Инвентаризация после аутентификации
Теперь понятно, как много информации предоставляют серверы NetWare. Вас это еще не испугало? Прекрасно, после аутентификации взломщики смогут получить еще больше данных.
После получения нескольких имен пользователей и паролей с использованием утилиты chknull взломщики наверняка предпримут попытку регистрации на сервере с помощью программы DOS login.exe, On-Site или программы регистрации клиента Client32. После успешной аутентификации можно получить еще больше информации, воспользовавшись ранее рассмотренной программой (On-Site) и новыми утилитами (userlist и NDSsnoop).
userlist /a
Утилиту userlist нельзя использовать просто после соединения с сервером, так что предварительно нужно узнать корректное имя пользователя и пароль (с помощью chknull). Она предоставляет те же возможности, что и программа On-Site, однако используется в командной строке, что позволяет применять ее в сценариях (см. рисунок ниже).
Утилита userlist предоставляет взломщику важную информацию, включая полный адрес сети и узла, а также время регистрации.
On-Site Admin
После аутентификации на сервере NetWare можно снова воспользоваться программой On-Site, уже для просмотра всех текущих соединений с сервером. Просто выберите с помощью мыши требуемый сервер, а затем щелкните на кнопке Analyze. В результате будет получена основная информация не только о томе, но и обо всех текущих соединениях (рис. 7.4).
При установке с помощью программы On-Site аутентифицированного сеанса можно просмотреть каждое соединение NetWare с сервером. Для взломщиков такая информация очень важна. Как вы увидите чуть ниже, она поможет им получить привилегии администратора.
Рис. 7.4. Данные о соединениях, полученные с помощью программы On-Site, позже пригодятся для получения прав администратора
NDSsnoop
В различных ситуациях программа NDSsnoop может принести различную пользу. Однако если вы сможете ею воспользоваться, то это окажется чрезвычайно полезным. После успешного прохождения аутентификации программу NDSsnoop можно применять для просмотра в графическом режиме подробных данных обо всех объектах и свойствах (подобно утилите nlist /ot = * /dyn /d, рассмотренной выше), включая свойство Equivalent To Me.
Как видно из рис. 7.5, программу NDSsnoop можно использовать для просмотра жизненно важной информации об объектах дерева, в том числе свойства Equivalent To Me и Last Login Time.
Проверка активности режима блокировки вторжений
Этот режим является встроенной возможностью системы NetWare. При его включении учетная запись пользователя будет заблокирована после заданного числа неудачных попыток регистрации. К сожалению, по умолчанию режим блокировки вторжений (intruder lockout) отключен. Этот режим должен быть всегда включен. Его очень важно использовать для отражения атак взломщиков, направленных на получение доступа к серверу. После установки соответствующего флажка (рис. 7.6) убедитесь, что требуемые изменения внесены и в свойства каждого контейнера дерева.
Рис. 7.5. С использованием утилиты ND.Ssnoop можно просмотреть подробную информацию о каждом объекте. Иногда с ее помощью удается определить пользователей, обладающих привилегиями администратора
Рис. 7.6. Если режим блокировки вторжений отключен, то вы, возможно, никогда не узнаете о взломе
Как только взломщик приготовился атаковать определенного пользователя, обычно он предпринимает попытку определить, включен ли режим блокировки вторжений. Если да, то потребуется быть гораздо более осторожным. Вы будете удивлены, как много администраторов пренебрегают этой возможностью. Возможно, это происходит из-за недостатка знаний, недостаточного понимания важности использования этого режима или просто из-за слишком большой нагрузки по администрированию. Вот описание методологии, зачастую применяемой для определения состояния режима блокировки вторжений.
В окне регистрации Client32 попробуйте несколько раз зарегистрироваться в качестве известного пользователя. Вполне вероятно, что будут использоваться неправильные пароли, так что почти наверняка на экране появится диалоговое окно со следующим сообщением.
При выводе на экран другого диалогового окна (см. рисунок ниже) становится очевидно, что используемая учетная запись заблокирована.
И на системной консоли появится следующее сообщение.
4-08-99 4:29:28 pm: DS-5.73-32
Intruder lock-out on account estein.HSS
[221E6EOF:0000861CD947]
4-08-99 4:35:19 pm: DS-5.73-32
Intruder lock-out on account tgoody.HSS
[221E6EOF:0000861CD947]
После около двадцати неудачных попыток регистрации без получения сообщения login failure status с достаточной степенью вероятности можно сказать, что режим блокировки вторжений на исследуемом сервере отключен.
Контрмеры против проверки активности режима блокировки вторжений
Мы не знаем способов, с помощью которых можно обнаружить взломщиков, пытающихся проверить, включен ли режим блокировки вторжений. Насколько нам известно, подавить отображение подобных сообщений в системе NetWare нельзя. Лучше всего проявлять настойчивость и постоянно следить за сообщениями на консоли сервера. Кроме того, отслеживайте до конца все случаи подозрительной блокировки независимо от того, насколько важным это может показаться.
