- •22. Mic
- •23. Smb
- •24. Возможные атаки на smb. Меры повышения защиты
- •25. Защита удаленного доступа пользователя в корпоративной сети. Аутентификация удаленный пользователей. Доп. Механизмы аутентификации пользователя
- •26. Удаленная аутентификация с использованием Kerberos
- •27. Мандаты. Kdc Структура мандатов
- •28. Мандат на выдачу мандатов
- •29. Подсистемы Kerberos
- •30. Чё-то еще про Kerberos.
- •31. Active Directory, дерево доменов
- •32. Доверительные отношения
- •33. Ntds, ad – основные возможности и характеристики
- •34. Active Directory. Домен, дерево доменов. Лес Доменов
- •35. Контроллер доменов ad
- •36. Объекты Active Directory, отражающие физическую и логическую структуру
23. Smb
Для дискреционного доступа к файлам и принтерам и другим системным ресурсам. в винде используется сетевой прикладной протокол - server message block (SMB).. В настоящее время SMB связан главным образом с операционными системами Microsoft Windows, где используется для реализации «Сети Microsoft Windows» и «Совместного использования файлов и принтеров»
SMB — это протокол, основанный на технологии клиент-сервер, который предоставляет клиентским приложениям простой способ для чтения и записи файлов, а также запроса служб у серверных программ в различных типах сетевого окружения. Единственное отличие от модели клиент-сервер это, когда клиент посылает в качестве запроса оппортунистические блокировки, а сервер вынужден отпустить уже предоставленную блокировку, так как другой клиент запросил открытие файла в режиме, несовместимом с предоставленной блокировкой. В этом случае, сервер посылает клиенту уведомительное сообщение о том, что блокировка была снята. Серверы предоставляют файловые системы и другие ресурсы (принтеры, почтовые сегменты, именованные каналы и т. д.) для общего доступа в сети. Клиентские компьютеры могут иметь у себя свои носители информации, но они так же хотят иметь доступ к ресурсам, предоставленным сервером для общего пользования.
В Windows Vista появилась новая версия протокола — SMB 2.0. Протокол был значительно упрощен, при этом была повышена производительность (благодаря механизму кэширования, возможности совмещать несколько команд SMB 2 в одном сетевом запросе и увеличенным буферам чтения и записи), особенно в сетях с высокой латентностью, улучшена масштабируемость и добавлена возможность автоматического продолжения сеанса в случае временного отсоединения от сервера. SMB 2 использует те же порты как и SMB, но другой заголовок пакетов
24. Возможные атаки на smb. Меры повышения защиты
Атаки на протокол:
- При указании имени, отсутствующего в базе, SMB откроется с правами гостя. Если указать пустые имя пользователя и пароль, то откроется анонимный или ноль-сеанс, который используется для межкомпьютерных связей в домене, будет открыт ресурс IPC 8. через который можно запросить список сетевых ресурсом, пользователей, осуществляющих удаленный доступ к реестру, журналу событий и т.д.
- использование хэшированного пароля
ЗУ, извлекший такой пароль, может открыть сеанс SMB с любым серверным доменом и получить к нему доступ.
- подбор пароля
Можно перехватить вызов/ответ и попытаться подобрать пароль. ЗУ может модифицировать сообщение для фальсификации команд пользователя. ЗУ может сформировать и новые пакеты, которые сервер будет воспринимать за команды от клиентского компа.
- Down grade
-клиент передает серверу пакет
-прога-взломщик обнаруживает пакет и передает пакет, похожий, но со снятым флагом шифрования пароля.
-клиент в запросе передает пароль в открытом виде
-man-in-the-middle
Для атаки нужно привлекать чем-либо пользователя атакуемого сервера, чтобы тот попытался подключиться к SMB в системе злоумышленника
-клиент начинает установление SMB сенаса с помощью команд
- злоумышленник посылает аналогичный запрос на атакуемый сервер
-ответ сервера взломщику содержит случайный вызов. Система взломщика транслирует вызов будто свой. При помощи пароля клиент формирует ответ и передает злоумышленнику
- злоумышленник транслирует ответ серверу и получает к нему доступ.
Меры повышения защиты
-можно отключить NetBIOS и общий доступ к ресурсам. Для этого необходимо убрать флажок службы доступа к файлам, ресурсам
-Выключить передачу пароля в открытом виде, выключить использование пароля LanManager.
-можно использовать SNP с ЭЦП. При этом в сообщении SMB, помещают ЭЦП пакета,представляющий собой первые 8 байт от 16 байтового хэша MD5 от хэш пароля пользователя, ответа , самого сообщения и его порядкого номера. Принимающая сторона проверяет ЭЦП. ЭЦП предоставляет что команда создана стороной владеющей паролем пользователя, не было модификацией.
-: 1)клиент или сервер не смогут установить соединение SMB с ПК, не поддерживающим ЭЦП
2) возникает дополнительная нагрузка на процессор
3) защита пароля не усиливается