Инвентаризация
Собрав полное "досье" на исследуемую сеть и "прощупав" систему ее защиты, хакер, скорее всего, на этом не остановится. Следующим шагом на пути к проникновению в систему будет получение информации о пользовательских учетных записях или плохо защищенных совместно используемых ресурсах. Для сбора такой информации существует много различных способов, которым дали общее название — инвентаризация (enumeration). В данной главе подробно рассматриваются основные методы, используемые в процессе инвентаризации.
Ключевое различие между ранее описанными методами сбора информации и методами инвентаризации состоит в уровне вмешательства в работу исследуемой сети. Процесс инвентаризации предполагает установку активного соединения с исследуемой системой и генерацию направленных запросов. Такая деятельность может (и должна!) регистрироваться исследуемой системой, поэтому мы покажем, на какие события необходимо обращать внимание, а также как по возможности блокировать попытки проведения инвентаризации вашей сети.
На первый взгляд большая часть информации, которую можно получить при инвентаризации, довольно безобидна. Однако сам факт утечки информации сквозь незакрытую брешь в системе защиты говорит о недостаточном внимании к безопасности со стороны администратора сети, что мы неоднократно проиллюстрируем на протяжении данной главы. Как правило, после получения реального имени пользователя или обнаружения совместно используемого ресурса подбор пароля или выявление изъянов в реализации протокола совместного использования ресурсов — только вопрос времени. Заблокировав все эти "дыры" в системе защиты (тем более, что сделать это несложно), вы сможете значительно снизить вероятность успеха попыток хакера.
Информация, которую взломщики могут получить при инвентаризации, можно разделить на следующие категории.
- Сетевые ресурсы, в том числе открытые для совместного доступа.
- Пользователи и группы пользователей.
- Приложения и идентификационные маркеры (banner).
Методика инвентаризации в значительной степени зависит от операционной системы (именно поэтому так важна информация, полученная на этапе сканирования портов и установления типа и версии операционной системы, о чем шла речь в главе 2). Зная, какая информация может заинтересовать хакера и насколько хорошо ваша система ее скрывает, вы можете предпринять ответные меры, которые позволят защитить самые уязвимые участки.
Данная глава состоит из трех разделов, каждый из которых посвящен конкретной операционной системе — Windows NT/2000, Novell NetWare и UNIX. Мы не уделяем особого внимания системе Win 9x, поскольку рассматриваемые здесь приемы определения учетных записей и открытых совместно используемых ресурсов не имеют непосредственного отношения к ее однопользовательской архитектуре. Однако следует заметить, что все методы, пригодные для инвентаризации Windows NT/2000, прекрасно работают и в случае Win Эх. В каждом разделе приводятся сведения о методах, применяемых для получения перечисленных выше сведений, а также о том, как их выявлять и по возможности защищаться.
|