Читаем Защита от хакеров корпоративных сетей полностью

На рисунке приведен образец экранной формы, на которой представлен обзор трафика сети Microsoft от сетевого клиента к серверу. Порты 137 и 139 закреплены за сетевой базовой системой ввода-вывода Microsoft NetBIOS и сервисами сессии. Порт 445, так же как и порты 138 и 139 в предыдущих версиях Windows, используется для обеспечения работы сервисов каталога Microsoft (Microsoft directory services) и обеспечивает большинство функциональных возможностей для протокола SMB (SMB – Server Message Block, блок серверных сообщений. Протокол разработан Microsoft, Intel и IBM. Он определяет регламент совместного использования файлов компьютерами в сети и отвечает за структуризацию запросов и связь с различными операционными системами. Аналогичен протоколу NCP) поверх TCP/IP в Windows 2000. Недавно опубликованная по адресу www.newsbytes.com/news/01/169408.html статья раскрывает некоторые проблемы безопасности, которые может создать этот порт для типового оборудования, объединенного в сеть. Достаточно интересен тот факт, что даже после отключения NetBIOS по TCP/IP с помощью изменения конфигурации сетевой карты этот порт будет все еще обнаруживаться.

Допустим, злоумышленник выбирает порт 445, который в момент выбора находится в состоянии пассивного ожидания (silent state). Несомненно, что этому порту соответствует управляемое соединение между клиентом с IP-адресом 192.161.1.103 и сервером. При работе злоумышленника со списком файлов каталога или при другом варианте просмотра к нему из сети поступают SMB-сообщения, нагружая сеть и искажая передаваемые по ней данные в результате шумовых помех.

На рисунке 11.8 показано внутреннее представление части активного соединения клиента с совместно используемым сервером при использовании вывода в текстовом формате. При желании злоумышленник может записать эту информацию в журнал для дальнейшего использования.

Программа SMBRelay

Давайте более внимательно рассмотрим предыдущий пример. Как, не рассматривая вставку ложных пакетов, легче всего перехватить SMB-сессию? Конечно, c помощью программы SMBRelay.

SMBRelay – это программа, написанная SirDystic cDc, которая позволяет перехватывать SMB-сообщения, вынуждая клиента разорвать соединение после аутентификации пользователя. После разрыва соединения злоумышленник захватывает существующую SMB-сессию, используя тот же самый мандат (учетную запись с параметрами доступа пользователя, сформированную после его успешной аутентификации). Единственный способ противодействовать этому – использовать возможность подписи SMB-сообщений на обоих концах соединения. Вполне вероятно, что в результате этого производительность работы сети снизится на 10–15 % и будут разорваны большинство совместимых назад (не исключающих использование прежних версий или модификаций) соединений клиента, поэтому при выборе данной возможности следует проявить осторожность.

Подробные сведения об изменениях, которые необходимо выполнить для поддержки подписи SMB-сообщений, можно найти по адресу http://support.microsoft.com/support/kb/articles/Q161/3/72.asp.

Наблюдатели перегрузки сети

Далее будет показано, что эксперименты с протоколом ARP и перехват TCP-сессий могут доставить много неприятностей. Кроме того, многие атаки будут выявлены, если они могут только вставлять пакеты, и не могут предотвратить отправку данных истинными коммуникаторами. Например, в рассмотренном сценарии использования службы имен доменов DNS факт посылки двух несоответствующих друг другу ответов является серьезным сигналом, что что-то не так. Давайте глубже разберем этот пример.