Носов В.В. "Технології аудиту інформаційних систем"
Лекція 9. Інвентаризація служб DNS, SNMP, Active Directory Windows
Навчальні питання
1.Доступ до даних за допомогою служби DNS
2.Інвентаризація SNMP
3.Інвентаризація служби Active Directory
Час: 2 акад. г.
Література
1.Скрембрей Джоел, Мак-Клар Стюарт. Секреты хакеров. Безопасность Windows
Server 2003 - готовые решения.: Пер. с англ. - М.: Издательский дом "Вильямс", 2004. с.
2.Мак-Клар Стюарт, Скрембрей Джоел, Курц Джордж. Секреты хакеров. Безопасность сетей – готовые решения. :Пер. с англ. – М.: Издательский дом
"Вильямс", 2002. с. 87 – 117.
Вступ
Продолжим рассмотрение методов и средств сбора информации об узлах сети Windows.
1. Доступ до даних за допомогою служби DNS
Как было ранее изложено, одним из первоисточников начальной информации являются сведения, предоставляемые службой имен доменов (DNS). Служба DNS представляет собой стандартный протокол Internet для преобразования IP-адресов в более удобные для человека названия, например amazon.com. Поскольку пространство имен службы Windows 2000 Active Directory (AD) основано на DNS, компания Microsoft полностью обновила реализацию сервера DNS, чтобы он соответствовал потребностям службы
Active Directory и наоборот.
Для поиска клиентами Windows 2000 таких сервисов домена, как AD и Kerberos, Windows 2000 предоставляет запись DNS SRV (RFC 2052), которая позволяет обнаруживать серверы по типу службы (например, Global Catalog, Kerberos или LDAP) и протоколу (например, TCP). Таким образом, простой перенос зоны может дать много интересной информации о сети.
Перенос зоны в Windows 2000
Популярность 5
Простота |
9 |
Опасность |
2 |
Степень риска |
5 |
Выполнять перенос зоны лучше всего с помощью встроенной утилиты nslookup. В следующем примере перенос зоны выполняется для домена labface.org под управлением Windows 2000 (для краткости и удобочитаемости текст примера отредактирован).
1
Носов В.В. "Технології аудиту інформаційних систем"
В соответствии с документом RFC 2052, записи SRV должны иметь следующий формат.
Служба.Протокол.Имя TTL Класс SRV Приоритет Вес Порт Получатель
Из полученного файла злоумышленник может выяснить такие простые данные, как размещение сервиса глобального каталога домена (_gc._tcp), контроллеров доменов, использующих аутентификацию по протоколу Kerberos (_kerberos._tcp), LDAP-серверов (_ldap._tcp) и соответствующие номера портов (здесь показаны только примеры для протокола TCP).
Запрет переноса зоны
Бюллетень |
Нет |
|
|
BID |
Нет |
Исправлено в SP |
Нет |
Фиксируется |
Нет |
Как можно догадаться, по умолчанию в системах Windows 2000 разрешается выполнять перенос зоны для любого сервера. В реализации DNS для систем Windows Server 2003 перенос зоны по умолчанию запрещен, как показано на рис. 1. Показанное на рисунке окно появляется при выборе опции Properties (Свойства) для выбранной прямой зоны просмотра (в данном случае это labface.org) в консоли DNS Management (Управление DNS).
Рис. 1. В Windows Server 2003 переносы зоны запрещены по умолчанию
Хотя рекомендуется использовать запрет переноса зоны (см. рис. 1), но вполне реально, что для вторичных DNS-серверов потребуется регулярное обновление информации о зоне. Нет ничего страшного в разрешении переноса зоны для авторизованных серверов.
В системах Windows Server 2003 переносы зоны запрещены по умолчанию.
Хотя следующая команда и не работает для реализации службы DNS под Windows, но она позволяет определить версию сервера, на котором запущена BIND DNS.
nslookup -q=txt -class=CHAOS version.bind.
2. Інвентаризація SNMP
При отключенной службе SMB, т.е. заблокированном доступе к TCP-портам 139 и 445, возможно, тем не менее, получение информации через 161 UDP-порт в случае функционирования агента SNMP.
SNMP (англ. Simple Network Management Protocol — простой протокол управления сетью) — это протокол управления сетями связи на основе архитектуры TCP/IP.
Также это технология, призванная обеспечить управление и контроль за устройствами и приложениями в сети связи путём обмена управляющей информацией между агентами, располагающимися на сетевых устройствах, и менеджерами, расположенными на станциях управления. SNMP определяет сеть как совокупность сетевых управляющих станций и элементов сети (главные машины, шлюзы и маршрутизаторы, терминальные серверы), которые совместно обеспечивают административные
2
Носов В.В. "Технології аудиту інформаційних систем"
связи между сетевыми управляющими станциями и сетевыми агентами.
Обычно при использовании SNMP присутствуют управляемые и управляющие системы. В состав управляемой системы входит компонент, называемый агентом, который отправляет отчёты управляющей системе. По существу SNMP агенты передают управленческую информацию на управляющие системы как переменные (такие как «свободная память», «имя системы», «количество работающих процессов»).
Управляющая система может получить информацию через операции протокола GET, GETNEXT и GETBULK. Агент может самостоятельно без запроса отправить данные, используя операцию протокола TRAP или INFORM. Управляющие системы могут также отправлять конфигурационные обновления или контролирующие запросы, используя операцию SET для непосредственного управления системой. Операции конфигурирования и управления используются только тогда, когда нужны изменения в сетевой инфраструктуре. Операции мониторинга обычно выполняются на регулярной основе.
Переменные, доступные через SNMP, организованы в иерархии. Эти иерархии и другие метаданные (такие, как тип и описание переменной) описываются Базами Управляющей Информации (англ. Management Information Bases (MIBs)).
По умолчанию протокол SNMP не устанавливается на системах семейства Windows NT, но его легко можно добавить через пункт панели управления Add/Remove Programs (Установка и удаление программ). Протокол SNMP широко используется во многих организациях для обмена данными в локальных сетях.
Всистеме Windows 2000 и более ранних версиях Windows по умолчанию строке доступа (приблизительный эквивалент пароля для доступа к службе) присвоено значение "public". Информация, которую можно извлечь из систем Windows с помощью агента SNMP, может разрушить все, о чем мы говорили ранее.
Всистемы Windows Server 2003 внесены коренные изменения в настройки по умолчанию для протокола SNMP, которые позволяют предотвратить все рассмотренные далее атаки. Следующие описания атак (кроме отдельно указанных случаев) подходят только для систем Windows 2000.
Использование утилиты snmputil
Популярность 8
Простота |
7 |
Опасность |
5 |
Степень риска |
7 |
Если на атакуемой системе задана легко угадываемая строка доступа, то с помощью утилиты snmputil из пакета Resource Kit получение данных об учетных записях систем Windows через протокол SNMP становится возможным. В следующем примере показано, как с удаленной машины получить фрагмент информации из базы данных MIB LANManager, используя строку доступа "public" с правом чтения.
Листинг 1. Использование возможностей протокола SNMP
Последняя переменная в вызове программы snmputil, ".1.3. 6.1.4.1.77.1.2.25" — это идентификатор объекта (OID — Object Identifier), который указывает ветвь базы Microsoft enterprise Management Information Base (MIB) в соответствии с определенной в протоколе SNMP. База данных MIB имеет иерархическую структуру, поэтому "поднимаясь" по дереву (используя меньшие значения OID, например,
.1.3.6.1.4.1.77), можно собрать больше информации. Все эти числа трудно запомнить, поэтому взломщики пользуются их текстовыми эквивалентами. В табл. 1 перечислены некоторые сегменты базы MIB, из которых можно извлечь что-нибудь полезное.
Таблица 1. Идентификаторы объектов базы данных SNMP MIB, которые можно использовать для
3
Носов В.В. "Технології аудиту інформаційних систем"
получения важной информации о системе
Получение данных по SNMP с помощью программ SolarWinds
Популярность |
8 |
|
|
Простота |
7 |
Опасность |
5 |
Степень риска |
7 |
|
|
Конечно, чтобы не набирать все эти строки, можно загрузить отличный графический браузер для SNMP,
который называется IP Network Browser из набора утилит SolarWinds Professional Plus. Цена набора программ Professional Plus — 695 долл..
Утилита IP Network Browser позволяет хакеру просматривать всю информацию в "живом виде". На рис. 2 показано окно программы IP Network Browser во время проверки компьютера под управлением Windows 2000 с запущенным агентом SNMP и установленной по умолчанию строкой доступа
"public".
Все становится еще хуже, если удается выяснить строку доступа с помощью программы IP Network Browser. Используя программу Update System MIB (рис. 3) из набора SolarWinds Professional Plus Toolset, при наличии правильной строки доступа можно записывать значения в базу System MIB, включая имя системы, расположение и контактную информацию.
Рис. 2. Утилита IP Network Browser из пакета Solar Winds выводит информацию, доступную через агенты SNMP, при известной строке доступа. В данном случае использована строка доступа по умолчанию: "public"
4
Носов В.В. "Технології аудиту інформаційних систем"
Рис. 3. Программа Update System MiB из набора SolarWinds записывает значение в базу МIВ удаленной системы
Меры противодействия вредоносному использованию SNMP
Простейший способ предупредить подобные действия — удалить агент SNMP или отключить службу SNMP, открыв компонент Services (Службы) через панель управления (файл services.msc).
Если отключить протокол SNMP нельзя, то, по меньшей мере, его необходимо правильно настроить и заменить стандартную строку доступа на уникальную (заменить используемые по умолчанию значения "public" или "private" в системах Windows 2000), чтобы хост отвечал только по указанным IP-адресам. Это типичная конфигурация для окружения, в котором используется одна управляющая рабочая станция для сбора SNMP-информации от всех устройств. Для задания этих настроек откройте элемент Services (Службы) панели управления, который находится в оснастке Administrative Tools (Администрирование), затем щелкните правой кнопкой на SMTP Service (служба SNMP) и выберите команду Properties (Свойства), откройте вкладку Security (Безопасность) и измените следующие значения:
∙Accepted Community Names (Приемлемые имена сообществ)
∙Accept SNMP Packets From These Hosts (Принимать пакеты SNMP только от этих узлов)
∙Укажите уникальную, трудную для угадывания строку доступа
∙Введите IP-адрес своей рабочей станции по управлению протоколом SNMP
На рис. 4 показаны значения параметров безопасности, установленные по умолчанию дли агентов SNMP в системах Windows Server 2003. В этой конфигурации по умолчанию не задано никаких строк доступа и доступ к SNMP-агенту ограничен только локальным хостом. Это еще один пример инициативы Microsoft по обеспечению надежных вычислений "Secure by Default" ("Безопасность по умолчанию"). Безусловно, большинство администраторов изменят эти значения для поддержки SNMP-служб, но опасная конфигурация теперь по умолчанию отключена.
5
Носов В.В. "Технології аудиту інформаційних систем"
Рис. 4. Для агента SNMP в системах Windows Server 2003 па умолчанию не задано никаких строк доступа, и доступ ограничен только локальным доступом
Конечно же, если протокол SNMP используется для управления сетью, необходимо заблокировать доступ к TCP- и UDP-порту 161 (SNMP GET/SET) на всех сетевых устройствах, установленных по периметру сети. Нельзя допускать утечку внутренней информации SNMP в сети общего пользования.
Более опытные администраторы могут отредактировать реестр, чтобы разрешить только подтвержденный доступ к службе SNMP Community Name и запретить отправку сведений об ученых записях. Для этого нужно запустить программу regedit32 и перейти в раздел
HKLM\System\CurrentControlSet\Services\SHMP\Parameters\ValidCommunities. Выберите параметр Security\Permissions и разрешите доступ только для проверенных пользователей. Затем перейдите в раздел HKLM\System\CurrentControlSet\Services\ SNMP\Parameters\ExtensionAgents и удалите параметр, который содержит строку "LANManagerMIB2Agent", а остальные параметры переименуйте, чтобы сохранить последовательность. Например, если был удален параметр 1,то параметры 2, 3 и т.д. необходимо переименовать таким образом, чтобы последовательность начиналась с 1 и заканчивалась значением, равным числу значений в списке.
3. Інвентаризація служби Active Directory
Наиболее фундаментальное изменение, сделанное в Windows 2000 по сравнению с предыдущими версиями, — введение службы каталогов, основанной на протоколе LDAP (Lightweight Directory Access Protocol). Эту службу Microsoft назвала Active Directory (AD). Служба AD разработана для хранения унифицированного логического представления обо всех объектах, относящихся к корпоративной инфраструктуре, а значит, с точки зрения инвентаризации, это потенциально наиболее ценный источник для сбора данных. В системах Windows Server 2003 служба Active Directory в основном идентична своей предшественнице и может быть доступна с помощью средств отправки запросов по протоколу LDАР, как показано в следующем примере.
Инвентаризация службы Active Directory с помощью программы Idp
Популярность |
2 |
Простота |
2 |
Опасность |
5 |
Степень риске |
3 |
В набор утилит Windows Server 2003 Support Tools (доступный на компакт-диске с инсталляцией версии
6
Носов В.В. "Технології аудиту інформаційних систем"
Server в каталоге support\Tools) входит простой клиент LDAP под названием Active Directory Administration Tool (файл ldp.exe), который подключается к серверу AD и позволяет просматривать содержимое каталога.
При анализе безопасности систем Windows 2000 Release Candidates летом 1999 года авторы [1]
обнаружили, что с помощью простого запроса LDAP можно получить сведения обо всех существующих пользователях и группах системы, просто указав утилите ldp в качестве адреса запроса контроллер домена Windows 2000. Единственное, что требуется для проведения такой инвентаризации, — организовать сеанс связи по протоколу LDAP (нужно успешно пройти аутентификацию). Если злоумышленник уже взломал существующую учетную запись на исследуемом компьютере, то протокол LDAP может предоставить альтернативный механизм получения списка пользователей даже при заблокированных или недоступных портах службы SMB.
В следующем примере проиллюстрируем получение сведений о пользователях контроллера домена Windows Server 2003 caesars.vegas.nv, в котором контекст корня каталога Active Directory определен как DC=vegas,DC=nv. Будем считать, что на машине caesars учетная запись Guest уже взломана, а
еепароль — guest.
1.Сначала подключаемся к исследуемой системе, используя утилиту ldp. Откроем меню Connection*Connect и введем IP-адрес или имя DNS исследуемого сервера. В результате будет создано неаутентифицированное соединение с каталогом. Можно подключиться к порту LDAP 389, используемому по умолчанию, или к TCP-порту 3268 глобального каталога (AD Global Catalog). На следующем рисунке показан пример использования порта 389.
2.Нулевое соединение позволяет получить некоторую информацию о каталоге, но можно пройти аутентификацию с использованием взломанной записи Guest и получить еще больше сведений. Для этого необходимо выбрать пункт меню Connection so Bind, убедиться, что отмечен пункт Domain и правильно указано имя домена, а затем ввести имя и пароль пользователя Guest.
3.Должно быть выведено сообщение Authenticated as dn: 'guest'. Значит, аутентификация прошла успешно, установлен сеанс LDAP, и можно проводить инвентаризацию пользователей и групп. Откроем меню View>Tree и в открывшемся диалоговом окне введем контекст корня каталога (например, здесь использованы DC=vegas, DC=nv).
4.На левой панели будет показана ветвь. Чтобы раскрыть ее и увидеть базовые объекты корневого каталога, достаточно щелкнуть мышью на символе плюса.
5. И наконец, делаем двойной щелчок мышью на контейнерах CN=Users и CN=Builtin. Раскроется список всех пользователей и всех групп сервера. Контейнер Users показан на рис. 4.9.
7
Носов В.В. "Технології аудиту інформаційних систем"
Рис. 5. При установленном соединении утилита Idp.exe, позволяет узнать пользователей и группы Active Directory
Как же стало возможным получить столько информации через простое гостевое подключение? Некоторые службы систем Windows NT4, такие как Remote Access Service (RAS) и SQL Server, должны иметь возможность запрашивать в службе AD объекты пользователя и группы. Во время установки Active Directory в Windows 2000 (программа dcpromo) пользователю предлагается предоставить разрешения на доступ к каталогам, чтобы существующие службы могли выполнять такие обращения. Если при установке были выбраны упрощенные (relaxed) разрешения доступа, то объекты пользователей и групп становятся доступны через протокол LDAP. Отметим, что при установке по умолчанию разрешения для Active Directory устанавливаются упрощенными.
Меры противодействия инвентаризации через службу Active Directory
Первое и самое главное, что необходимо сделать, — ограничить доступ к TCP-портам 389 и 3268 на периметре сети. Если вы не хотите предоставить данные своей службы AD всему миру, то никто не должен получить доступ к каталогу без аутентификации.
Чтобы предотвратить утечки этой информации через неавторизированные сегменты внутренних сетей с частичным доверием, разрешения для службы AD должны быть ограничены. Различия между обратно совместимым (читайте "менее защищенным") режимом и однородным режимом Windows Server 2003, по существу, сводятся к членству во встроенной локальной группе Pre-Windows 2000 Compatible Access. Для группы Pre-Windows 2000 Compatible Access no умолчанию установлены разрешения для доступа к каталогам, которые показаны в табл. 2.
8
Носов В.В. "Технології аудиту інформаційних систем"
Таблица 2. Разрешения для объектов пользователей и групп Active Directory для группы PreWindows 2000 Compatible Access
Мастер установки службы Active Directory (Active Directory Installation Wizard) автоматически добавляет идентификатор Everyone в группу Рrе-Windows Server 2003 Compatible во время выполнения программы dcpromo. В специальную группу Everyone входят прошедшие аутентификацию сеансы работы с любыми пользователями, в том числе и нулевые сеансы. После удаления группы Everyone из группы Pre-Windows 2000 Compatible Access (с последующей перезагрузкой контроллеров домена) домен будет работать с более высокой степенью защиты. Если по какой-либо причине потребуется снова снизить защищенность, то группу Everyone можно будет добавить заново, выполнив следующую команду.
net localgroup “Pre-Windows 2000 Compatible Access" everyone /add
net localgroup "Pre-Windows 2000 Compatible Access” "ANONYMOUS LOGON” /add
Управление доступом, предоставляемое членам группы Pre-Windows 2000 Compatible Access, также позволяет отправлять запросы к контроллеру домена через нулевые соединения NetBIOS.
Для иллюстрации этого утверждения рассмотрим два случая применения утилиты enum (описанной ранее) на следующем примере. Сначала запустим эту программу для системы Windows Server 2003 Advanced Server, в которой идентификаторы Everyone и ANONYMOUS LOGON входят в группу Pre-Windows 2000 Compatible Access.
Теперь удалим идентификаторы Everyone и ANONYMOUS LOGON из группы Pre-Windows 2000 Compatible Access, перезагрузим систему и запустим тот же запрос еще раз.
Серьезно подумайте над обновлением всех служб RAS, службы Routing and Remote Access Service (RRAS) и серверов SQL в вашей организации для получения совместимости с Windows 2000, чтобы при переходе к использованию службы AD была возможность заблокировать просмотр информации об учетных записях.
Выводы
Пользуясь представленной здесь информацией, хакер может перейти к активному взлому системы под управлением Windows. Ниже перечислены меры противодействия, которые позволяют ограничить возможности хакера при сборе информации.
1.Ограничьте доступ по сети ко всем службам, рассмотренным выше, с помощью сетевых брандмауэров и брандмауэров для отдельных хостов (например, ICF). Отключите все неиспользуемые службы. Запущенные службы не должны предоставлять важную системную
9
Носов В.В. "Технології аудиту інформаційних систем"
информацию для пользователей, которые не прошли аутентификацию.
2.Защитите службу SMB (TCP/UDP-порты 139 и 445). Проще всего это сделать с помощью отключения функции совместного использования файлов и принтеров для сетей Microsoft (File and Print Sharing for Microsoft networks). При необходимости запуска службы SMB используйте Security Policy (Политика безопасности) для предотвращения анонимного доступа. Используемые по умолчанию параметры безопасности службы SMB для систем Windows Server 2003 достаточно надежны, но не забывайте, что те же ограничения на контроллере домена менее строги и позволяют получить сведения об учетных записях. Заблокировать доступ к важной информации на всех компьютерах домена можно с помощью оснастки Group Policy (Групповая политика).
3.Доступ к службе NetBIOS Name Service (NBNS, UDP-порт 137) должен быть заблокирован на сетевых шлюзах (учтите, что блокирование UDP-nopra 137 повлияет на службу имен Windows).
4.Отключите службы Alerter и Messenger на узлах с работающим NetBIOS. Это предотвратит возможность извлечения информации о пользователях при удаленном доступе к таблицам имен NetBIOS. Пользуясь Group Policy, можно распространить эти установки на все компьютеры домена (см. "Возможности и средства защиты в системах Windows"). В системах Windows Server 2003 эти службы отключены по умолчанию.
5.Серверы имен Windows Server 2003 должны быть сконфигурированы таким образом, чтобы перенос зоны был разрешен только для явно определенных узлов либо полностью запрещен. В системах Windows Server 2003 переносы зон запрещены по умолчанию.
6.При включении службы SNMP ограничьте доступ к управляющей рабочей станций и задайте сложные, отличающиеся от значений по умолчанию, строки доступа. Служба SNMP Windows Server 2003 по умолчанию ограничивает доступ только для локального хоста и не задаст никаких строк доступа.
7.Строго ограничьте доступ к службам Active Directory, TCP/UDP-портам 389 и 3268. Используйте сетевые брандмауэры, фильтры Windows Server 2003 ICF и IPSec и любые другие доступные механизмы аутентификации. Учтите, что если вы используете фильтры IPSec, параметр реестра NoDefaultExempt должен иметь значение 1, чтобы фильтры нельзя было обойти, применяя атаку через порт-отправителя 88 (см., "Возможности и средства защиты в системах Windows'1).
8.Удалите идентификатор Everyone из группы Pre-Windows 2000 Compatible Access на контроллерах доменов Windows Server 2003, если есть такая возможность. Этот идентификатор включает режим обратной совместимости и позволяет службам RAS и SQL систем Windows NT обращаться к объектам пользователей з каталоге. Если функция совместимости не нужна, отключите ее. Планируя переход на службу Active Directory, обновите сначала серверы RAS и SQL, и режим обратной совместимости не понадобится.
10