Файловый архив студентов. Файловый архив студентов.
1259 вузов, 4592 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Харьковский национальный университет внутренних дел
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ТПАСБ / Лекции / lec7.doc
Скачиваний:
84
Добавлен:
24.02.2016
Размер:
5.87 Mб
Скачать
►Содержание►

Носов В.В. "Технології аудиту інформаційних систем"

Лекція 7. Інвентаризація імен NetBIOS та RPC-служб Windows

Навчальні питання

1. Стек протоколів NetBIOS/SMB

2. Інвентаризація служби імен NetBIOS

3. Інвентаризація RPC-служб

Час: 2 акад. г.

Література

  1. Компьютерные сети. Принципы, технологии, протоколы / В. Г. Олифер, Н. А. Олифер. — СПб: Издательство «Питер», 1999. — 672 с.: ил.

  2. Скрембрей Джоел, Мак-Клар Стюарт. Секреты хакеров. Безопасность Windows Server 2003 - готовые решения.: Пер. с англ. - М.: Издательский дом "Вильямс", 2004. с.

  3. Мак-Клар Стюарт, Скрембрей Джоел, Курц Джордж. Секреты хакеров. Безопасность сетей – готовые решения. :Пер. с англ. – М.: Издательский дом "Вильямс", 2002. с. 87 – 117.

Вступ

В этой лекции рассмотрим методы и средства сбора информации об узлах сети Windows. Сетевые протоколы, используемые ОС Windows, позволяют собрать больше информации. Будем предполагать, что злоумышленник имеет доступ к корпоративной локальной сети Windows или извне, или изнутри.

Сбор информации в сети Windows часто называют инвентаризацией.

Инвентаризация подразумевает непосредственное соединение с системами и выполнение прямых запросов. Соответственно, злоумышленник может (и должен!) входить в систему или должен быть зарегистрирован в ней каким-нибудь иным образом. Покажем, что нужно искать в журналах аудита и как, при возможности, заблокировать такие действия.

На первый взгляд информация, собранная при инвентаризации, может показаться безвредной. Но получение данных через бреши в системе защиты может оказаться губительным для всей стратегии безопасности. В общем случае, как только злоумышленник получает действительное имя пользователя или доступ к совместно используемому ресурсу, подбор соответствующего пароля или выявление уязвимого места, связанного с протоколом совместного использования ресурса, становится лишь вопросом времени. Закрывая легко обнаруживаемые бреши в системе защиты, вы лишаете злоумышленника основной добычи.

Описание инвентаризации систем под управлением ОС Windows сгруппировано по следующим темам.

  • Инвентаризация сети NetBIOS

  • Инвентаризация служб удаленного вызова процедур (MS RFC— Microsoft Remote Procedure Call)

  • Инвентаризация служб SMB (Server Message Block — блок сообщений сервера)

  • Инвентаризация служб DNS

  • Инвентаризация SNMP

  • Инвентаризация служб Active Directory

Для начала проанализируем уже собранную информацию, чтобы разобраться, с чего начать.

Различные способы инвентаризации обычно направлены на изучение конкретных служб, поэтому их необходимо использовать в соответствии с информацией, полученной при сканировании портов (см., "Предварительный сбор данных и сканирование"). В табл. 1 перечислены службы, которые в основном проверяют хакеры при инвентаризации.

Таблица 1. Службы Windows, используемые хакерами для инвентаризации

Порт

Сервис

TCP 53

Перенос зоны DNS

TCP 135

Распределитель адресата RPC

UDP 137

Служба имен NetBIOS (NBNS)

TCP 139

Служба сеансов NetBIOS (SMB поверх NetBIOS)

TCP 445

SMB поверх TCP (Direct Host)

UDP 161

Протокол SNMP (Simple Network Management Protocol)

TCP/UDP 389

Протокол LDАР (Lightweight Directory Access Protocol)

TCP/UDP 3268

Служба глобального каталога (Global Catalog Service)

Сначала рассмотрим общую характеристику стека протоколов NetBIOS/SMB, которые используются в сетях Windows.

Далее рассмотрим атаки на эти службы, и что самое главное — без необходимости аутентификации в системе.

  1. Стек протоколів NetBios/smb

Этот стек широко используется в продуктах компаний IBM и Microsoft. На физическом и канальном уровнях этого стека используются все наиболее распространенные протоколы Ethernet, Token Ring, FDDI и другие. На верхних уровнях работают протоколы NetBEUI и SMB.

Протокол NetBIOS (Network Basic Input/Output System) появился в 1984 году как сетевое расширение стандартных функций базовой системы ввода/вывода (BIOS) IBM PC для сетевой программы PC Network фирмы IBM. В дальнейшем этот протокол был заменен так называемым протоколом расширенного пользовательского интерфейса NetBEUI - NetBIOS Extended User Interface. Для обеспечения совместимости приложений в качестве интерфейса к протоколу NetBEUI был сохранен интерфейс NetBIOS. Протокол NetBEUI разрабатывался как эффективный протокол, потребляющий немного ресурсов и предназначенный для сетей, насчитывающих не более 200 рабочих станций. Этот протокол содержит много полезных сетевых функций, которые можно отнести к сетевому, транспортному и сеансовому уровням модели OSI, однако с его помощью невозможна маршрутизация пакетов. Это ограничивает применение протокола NetBEUI локальными сетями, не разделенными на подсети, и делает невозможным его использование в составных сетях. Некоторые ограничения NetBEUI снимаются реализацией этого протокола NBF (NetBEUI Frame), которая включена в операционную систему Microsoft Windows NT.

NetBIOS обеспечивает:

  • Регистрацию и проверку сетевых имен

  • Установление и разрыв соединений

  • Cвязь с гарантированной доставкой информации

  • Связь с негарантированной доставкой информации

  • Поддержку управления и мониторинга драйвера и сетевой карты

Протокол SMB (Server Message Block) выполняет функции сеансового, представительного и прикладного уровней. На основе SMB реализуется файловая служба, а также службы печати и передачи сообщений между приложениями.

Рис. 1. Соответствие популярных стеков протоколов модели OSI

На рис. 1 показано соответствие некоторых, наиболее популярных протоколов уровням модели OSI. Часто это соответствие весьма условно, так как модель OSI - это только руководство к действию, причем достаточно общее, а конкретные протоколы разрабатывались для решения специфических задач, причем многие из них появились до разработки модели OSI. В большинстве случаев разработчики стеков отдавали предпочтение скорости работы сети в ущерб модульности - ни один стек, кроме стека OSI, не разбит на семь уровней. Чаще всего в стеке явно выделяются 3-4 уровня: уровень сетевых адаптеров, в котором реализуются протоколы физического и канального уровней, сетевой уровень, транспортный уровень и уровень служб, вбирающий в себя функции сеансового, представительного и прикладного уровней.

Имена NetBIOS.

  • Имя NetBIOS - это уникальный 16-байтный адрес, использующийся для идентификации NetBIOS ресурса в сети.

  • NetBIOS имена используются всеми сетевыми сервисами Windows NT для их идентификации.

  • Все имена NetBIOS состоят из 15 символов имени плюс 16-ый символ, идентифицирующий сервис.

  • Имена NetBIOS не используются TCP/IP

Очевидно, что из-за отсутствия поддержки маршрутизации в NetBEUI очень скоро стала проблема переноса NetBIOS на сети TCP/IP, IPX/SPX, DECnet. Реализация NetBIOS в сетях TCP/IP, известная как NBT (NetBIOS over TCP/IP), регламентируется документами RFC 1001 и 1002. Протокол NBT в зависимости от обстоятельств может использовать как дейтаграммы UDP, так и соединения TCP.

На сеансовом уровне компьютеры общаются между собой, используя имена NetBIOS, однако на сетевом уровне общение происходит с использованием IP-адресов. Поэтому в сетях NBT возникает задача, как связать имена NetBIOS с IP-адресами компьютеров. Здесь возможны четыре подхода:

  • использование файла LMHOSTS,

  • задействование доменной системы DNS (и/или файла HOSTS),

  • рассылка широковещательных запросов

  • и использование сервера имен NetBIOS (NBNS).

Для обозначения NBNS в своих ОС Microsoft применяет термин WINS (Windows Internet Name Service).

Соседние файлы в папке Лекции
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности