Сканирование
Операционная система Windows 2000 прослушивает список портов, многие из которых не были задействованы в Windows NT 4 и появились лишь в этой версии операционной системы. В табл. 6.1 приводится список некоторых портов, прослушиваемых по умолчанию контроллером домена Windows 2000. Каждый из них является потенциальной точкой входа в систему.
Список номеров портов TCP и UDP, используемых службами и программами компании Microsoft, можно найти в перечне ресурсов по адресу http://www.microsoft.com/windows2000/library/resouces/reslcit/samplechapters/default.asp.
Таблица 6.1. Список портов, прослушиваемых по умолчанию контроллером домена Windows 2000.
| Порт | Служба |
|---|---|
| TCP 25 | SMTP |
| TCP 21 | FTP |
| TCP/UDP 53 | DNS |
| TCP 80 | WWW |
| TCP/UDP 88 | Kerberos |
| TCP 135 | RPC/DCE Endpoint mapper |
| UDP 137 | Служба имен NetBIOS |
| UDP 138 | Служба дейтаграмм NetBIOS |
| TCP 139 | Служба сеансов NetBIOS |
| TCP/UDP 389 | LDAP |
| TCP 443 | HTTP поверх SSl/TLS |
| TCP/UDP 445 | Microsoft SMB/CIFS |
| TCP/UDP 464 | Kerberos kpasswd |
| UDP 500 | IKE (Internet Key Exchange) (согласно протоколу IPSec) |
| TCP 593 | HTTP RPC Endpoint mapper |
| TCP 636 | LDAP поверх SSLДLS |
| TCP 3268 | Глобальный каталог службы активных каталогов |
| TCP 3269 | Глобальный каталог службы активных каталогов поверх SSL |
| TCP 3389 | Терминальный сервер Windows |
Контрмеры: отключение служб и блокировка портов
Наилучший способ предотвращения всевозможных атак – это блокировка доступа к этим службам как на уровне сети, так и на уровне отдельных компьютеров.
Внешние устройства контроля доступа к сети (переключатели, маршрутизаторы, брандмауэры и т.д.) нужно сконфигурировать таким образом, чтобы пресечь любые попытки доступа извне ко всем указанным портам, (Обычно это делается следующим образом. Отключаются все протоколы для всех доменов, а затем подключаются только некоторые службы для избранных доменов.) При этом, конечно, необходимо помнить об очевидных исключениях: порт 80 или 443 нужно оставить для работы Web-серверов. Ни один из этих портов не должен быть доступен за пределами сети, и лишь некоторые могут предоставляться для использования проверенными пользователями внутренних подсетей. Особенно это касается контроллера домена. На это есть две причины.
- В главе 3 было показано, как можно подключиться к портам TCP 389 и TCP 3268 через службу LDAP и глобальный каталог соответственно и получить данные с сервера.
- Как отмечалось в главе 3, служба сеансов NetBIOS Session Service, работающая через порт TCP 139, является одним из источников утечки информации и потенциального взлома сети под управлением Windows NT. Большинство действий, описанных в главе 5, выполняется исключительно через соединения по протоколу NetBIOS. Данные операционной системы Windows 2000 могут также быть получены через порт TCP 445.
He забудьте прочитать раздел " Отключение служб NetBIOS/SMB в Windows 2000" ниже в этой главе.
Имеет смысл также защитить порты, находящиеся в состоянии ожидания запросов, отдельных компьютеров. Такая "защита в глубину" значительно затрудняет возможность сетевых атак. Классический совет в этой связи сводится к завершению работы всех ненужных служб с помощью программы services.msc и их отключению. Особое внимание следует уделить котроллерам доменов под управлением Windows 2000: когда контроллеру домена делегируются права сервера (Server) или расширенного сервера (Advanced Server) с помощью команды dcpromo.exe, на нем автоматически устанавливаются служба активного каталога, DNS и сервер DHCP, а также открываются соответствующие порты. Контроллеры доменов – это важнейшие компоненты сети, поэтому они требуют особого обращения. Большинство приложений, файловые службы и службы печати лучше устанавливать на других компьютерах. Стремление к минимуму – первый принцип безопасности.
Чтобы ограничить доступ к портам отдельных компьютеров, можно использовать проверенные временем фильтры для протокола TCP/IP. Доступ к этим параметрам можно получить через вкладку Options диалогового окна, открываемого с помощью команды Network and Dial-up Connections › Properties › lnternet Protocol (TCP/IP) Properties › Advanced. Однако здесь сохранились старые недостатки. Фильтры протокола TCP/IP применяются сразу ко всем адаптерам. Их установка приведет к невозможности загрузки данных, инициированной даже легитимными соединениями, и сделает невозможным обычный просмотр Web-страниц в браузере системы. Кроме того, для корректного вступления в силу внесенных изменений требуется перегрузить систему.
Проведенное авторами тестирование Windows 2000 показало, что установка фильтров TCP/IP не блокирует эхо-пакетов ICMP (протокол 1), даже если отключить все протоколы IP, кроме 6 (TCP) и 17 (UDP).