTRK (так ми називатимемо його далі в цій книзі) входить обширна підбірка різних утиліт, починаючи від частково реалізованого інтерпретатора популярної мови сценаріїв Perl, що дозволяє перенести на платформу NT багато популярних утиліт UNIX, і закінчуючи утилітами видаленого адміністрування, що не входять в стандартний комплект постачання Windows NT. Без даного комплекту не може обійтися жоден серйозний адміністратор NT.
Проте, окрім зручності у використанні, функціональність NTRK має і зворотну сторону. Багато хто з цих інструментів може служити зломщикам для отримання важливої інформації, завдяки чому в певних кругах комплект отримав назву Windows NT Hacking Kit (набір інструментів хакера). Оскільки роздрібна ціна пакету NTRK складає близько $200, включаючи два оновлені доповнення, можна припустити, що будь-який зломщик, для якого дана сума є достатньо прийнятною, може скористатися вхідними в його склад інструментами для проникнення у вашу мережу (особливо якщо врахувати, що деякі з них розповсюджуються вільно через FTP-узел компанії Microsoft за адресою ftp://ftp. microsoft.com/bussys/winnt/winnt-public/reskit/).
Версія комплекту для Win 2000 (W2rk) продовжує раніше почату традицію і містить численні інструменти, які можна використовувати двояким чином. Крім того, на компакт-диску для операційної системи Win 2000 Server в теці Supportxtools міститься безліч утиліт, які можуть виявитися корисними для хакера. У даному розділі будуть розглянуті ті засоби і утиліти, які значною мірою здатні полегшити рішення задачі інвентаризації. Інші ж засоби ми розглянемо в розділах 5 і 6.

Інтерпретатор мови Perl, наявний в комплекті NTRK, надає не такі широкі можливості, як комплект для Windows від компанії Activestate, який можна знайти за адресою http://www.activestate.com. У комплект W2rk компанією Microsoft включена версія Activeperl Build 521 компанії Activestate. Якщо ви плануєте використовувати мову Perl в Windows, ми радимо звернутися саме до цієї реалізації, оскільки багато з утиліт, що розглядаються в книзі, реалізованих на цій мові, у разі застосування інтерпретатора Perl з набору NTRK працюють некоректно.Хотя свідомим адміністраторам Nt/2000 ми настійно рекомендуємо набувати всіх комплектів NTRK і відстежувати всі нововведення, не встановлюйте їх на серверах, що діють. Інакше ви обернете зброю проти себе! Для забезпечення необхідної функціональності встановлюйте лише найбільш важливі утиліти. Для зберігання помістите на знімний або мережевий диск всі утиліти NTRK і використовуйте їх лише при необхідності.

Нульові з'єднання: "Священний Грааль" інвентаризації


Як уже згадувалося, системи Windows Nt/2000 мають ахиллесову п'яту при використанні протоколів Cifs/smb і NETBIOS в режимі, використовуваному за умовчанням. До складу стандартів Cifs/smb і NETBIOS входять програмні інтерфейси, що повертають різну інформацію про комп'ютер через порт TCP з номером 139. Такі дані зможуть отримати навіть ті користувачі, які не були аутентіфіцировани. Першим кроком на шляху діставання видаленого доступу до цих інтерфейсів є створення простого, без аутентифікації, з'єднання з системою Nt/2000 за допомогою так званого нульового сеансу (null session). Передбачається, що в результаті раніше виконаного сканування портів було встановлено, що TCP-порт 139 знаходиться в стані очікування запитів. Таке з'єднання можна встановити за допомогою наступної команди.
net use \\192.168.202.33\ipc$ "" /u:""
При виконанні такої команди здійснюється підключення до прихованого каналу зв'язку між процесами (share) Ipc$ no IP-адресу 192.168.202.33 як анонімний користувач (/і:"") з порожнім паролем (""). Якщо така спроба виявиться успішною, зломщик отримує відкритий канал, через який він може спробувати застосувати різні методи, описані в даному розділі, щоб отримати якомога більше інформації про мережу, спільно використовувані ресурси, користувачів, групи, ключах системного реєстру і так далі
Практично всі методи збору інформації, описані в даному розділі, використовують недолік системи безпеки Windows NT, що полягає в наданні можливості анонімного підключення і інвентаризації певних ресурсів без вимоги яких-небудь паролів. Цей недолік, який в різних джерелах називається по-різному, — "червона кнопка" (Red Button), нульовий сеанс або анонімне підключення (anonymous logon) — є єдиною істотною можливістю, за допомогою якої потенційні зломщики можуть отримати всю потрібну ним інформацію.

Нульовий сеанс: контрзаходи


При установці нульового з'єднання потрібний доступ до TCP-порту 139, так що найбільш правильний шлях запобігання такій небезпеці полягає у фільтрації запитів по протоколу NETBIOS до портів TCP і UDP з номерами від 135 до 139 по всьому периметру мережевих пристроїв управління доступом. Необхідно також заборонити використання протоколу NETBIOS поверх Tcp/ip і на окремих вузлах, від'єднавши клієнт WINS (Tcp/ip) від відповідного інтерфейсу за допомогою аплета Network панелі управління. У системі Windows 2000 для цього потрібно запустити аплет відповідного мережевого підключення, відкрити діалогове вікно Advanced Tcp/ip Settings, перейти у вкладку WINS і відключити режим Disable NETBIOS Over Tcp/ip.

У системі Win 2000 використовується ще порт 8mb з номером 445, який дозволяє отримати аналогічну інформацію. Докладніші відомості і опис методів захисту містяться в розділі 6.

Починаючи з третього сервісного пакету системи NT компанія Microsoft запропонувала механізм, що дозволяє запобігти небезпеці витягання важливої інформації за допомогою нульових з'єднань без відключення режиму використання протоколу NETBIOS поверх Tcp/ip (хоча ми як і раніше рекомендуємо зробити це, якщо в службах NETBIOS немає необхідності). Цей механізм був названий Restrictanonymous — по назві відповідного параметра системного реєстру. Для його використання виконаєте наступні дії.
1. Запустите regedt32 і перейдіть в каталог Hkey_local_machlne\system\current Controlset\control\lsa.
2. Виберіть команду Edit>add Value і введіть наступні дані. Ім'я параметра: Restrictanonymous Тип даних: Reg_dword Значення: 1 (або 2 для Win 2000)
3. Закрийте редактор системного реєстру і перезапустите комп'ютер, щоб внесені зміни набули чинності.
У системі Windows 2000 реалізувати подібний захист дещо простіше, оскільки в консолі управління є модуль Security Settings з елементом \Local Policies\security Options. За допомогою графічного інтерфейсу консолі управління можна виконати налаштування багатьох параметрів системного реєстру, пов'язаних із забезпеченням захисту. У системі Nt4 всі подібні зміни необхідно виконувати уручну. Що ще краще, параметри, подібні Restrictanonymous, можна застосувати до організаційної одиниці (Organizational Unit - OU), вузлу або на рівні домена. Якщо всі зміни проводилися на контроллері домена Win 2000, то ці параметри будуть успадковані всіма дочірніми об'єктами активного каталога. При цьому потрібно буде скористатися модулем Group Policy, який детальніше розглядатиметься в розділі 6.
Для того, щоб обмежити доступ до даних NETBIOS неавторизованих користувачів за допомогою елементів Group Policy/security Options, встановите режим No access without explicit anonymous permissions для параметра Additional restrictions for anonymous connections. (Це аналогічно завданню значення 2 для параметра Restrictanonymous системного реєстру Win 2000.)
Примітно, що установка цього параметра насправді не блокує самого анонімного з'єднання. Єдине, що вона робить, — запобігає просочуванню інформації через таке з'єднання головним чином даних про облікові записи і спільно використовувані ресурси. У Windows 2000 параметр Restrictanonymous має значення 2. Воно дозволяє обмежити доступ до ресурсів лише за допомогою нульових сеансів з явно заданими дозволами (див. мал. вищий).


Одним з найприкметніших виключень з цього правила є утиліта sid2user (описувана в розділі "Інвентаризація Користувачів І Груп Nt/2000"), яка продовжує функціонувати навіть при включеному режимі Restrictanonymous.

Докладнішу інформацію можна знайти в статті Q143474 системи Knowledge Base компанії Microsoft за адресою http://search.support.microsoft.com . Для отримання докладнішого технічного опису можна звернутися до статті про хакинге служб NETBIOS CIFS: Common insecurities Fail Scrutiny Хобіта, яку можна знайти за адресою http://www.avian.org або в документах RFC 1001 і 1002, де міститься специфікація передачі даних по протоколах NETBIOS і Tcp/udp.
Ми коротко обгрунтували важливість інформації, яку можна отримати за допомогою нульових з'єднань. У переважній більшості випадку такі дані не можна залишати незахищеними, особливо якщо сервер підключений до Internet. Ми настійно рекомендуємо встановити параметр Restrictanonymous.
Після постановки завдання в цілому самий час перейти до вивчення засобів і прийомів, які при цьому можуть використовуватися.




:: Реклама ::

>Страница статей


:: Посилання ::

-


:: Рекомендуємо ::

-


 

 

 

 


Copyright © Klab-F 2008