Инвентаризация сетевых ресурсов NT/2000
Перенос зоны DNS WIN 2000
Как было показано в главе 1, одной из основных целей предварительного сбора информации является получение данных о системе доменных имен (DNS), используемой в Internet, и преобразование IP-адресов узлов в дружественные имена, такие как amazon.com. Поскольку пространство имен активного каталога основывается на использовании службы DNS, компания Microsoft полностью обновила реализацию сервера DNS в WIN 2000, чтобы удовлетворить всем новым потребностям.
Для обеспечения клиентам возможности поиска служб домена Wind 2000, например служб активного каталога и Kerberos, в WIN 2000 имеется запись DNS SRV (RFC 2052), позволяющая определить местонахождение сервера по типу службы (например, LDAP, FTP или WWW) и протоколу (например, TCP/IP). Таким образом, при выполнении простого переноса зоны (nslookup, Is -d <имя-домена>) можно получить самую разную информацию, как показано в следующем примере, в котором осуществляется перенос зоны домена labfarce.org. (Для краткости и повышения читабельности листинг был отредактирован.)
D:\Toolbox> nslookup Default Server: corp-dc.labfarce.org Address: 192.168.234.110 > Is -d labfarce.org [[192.168.234.110]] labfarce.org. SOA corp-dc. labfarce,org admin. labfarce.org. A 192.168.234.110 labfarce.org. NS corp-dc.labfarce.org _gc._tcp SRV priority=0, weight=100, port=3268, corp-dc .labfarce.org _kerberos._tcp SRV priority=0, weight=100, port=88, corp-dc .labfarce.org _kpasswd._tcp SRV priority=0, weight=100, port=464, corp-dc .labfarce.org _ldap._tcp SRV priority=0, weight=100, port=389, corp-dc .labfarce.org
Согласно спецификации RFC 2052, запись SRV имеет следующий формат.
Service.Proto.Name TTL Class SRV Priority Weight Port Target
Из этой информации взломщик может получить некоторые сведения, а именно местоположение доменной службы глобального каталога (Global Catalog) (_gc._tcp), контроллеров домена, на которых используется аутентификация по протоколу Kerberos (_kerberos._tcp), серверов LDAP (_ldap._tcp), а также связанные с ними номера портов (в данном случае представлены лишь порты TCP).
Блокирование переноса зоны DNS WIN 2000
К счастью, в системе WIN 2000 служба DNS реализована таким образом, что можно без проблем ограничить перенос зоны, как показано ниже на рисунке. На нем представлено диалоговое окно свойств зоны поиска в прямом направлении (в данном случае для сервера labfarce.org). Для того чтобы открыть это окно, запустите консоль управления Computer Management и откройте элемент Server Applications and Services\DNS\<имя_cepверa>\Forward Lookup Zones\[имя_зоны], а затем выберите команду Properties.
Нетрудно догадаться, что по умолчанию в системе Windows 2000 разрешен перенос зоны по любому запросу. Можно полностью запретить перенос зоны, просто сбросив флажок Allow zone transfers, однако более реалистично было бы предположить, что на резервных серверах DNS информация должна регулярно обновляться. Так что в диалоговом окне свойств зоны можно установить и менее ограничивающий режим.