Sunday, July 23rd, 2017

Профилирование операционной системы (Часть 4)

Published on Февраль 4, 2009 by   ·   Комментариев нет

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Профилирование операционной системы (Часть IV)

Компьютерная сеть Microsoft Windows очень занята. От компьютера к компьютеру в ней путешествует разнообразный трафик. Вы, наверно, слышали о том, что протоколы NetBIOS достаточно словоохотливы, какими они и являются на самом деле. В этой статье мы узнаем, что такое протоколы NetBIOS, и что они в свою очередь могут сказать о роли компьютера в сети. Теперь нам предстоит определить эту информацию, передаваемую по NebBIOS, с помощью команды NBTSTAT, которая доступна вам из командной строки DOS. Возможность собрать информацию такого типа может быть очень полезна, если вы работаете системным администратором, с ее помощью вы сможете увидеть сеть такой, какой ее видит злоумышленник.

Практически в каждой корпоративной сети порты 137, 138, 139 и 445 должны быть блокированы на уровне пограничного шлюза (border gateway). Однако, они открыты почти на всех компьютерах внутри корпоративной сети (corporate intranet). Это необходимо для того, что в Microsoft Windows очень нужно – для общего доступа к информации (sharing information). Но этот общий доступ к информации иногда очень дорого обходится. Многочисленный статистические исследования говорят о том, большое количество атак происходит изнутри, т.е. некто, работающий в компании, атакует ее из внутренней сети. Вместо того, чтобы теряться в догадках, какой процент этих случаев, давайте посмотрим информацию какого типа внутренний злоумышленник может собрать, чтобы осуществить свои коварные планы.

NetBIOS и NBTSTAT

Теперь мы воспользуемся командной NBTSTAT для сбора информации о компьютере с целью его профилирования, а также, возможно, с целью дальнейшего захвата компьютеров в сети. Идем дальше. Из рисунка ниже мы можем увидеть, что я выполнил команду NBSTAT.

Msbrowse на определенном компьютере

Рисунок 1

Информация, которая представляет для нас интерес, содержится в таблице из трех столбцов “Name (название)”, “Type (тип)” и “Status (статус)”. Достаточно одного столбца Name таблицы, чтобы понять, что это название компьютера. Мы можем увидеть, что “W2KLAB” – это NetBIOS название, и что его функция <00>. Из этой таблицы также понятно, что название “W2KLAB” уникально в этой сети. Что все это значит? Для этого нужно посмотреть на эту ссылку. Теперь мы можем соотнести полученные нами данные с NBTSTAT, а также разобраться с числами <00>. В случае с <00> мы знаем, что это означает, что компьютер под именем “W2KLAB” – это простая рабочая станция. Поэтому с точки зрения злоумышленника этот компьютер не представляет особой ценности.

Далее в таблице следует запись “INet~Services <1C> GROUP UNIQUE Registered”. Какую информацию может получить из этого внутренний злоумышленник? Во первых мы знаем, что этот компьютер называется “INet~Services”, и что он имеет суффикс NebBIOS <1C>. Суффикс NetBIOS suffix – это цифровой указатель присвоенный компьютер самой операционной системой. Это означает его идентификацию и его роль в сети. С помощью этой информации злоумышленник сможет узнать, какие службы запущены на этом компьютере, если такие имеются. Хотя “INet~Services” может выглядеть очень зашифровано, мы можем использовать суффикс NetBIOS suffix <1C> для определения его роли с помощью ссылки, которую я привел в предыдущем абзаце. После просмотра списка, мы знаем, что на этом компьютере запущены службы сервера Internet Information Services (IIS). Запись “GROUP”, говорит нам о том, что этот компьютер принадлежит группе “INet~Services”, а “UNIQUE”, что это название уникально в этой сети. Наконец, это информация была зарегистрирована в этой сети на главном контроллере домена Primary Domain Controller (PDC) или же сервере Active Directory (AD).

Мы также можем увидеть, что внутри ответа NBTSTAT также содержится много информации. Поля, которые могут представлять наибольший интерес для внутреннего злоумышленника, — это “Name (название)” и суффикс NetBIOS suffix. Я не хочу рассказывать об остальных записях в таблице, изображенной на первом рисунке, т.к. это достаточно просто, и вы сами сможете с этим разобраться. Теперь я запущу команду NBTSTAT для другого компьютера Windows, чтобы посмотреть, что вернется в ответ, чтобы сравнить результаты с теми, что я получил выше. Пожалуйста посмотрите на рисунок ниже, на котором изображены результаты, полученные для другого компьютера с операционной системой Windows.

Msbrowse на определенном компьютере

Рисунок 2

Из результатов, полученных с помощью NBTSTAT, мы видим, что имя NetBIOS name “WIN2K2”, и что это также обычная рабочая станция, что следует из суффикса NetBIOS <00>. Также мы видим, что это название уникально в сети, и наконец, что она зарегистрировано. Что объяснить последнее предложение, скажу, что вы не можете иметь два компьютера с одинаковым именем в сети. Как упоминалось ранее, информация NBTSTAT также регистрируется на контроллере домена (domain controller) для этой сети. Теперь, перейдя к следующей записи, мы видим, что суффикс NetBIOS suffix <20>. После просмотра списка, который можно получить по ссылке, приведенной выше, мы видим, что на компьютере запущена служба “file server service” (файловый сервер). Откуда это взялось? Это известно из того факта, что на компьютере имеются файлы для общего доступа, и что у него открыть TCP порт под номером 139. Это не потому, что компьютер является файловым сервером (file server). Это может сбивать с толку, если вы не очень хорошо известны с операционной системой Windows.

Что еще мы можем узнать по результатам выполнения NBTSTAT? Мы можем увидеть, что компьютер принадлежит к рабочей группе под названием “WORKGROUP” в качестве рабочей станции, и что “WORKGROUP” – это “GROUP”, что видно из столбца “Type (тип)” таблицы. Оно также зарегистрировано, как и все записи. Еще одна запись, которая представляет для нас интерес – это “MSBROWSE” или master browser (основной браузер). Это компьютер, на котором хранится вся информация об определенном сегменте, в котором он находится. Это значит, что этот компьютер знает, к каким файлам открыт общий доступ на других компьютерах, а также их имена NetBIOS. Другими словами, этот компьютер представляет собой сундук с сокровищами, т.к. он знает, что находится на компьютерах по соседству.

Резюме

Хотя мы разобрали лишь несколько записей результатов, полученных при помощи NBTSTAT для второго компьютера, этого было достаточно, чтобы понять, что с помощью этой команды можно получить огромное количество информации. Именно поэтому, как упоминалось ранее, в корпоративной сети необходимо блокировать все порты NetBIOS на шлюзе маршрутизатора (gateway router), хотя и оставить их открытыми внутри сети. Если вы являетесь пользователем домашней сети, то вам все равно. Вы можете установить брандмауэр блокировать внешний доступ к этим портам 137, 138, 139 и 445. Однако, они нужны в вашей внутренней сети, если вы хотите открывать общий доступ к файлам для других пользователей и компьютеров. Протоколы NetBIOS выполняют важную функцию в вашей сети Windows network. Все, что должны понять, это то, что нельзя оставлять их незащищенными, и принять соответствующие меры для ужесточения доступа к ним. Это также включает ограничение внутреннего доступа. Я надеюсь, что в этой статье мне удалось пролить свет на причины использования и неправильного использования протоколов NetBIOS в вашей сети. Как всегда, жду ваших отзывов и идей относительно новых статей. До новых встреч.

Источник www.windowsecurity.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]