Иллюстрированный самоучитель по защите в Интернет

Инвентаризация сетевых ресурсов NT/2000

Универсальное средство инвентаризации: утилита еnum

Эта утилита была разработана группой Razor компании Bindview. В ней реализованы возможности всех других средств инвентаризации NetBIOS. Разработчики назвали эту программу enum, и это очень подходит для данной главы. Утилиту enum можно найти по адресу http://razor.bind-view.com. В приведенном ниже листинге представлены возможные Параметры командной строки. Из листинга видно, насколько всесторонние возможности предоставляет эта утилита.

D:\Toolbox> enum

Использование:

enum [параметры] [имя_узла|IP-адрес]
  • -U: получить список пользователей
  • -М: получить список узлов
  • -N: получить дамп имен (в отличие от -U|-M)
  • -S: получить список совместно используемых ресурсов
  • -Р: получить данные о принятой политике шифрования паролями
  • -G: получить список групп и их членов
  • -L: получить данные о политике LSA
  • -D: взлом с использованием словаря, требуется -u и -f
  • -d: с детализацией, применяется к -U и -S
  • -с: не прерывать сеанс
  • -и: задает имя пользователя (по умолчанию " ")
  • -р: задает пароль (по умолчанию " ")
  • -f: задает файл словаря (для -D)

Утилита enum позволяет автоматически устанавливать и завершать нулевой сеанс. Отдельного упоминания заслуживает параметр , предоставляющий информацию о принятой политике шифрования паролями. С его помощью взломщики могут оценить возможность удаленного определения пользовательских паролей (с помощью параметров , -u и -f) до того момента, как будет найден наиболее легкий из них. Более подробно утилита еnum будет рассматриваться в следующем разделе, посвященном инвентаризации учетных записей пользователей NT/2000.

Инвентаризация NetBIOS: контрмеры

Практически во всех рассмотренных выше приемах задействуется механизм передачи данных NetBIOS, так что при запрещении доступа к портам TCP и UDP с 135 до 139 все попытки получения информации окажутся неудачными. Для этого лучше всего заблокировать доступ к этим портам с использованием маршрутизатора, брандмауэра или любого другого устройства управления доступом.

В разделе, посвященном нулевым сеансам, вы узнали, как запретить использование протокола NetBIOS поверх TCP/IP и нужным образом настроить параметр системного реестра RestrictAnonymous. Это позволит предотвратить опасность извлечения важных данных посредством установки анонимных соединений. Однако правильное конфигурирование параметра RestrictAnonymous не способно заблокировать запросы, сгенерированные с использованием команд net view и nbtstat. Кроме того, не забывайте о том, что в системе WIN 2000 некоторую информацию можно получить и через порт TCP/UDP с номером 445, так что доступ к этом порту также целесообразно заблокировать.

Инвентаризация SNMP NT/2000

Даже если вы сделали все, чтобы предотвратить доступ к службам NetBIOS, с компьютера NT/2000 по-прежнему можно получить аналогичную информацию, если на нем запущен агент SNMP (Simple Network Management Protocol). Доступ к этому агенту можно получить с помощью строки доступа public, используемой по умолчанию. В таких случаях инвентаризация пользователей NT через протокол SNMP с помощью программы sranputil из комплекта NTRK превращается в увеселительную прогулку как в прямом (от английского слова walk ("пройтись"), фигурирующего в качестве параметра), так и в переносном смысле.

С:\> snmputil walk 192.168.202.33
public.1.3.6.1.4.1.77.1.2.25
Variable =.iso.org.dod.
internet.private.enterprises.lanmanager.
lanmgr-2.server.svUserTable.
svUserEntry.svUserName.5.
71.117.101.115.116 Value = OCTET STRING – Guest
Variable =.iso.org.dod.internet.
private.enterprises.lanmanager.
lanmgr-2.server .svUserTable.svUserEntry.svUserName.13.
65.100.109.105.110.105.115.116.114.97.116.111.114
Value=OCTET STRING – Administrator
End of MIB subtree.

В приведенном выше примере запуска утилиты snmputil последний параметр (.1.3.6.1.4.1.77.1.2.25) – это идентификатор объекта (OID – Object Identifier), который в соответствии с требованиями протокола SNMP определяет ветвь информационной управляющей базы (MIB – Management Information Base) компании Microsoft. База MIB – это иерархическое пространство имен, поэтому "прогулка" по всему дереву (т.е. использование менее точного значения, например.1.3.6.1.4.1.77) приведет к получению слишком больших объемов информации.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.