Стюарт Мак-Клар, Джоел Скембрэй, Джордж Куртц. Секреты хакеров. Безопасность сетей - готовые решения
Подождите немного. Документ загружается.
445 по всему периметру сетевых устройств управления доступом. Необходимо также
полностью запретить использование служб
SMB
на отдельных узлах, отсоединив клиен-
та WINS (TCP/IP) от соответствующего интерфейса во вкладке Bindings
аплета
Network
панели управления. В Windows 2000 для этого нужно отключить режимы совместного
использования файлов и принтеров сетей Microsoft для соответствующего сетевого адап-
тера. Запустите
аплет
Dial-up Connections, перейдите во вкладку соответствующего сете-
вого подключения и откройте диалоговое окно Advanced TCP/IP Settings.
Начиная с третьего сервисного пакета системы NT компания Microsoft предложила
механизм, позволяющий предотвратить возможность извлечения важной информации
с помощью нулевых соединений без необходимости отключения протокола
SMB
от
сетевых интерфейсов (хотя мы по-прежнему рекомендуем сделать это, если в службах
8MB
нет необходимости). Этот механизм был назван
RestrictAnonymous
— по назва-
нию соответствующего параметра системного реестра. Для его использования выпол-
ните следующие действия.
1. Запустите редактор системного реестра
regedt32
и перейдите к параметру
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA.
2. Выберите команду
Edit^Add
Value и введите следующие данные.
Имя параметра: RestrictAnonymous
Тип данных: REG_DWORD
Значение: 1 (или 2 для Win 2000)
3. Закройте редактор системного реестра и перезапустите компьютер, чтобы вне-
сенные изменения вступили в силу.
В системе Windows 2000 реализовать подобную защиту несколько проще, посколь-
ку в консоли управления имеется модуль Security
Settings
с элементом \Local
PoliciesVSecurity
Options. С помощью графического интерфейса можно выполнить на-
стройку многих параметров системного реестра, связанных с обеспечением защиты. В
системе NT4 все подобные изменения необходимо выполнять вручную. Что еще луч-
ше, параметры, подобные RestrictAnonymous, можно применить к организационной
единице (Organizational Unit — OU), узлу или на уровне домена. Если все изменения
производились на контроллере домена Win 2000, то эти параметры будут унаследова-
ны всеми дочерними объектами активного каталога. При этом потребуется воспользо-
ваться модулем Group Policy, который более подробно будет рассматриваться в главе 6.
Примечательно, что установка для параметра RestrictAnonymous значения 1 на са-
мом деле не блокирует самого анонимного соединения. Однако в то же время это по-
зволяет предотвратить утечку через такое соединение большей части информации об
учетных записях и совместно используемых ресурсах.
Даже после установки для параметра RestrictAnonymous значения 1 некото-
рые средства и приемы инвентаризации по прежнему позволят извлекать
конфиденциальные данные с удаленных систем. Так что не будьте слишком
самоуверенны.
Для
того
чтобы полностью ограничить доступ к данным CIFS/SMB в системе
Win
2000, установите режим
No
access
without
explicit
anonymous
permissions
для
пара-
метра Additional restrictions for anonymous connections. (Это аналогично заданию значе-
ния 2 для параметра RestrictAnonymous системного реестра Win 2000.)
Глава 3. Инвентаризация 91
Actcftional
wstrictionJ
for
апогдоюш
connections
fiJ
Effective
(К*»
te«in»
l(
dom»Mevel
рЫку
jetBngs
ae
drtnet
they
oywikto
beat
ювсу
seWnst
I
OK
I
Cancel I
При задании для параметра
RestrictAnonymous
значения 2 группа Everyone не будет
включена в объект-признак сеанса анонимного доступа. При этом могут возникнуть
проблемы с установкой соединения при работе с программами от сторонних произво-
дителей и/или более старых версий Windows. (Для получения более подробной ин-
формации по этому вопросу обратитесь к статье базы знаний Microsoft Q246261.) Од-
нако это позволит эффективно блокировать попытки создания нулевых соединений.
C:\>net
use
\\mgmgrand\ipc$
""
/u:""
System error 5 has occurred.
Access is denied.
Более подробную информацию о параметре RestrictAnonymous можно найти в статье
Q143474
системы Knowledge Base компании
Microsoft
по
адресу
http:
//search.
support.microsoft.com.
Для получения более подробного технического описания
можно обратиться к статье о
хакинге
служб NetBIOS
CIFS:
Common Insecurities Fail Scru-
tiny Хоббита, которую можно найти по адресу
http://www.avian.org
или в докумен-
тах RFC 1001 и 1002, где содержится спецификация передачи данных по протоколу
NetBIOS поверх TCP/UDP.
Мы вкратце обосновали важность информации, которую можно получить с помо-
щью нулевых соединений. В подавляющем большинстве случаев такие данные нельзя
оставлять незащищенными, особенно если сервер подключен к Internet. Мы настоя-
тельно рекомендуем запретить использование служб
8MB,
отсоединив их от соответ-
ствующего сетевого интерфейса, или, если такие службы все же необходимы, устано-
вить для параметра RestrictAnonymous значение 2.
После постановки задачи в целом самое время перейти к изучению средств и
приемов, которые
при
этом могут использоваться.
Инвентаризация сетевых ресурсов NT/2000
Первое, что может попробовать осуществить удаленный взломщик после скрупу-
лезного изучения сети, — это получить представление об имеющихся в ней ресурсах.
Поскольку системы NT/2000 по-прежнему сильно зависят от служб именования
NetBIOS (UDP 137), иногда мы называем подобную деятельность "инвентаризацией
NetBIOS". Сначала мы рассмотрим инвентаризацию ресурсов NetBIOS, а затем пе-
рейдем к инвентаризации служб TCP/IP, которые в большинстве случаев функциони-
руют в системах NT/2000.
92
Часть I. Изучение цели
Инвентаризация NetBIOS
Популярность
Простота
Опасность
Степень риска
:
:-
\9
10
9
Средства и приемы, которые можно применять к изучению ресурсов сети с протоколом
NetBIOS, можно найти без труда — большинство из них встроено в саму операционную
систему! Именно с них мы и начнем. Затем вы познакомитесь с некоторыми утилитами
сторонних производителей. Возможные контрмеры лучше рассматривать в самом конце
обсуждения, поскольку одновременно решить все проблемы гораздо проще.
Инвентаризация
доменов
NT/2000
с
помощью
команды
net
view
В качестве одного из самых ярких примеров встроенных инструментов можно
привести команду net view. Это чрезвычайно простая утилита командной строки
систем NT/2000, которая позволяет просмотреть все домены сети, а также практиче-
ски все компьютеры доменов. Вот как выполнить инвентаризацию доменов в сети с
использованием команды net view:
C:\>net
view /domain
Domain
CORLEONE
BARZINI_DOMAIN
TATAGGLIA_DOMAIN
BRAZZI
The command completed successfully.
С помощью следующей команды будет получен перечень всех компьютеров опре-
деленного домена.
C:\>net
view
/domain:corleone
Server
Name
Remark
\\VITO
Make
him an
offer
he
can't
refuse
\\MICHAEL
Nothing
personal
\\SONNY
Badda
bing
badda
boom
\\FREDO
I'm
smart
\\CONNIE
Don't
forget
the
cannoli
He забывайте о том, что можно использовать информацию, полученную с помо-
щью ping-прослушивания (глава 2), и подставить IP-адреса вместо имен NetBIOS
отдельных компьютеров. Обычно IP-адреса и имена NetBIOS взаимозаменяемы
(например,
\\192.168.202.5
эквивалентно
\\SERVER_NAME).
Для удобства
взломщики зачастую добавляют соответствующие записи с ключевым словом
#PRE
В
СВОЙ
файл
%systemroot%\system32\drivers\etc\I*fflOSTS,
а
затем
запускают
в
командной
строке
команду
nbtstat
-R,
чтобы
перезагрузить
буфер
таблицы имен. С этого момента при атаке можно без проблем использовать имя
NetBIOS, которое автоматически будет преобразовываться в соответствующий IP-
адрес, заданный в файле
LMHOSTS.
Глава 3. Инвентаризация 93
Получение дампа таблицы имен NetBIOS
С
ПОМОЩЬЮ
команд
nbtstat
И
nbtscan
Другой мощной встроенной утилитой является nbtstat, которая позволяет полу-
чить таблицу имен NetBIOS удаленной системы. Как видно из следующего примера, в
этой таблице содержится важная информация.
C:\>nbtstat
-A
192.168.202.33
NetBIOS Remote Machine Name Table
Name Type Status
SERVR9 <00> UNIQUE Registered
SERVR9 <20> UNIQUE Registered
9DOMAN
<00> GROUP Registered
9DOMAN
<1E> GROUP Registered
SERVR9 <03> UNIQUE Registered
INet-Services
<1C> GROUP Registered
IS-SERVR9
<00> UNIQUE Registered
9DOMAN
<1D> UNIQUE Registered
..
MSBROWSE
.<01>
GROUP Registered
ADMINISTRATOR <03> UNIQUE Registered
MAC Address = 00-AO-CC-57-8C-8A
Фрагмент листинга указывает, что с помощью команды nbtstat было получено имя
компьютера (SERVR9), домен, в котором он расположен (9DOMAIN), имена зарегистриро-
ванных
пользователей
(ADMINISTRATOR),
все
запущенные
службы
(inet-Services)
и
МАС-адрес.
Всю эту информацию можно узнать по кодам службы NetBIOS (числа из
двух цифр, расположенные справа от имени), частично представленным в табл. 3.1.
Таблица
3.1.
Стандартные коды служб NetBIOS
Код NetBIOS Ресурс
<имя компьютера>[00] Служба рабочей станции
<имя
домена>[00]
Имя домена
<имя компьютера>[03] Служба рассылки (для сообщений, переданных на данный компьютер)
<имя пользователя>[03] Служба рассылки (для сообщений, переданных данному пользователю)
<имя компьютера>[20] Служба сервера
<имя
домена>[10]
Главный броузер (master browser)
<имя домена>[1 Е] Служба просмотра (browser service elections)
<имя
домена>[1
В] Главный броузер домена (domain master browser)
Двумя основными недостатками команды
nbtstat
являются возможность
ее
при-
менения к одному узлу одновременно и несколько непонятные выходные данные.
Обоих этих недостатков лишена свободно распространяемая утилита nbtscan Аллы
Безручко
(Alia
Bezroutchko), которую можно найти
по
адресу
http:
//www.
inetcat.
org/software/nbtscan.html.
Эта утилита позволяет быстро выполнить те же дейст-
вия,
что и
команда
nbtstat,
над
всей сетью
и при
этом предоставляет прекрасно
от-
форматированные результаты.
94 Часть I. Изучение цели
C:\>nbtscan
192.168.234.0/24
Doing
NBT
name
scan
for
adresses
from
192.168.234.0/24
IP
address
NetBIOS
Name
Server
User
MAC
address
192.
192.
192.
192.
168
168
168
168
.234
.234
.234
.234
.36
.110
.112
.200
WORKSTN12
CORP-DC
WORKSTN15
SERVR9
<server>
<server>
<server>
<server>
RSMITH
CORP-DC
ADMIN
ADMIN
00-00-86-16-47-d6
00-cO-4f-86-80-05
00-80-c7-0f-a5-6d
00-aO-cc-57-8c-8a
Утилита nbtscan позволяет быстро получить данные об узлах сети, на которых
используется система Windows. Попробуйте запустить ее для сети класса С из Internet,
и вы поймете, что именно мы хотели сказать.
Инвентаризация контроллеров доменов NT/2000
Для того чтобы проникнуть в структуру сети Windows NT немного глубже, понадо-
бится инструмент, входящий в комплект NTRK. В следующем примере мы увидим,
как с
помощью
средства
NTRK
nltest
можно узнать, какие контроллеры доменов
являются первичными (PDC — Primary Domain Controller), а какие — вторичными
(BDC — Backup Domain Controller).
С:\>
nltest
/dclist:corleone
List of DCs in Domain corleone
\\VITO (PDC)
\\MICHAEL
\\SONNY
The command completed successfully
Для дальнейшего продвижения вперед нам необходимо воспользоваться нулевым
соединением. (Помните о нем? Если нет, то вернитесь к началу данной главы.) Доста-
точно установить нулевое соединение с одним из узлов представляющего интерес до-
мена, чтобы затем
с
помощью команды вида
nltest
/server:
<имя_сервера>,
а
также
параметра
/trusted_domains
узнать всю информацию о доменах NT, в которые вхо-
дит данный компьютер.
Инвентаризация совместно используемых ресурсов с помощью команды
net
view
и
утилит NTRK
Установив нулевое соединение, можно снова взяться за старую добрую команду
net view и провести инвентаризацию ресурсов удаленной системы, предоставленных
для совместного доступа:
C:\>net
view \\vito
Shared resources at
\\192.168.7.45
VITO
Share name Type Used as Comment
,
NETLOGON Disk Logon server share
Test Disk Public access
The command completed
successfully.
В состав комплекта NTRK входят три утилиты, которые могут оказаться полезны-
ми для инвентаризации совместно используемых ресурсов, — rmtshare,
srvcheck
и
srvinfo
(с параметром -s). Утилита rmtshare выводит результат примерно в том же
Глава 3. Инвентаризация 95
НА WEB-УЗЛЕ
wfflimsi>gl>llslilng.cMi
виде, что и команда net view. Утилита srvcheck отображает сведения о совместно
используемых ресурсах и авторизованных пользователях, включая скрытые ресурсы.
Однако для этого необходимо получить доступ к удаленной системе в качестве приви-
легированного пользователя. Наконец, утилита srvinfo с параметром
-s
позволяет
просмотреть перечень совместно используемых ресурсов, а также получить об иссле-
дуемой системе множество другой полезной информации.
Инвентаризация совместно используемых ресурсов с помощью утилиты
DumpSec
(ранее
DumpACL)
Одним из лучших инструментов для инвентаризации совместно исполь-
зуемых ресурсов NT (причем этим возможности не ограничиваются), яв-
ляется пакет DumpSec (ранее DumpACL), основное диалоговое окно ко-
торого показано на рис.
3.1.
Он распространяется бесплатно компанией
Somarsoft
(http://www.somarsoft.com).
Вряд ли можно найти другой
инструмент, который заслуживал бы такого же внимания администратора
NT. Программа DumpSec выполняет чрезвычайно широкий аудит, начи-
ная от разрешений на использование файловой системы удаленного узла
и заканчивая перечнем запущенных на ней служб. Основная информа-
ция о пользователях может быть получена даже через нулевое соедине-
ние. Кроме того, эту программу можно запускать из командной строки,
что позволяет без особых проблем применять ее при автоматизации про-
цесса сбора и обработки информации, а также при написании сценариев.
На рис. 3.1 показан пример работы программы DumpSec для получения
информации о совместно используемых ресурсах удаленной системы.
И*
Share
and
path
flDMIN$
IPC$
nspclnt
c$
D$
E$
General
IBMPropr
Account
Own
Remission
==>access
denied
">access denied
*•-
>access
denied
-->access
denied
==>access
denied
«>access
denied
-->access
denied
»->access
denied
ftran л
Рис. З.1. Путем установки нулевого соединения с исследуемым компьютером
программа DumpSec предоставляет перечень совместно используемых ресурсов
Поиск совместно используемых ресурсов с помощью утилит Legion и NAT
Открытие нулевого сеанса и использование описанных выше инструментов в руч-
ном режиме прекрасно подходят для направленного вторжения, однако большинство
хакеров предпочитают использовать сканер NetBIOS, чтобы быстро проверить целую
сеть на предмет наличия незащищенных ресурсов. Одной из наиболее популярных
утилит является Legion (ее можно найти во многих архивах Internet), диалоговое окно
которой показано на следующем рисунке.
96
Часть I. Изучение цели
и* •
8
shaies
found
on 3 remote
hosts.
4
>
§ Legion
- -Д 192168.202.30
•_»
TEST
jlOEL
,-
-J}
192.168.202.32
_jTEST
,- Л
192.168.202.33
_,TEMP
EnterStartlP
j
,
•<;
|
"|
j
j
W92.168.202.30\TEST
..J
W9216820230\RSA
\\192
168.
202.
ЭГЛГОЕ1.
W92
168.202
32\TEST
W92.168.202.32\RSA
\\192.168.202.32\JOEL
\\1921
66.202
33\Braies
>A1
92.
168.202. 33UEMP
J
ShowSFTgoll
,
MepDlfve
j
Save
text I
Утилита Legion может обследовать сеть класса С и представить в своем окне пере-
чень всех обнаруженных совместно используемых ресурсов. Ее версия
2.1
поддержи-
вает режим подбора пароля "в лоб", при использовании которого утилита пытается
подключиться к определенному ресурсу с помощью предоставленного пользователем
списка паролей. Более подробная информация о подборе паролей Windows 9x и Win-
dows NT приведена в главах 4 и 5 соответственно.
Еще одним популярным сканером совместно используемых ресурсов
Windows является утилита NetBIOS Auditing Tool (NAT), работа которой
основывается на коде, написанном Эндрю
Тридгеллем
(Andrew
Tridgell).
Эту утилиту можно найти на Web-узле книги по адресу
http://www.
hackingexposed.com.
Участники ныне уже не существующей группы
Rhino9
Неон Сурж (Neon Surge) и Хамелеон (Chameleon) написали гра-
фический интерфейс для утилиты NAT (рис. 3.2). Утилита NAT не толь-
ко находит совместно используемые ресурсы, но и пытается подключить-
ся к ним с помощью списков пользовательских имен и паролей.
5f>]
Unable to connect
i[w]
Attempting to connect with
name:
**
,1*1
Unable to connect
;[**]
Attempting to connect with
name:
*
JO]
Unable
to connect
•[**]
Attempting
to
connect
with
name:
**SHBSERUER
i[**]
Unable
to
connect
[*]
Attempting
to
connect
with
name:
SMBSERUEH
>[*•]
Unable to connect
|l**3
flttempting to
connect
with
name:
*
;[*3
Unable to connect
S[*]
Was not
able
to obtain any
information
fron
renote
server
t*l
Checking
host:
192.168.282.31
Г*1
Obtaining
list
of
remote
NetBIOS
names
[*]
Wt»s
not
able
to
obtain
any
information
fron
remote
server
[M
]
Checking
host:
192.168.202.32
[*]
Obtaining
list
of
remote
NetBIOS
names
Note.
Make
sure
this
executable
is
ti
the
same
dtectoiy
as
n^-exe
Т
hit
Window
ni
close
«the
process
runt,
Tp
check
the
progress
of the
process,
check the command
prompt
window.
UsetLisI
|
D
VappsSH
etBIO
S
^NATAU
S
E
RLIS
Wad
list
|DAapps\NetBIOS\NAT\PASSLIS
Output
Filename
|OAappsVNeteiOS\NAT\test.tKt
Fiel/Olnrbrmafan
Taigei.
IP
Information
Stains
IP
|i
92.168202.30
в-
Endno
IP |192.168 202.33
Irtwface
by
NeonSurge
«id
Chameleon
of
RhnoS
Рис.
З.2.
Две
версии
утилиты
NAT—с
графическим интерфейсом и для использования в командной строке
Глава 3. Инвентаризация 97
Другие средства инвентаризации сети NT/2000
НА
WEB-УЗЛЕ
Необходимо упомянуть
еще
несколько программ, предназначенных
для
шппшршмпд.сот
инвентаризации ресурсов
NT:
epdump
компании Microsoft
(ее
можно найти
по адресу
http://packetstorm.security.com/NT/audit/epdump.zip),
getmac
и
netdom
(из комплекта NTRK), а также утилиту
netviewx
Джеспера
Лорицена (Jesper
Lauritsen)
(http://www.ibt.ku.dk/jesper/-
Nttools/). Утилита epdump посредством обращения к интерфейсу RPC
отображает перечень служб, связанных с IP-адресами и номерами портов
(при этом результаты отображаются далеко не лучшим образом). Утилита
getmac, используя нулевой сеанс, отображает
МАС-адреса
и имена уст-
ройств, присвоенных сетевым адаптерам удаленных узлов. Эта информация
имеет особый интерес только для хакера, который ищет систему с несколь-
кими сетевыми адаптерами. Утилита netdom более полезна, поскольку она
выдает информацию обо всех связанных доменах, включая сведения о
принадлежности к домену и его резервных контроллерах. Утилита
netviewx также является мощным инструментом, позволяющим получить
информацию об узлах домена и запущенных на них службах. Мы часто ис-
пользуем netviewx для проверки наличия службы удаленного доступа NT
(RAS
— Remote Access Service), чтобы получить представление о количестве
серверов в сети, обеспечивающих удаленный доступ. Для этого можно вос-
пользоваться представленной ниже командой. С помощью параметра
-о
задается имя исследуемого домена, а параметр -т позволяет задать тип
компьютера или службы.
С:\>netviewx
-D
CORLEONE
-Т
dialin_server
VITO,4,0,500,nt%workstation%server%domain_ctrl%time_source%dialin_server%
backup_browser%master_browser,"
Make
him an
offer
he
can't
refuse
"
Имена служб, запущенных на этом сервере, представлены между символами
%.
Кроме того, утилита netviewx является хорошим средством для поиска компьютера,
который не является контроллером домена. Это не лишено смысла, поскольку веро-
ятность того, что такой компьютер не будет иметь надежной защиты гораздо выше,
чем у контроллера домена.
Утилита
Winfo
Арни
Видстрома
(Arne
Vidstrom), которую можно найти по адресу
http://www.ntsecurity.nu,
позволяет извлечь из удаленного компьютера инфор-
мацию об учетных записях пользователей, совместно используемых ресурсах, а также
данные об установленных доверительных отношениях. Эта утилита позволяет даже ав-
томатически открыть нулевой сеанс, если при ее запуске указан параметр -п.
Программа
nbtdump
Дэвида
Литчфидда
(David
Litchfield)
(http://www.cerberus-
infosec.co.uk/toolsn.shtml)
позволяет устанавливать нулевые соединения, выпол-
нять поиск данных о совместно используемых ресурсах и пользовательских учетных за-
писях, а кроме того, полученные результаты представляет в прекрасном отчете HTML.
О Инвентаризация NetBIOS: контрмеры
Практически во всех рассмотренных выше приемах
задействуется
механизм пере-
дачи данных NetBIOS, так что при запрещении доступа к портам TCP и UDP с 135 до
139 все попытки получения информации окажутся неудачными. Не забывайте также о
необходимости блокировки порта TCP/UDP 445 в Win 2000, поскольку часть инфор-
мации можно получить и через этот порт. Лучше всего заблокировать доступ к этим
портам с использованием маршрутизатора, брандмауэра или любого другого
устройст-
98 Часть I. Изучение цели
ва управления доступом. Для предотвращения возможности получения дампа таблицы
имен NetBIOS отключите службы Alerter и Messenger на отдельных узлах. Настроить
их начальную загрузку можно с помощью
аплета
Services панели управления.
£•"
Инвентаризация SNMP NT/2000
1
Популярность
Простота
Опасность
Степень риска
. 8
9
5
7
Даже если вы сделали все, чтобы предотвратить доступ к службам NetBIOS, с ком-
пьютера NT/2000 по-прежнему можно получить аналогичную информацию, если на
нем запущен агент SNMP (Simple Network Management Protocol). Доступ к этому
агенту можно получить с помощью строки доступа
public,
используемой по умолча-
нию. В таких случаях инвентаризация пользователей NT через протокол SNMP с по-
мощью программы
snmputil
из комплекта NTRK превращается в увеселительную
прогулку как в прямом (от английского слова walk ("пройтись"), фигурирующего в
качестве параметра), так и в переносном смысле.
С:\>snmputil
walk
192.168.202.33
public
.1.3.6.1.4.1.77.1.2.25
Variable =
.iso.org.dod.internet.private.enterprises.lanmanager.
lanmgr-2.server.svUserTable.svUserEntry.svUserName.5.
71.117.101.115.116
Value
=
OCTET STRING
-
Guest
Variable =
.iso.org.dod.internet.private.enterprises.lanmanager.
lanmgr-2.server.
svUserTable.svUserEntry.svUserName.13.
65.100.109.105.110.105.115.116.114.97.116. 111. 114
Value
=
OCTET STRING
-
Administrator
End of MIB subtree.
В приведенном выше примере запуска утилиты snmputil последний параметр
(.1.3.6.1.4.1.77.1.2.25)
— это идентификатор объекта (OID — Object Identifier),
который в соответствии с требованиями протокола SNMP определяет ветвь информа-
ционной управляющей базы (MIB — Management Information Base) компании Micro-
soft. База MIB — это иерархическое пространство имен, поэтому "прогулка" по всему
дереву (т.е. использование менее точного значения, например
.1.3.6.1.4.1.77)
приведет к получению слишком больших объемов информации. Запомнить все номе-
ра довольно сложно, поэтому взломщик, скорее всего, ограничится их строковыми
эквивалентами. Ниже перечислены некоторые сегменты MIB, с помощью которых
можно получить соответствующую информацию.
Сегмент MIB (добавьте его к .
iso.
org.
dod.
internet.
Выводимая
информация
private.enterprises.lanmanager.Ianmgr2)
.
server.
svSvcTable
.
svSvcEntry.
svSvcName
Запущенные
службы
.server.svShareTable.svShareEntry.svShareName
Имена совместно исполь-
зуемых ресурсов
.server.svShareTable.svShareEntry.svSharePath
Путь к совместно исполь-
зуемым ресурсам
.server.
svShareTable.
svShareEntry.
svShareComment
Комментарии
к
совместно
используемым ресурсам
Глава 3. Инвентаризация 99
.server.svUserTable.svUserEntry.svUserName
.domain.domPrimaryDomain
Имена пользователей
Имя домена
Конечно, можно избавиться от рутинной работы по вводу столь длинных парамет-
ров.
Для
этого достаточно найти
в
Internet (например,
по
адресу
http:
//www.
solar
winds.net) прекрасный SNMP-броузер с именем IP Network Browser, предоставляю-
щий всю перечисленную выше информацию в наглядной форме. На рис. 3.3 показа-
но, как программа IP Network Browser проверяет сеть на наличие в ней компьютеров,
на которых используется протокол
SNMP.
ДО»
Site*
Opt»™
yew
*i|.At|
1
192.168.202.1:
Systeja
HIB
Interfaces
Т
НИР
Binaries
Path:
C:\Binari
Sh»t«d
Pel
Hub pores
IPX
Network
Routes
A.P.P
Table
TJDP
Services
TCP
Connections
1
192.168.20Z.37:
MICHAIL
Subnet
Sc*i
Completed
Рис. З.З. Утилита IP Network Browser компании Solar Winds позволяет получить подробную информацию о
компьютере, на котором запущен агент SNMP. Для этого
достаточно
правильно указать строку досту-
па. В
данном примере показана система,
использующая
заданную
по
умолчанию строку доступа
public
О Контрмеры: защита от инвентаризации SNMP NT/2000
Самый простой способ предупреждения такой деятельности состоит в удалении
агента SNMP или в отключении службы SNMP с помощью
аплета
Services панели
управления. Если данный вариант вам не подходит, то, как минимум, убедитесь в
том, что доступ к данной службе правильно настроен и используется строка доступа
private,
а не
установленная
по
умолчанию строка
public.
Можно также отредакти-
ровать системный реестр, чтобы разрешить только санкционированный доступ к
100
Часть I. Изучение цели