Đột nhập windows 2000

[email protected]

phân tích chi tiết hơn về những điểm yếu bảo mật của Windows 2000 và cách

khắc phục – bao gồm có những sản phẩm IIS, SQL và TermServ mới nhất –

hãy lấy một cuốn Hacking Exposed Windows 2000 (Osborne/McGraw-Hill,

2001).

IN DẤU VẾT

Như ta đã tìm hiểu trong Chương 1, hầu hết những kẻ tấn công đều khởi đầu

bằng cách cố gắng khai thác được càng nhiều thông tin càng tốt mà chưa cần

thực sự động đến máy chủ mục tiêu. Nguồn thông tin để lại dấu tích chính là

Domain Name System (DNS), đây là một giao thức tiêu chuẩn mạng Internet

nhằm khớp địa chỉ IP máy chủ với những tên dễ nhớ như

www.hackingexposed.com

☻Những chuyển giao vùng DNS

Tính phổ thông 5

Tính đơn giản

9

Tính hiệu quả

2

Mức độ rủi ro

5

Do dấu cách Windows 2000 Active Directory dựa trên DNS, Microsoft

vừa mới nâng cấp xong tính năng thực thi máy chủ DNS của Windows 200

nhằm đáp ứng những nhu cầu của AD và ngược lại. Do vậy đây là một nguồn

thông tin dấu tích tuyệt vời, quả không sai, nó mặc định cung cấp những

chuyển đổi vùng cho bất kỳ một máy chủ từ xa nào. Xem Chương 3 để biết

thêm chi tiết.

◙ Vô hiệu hóa các chuyển đổi vùng

Thật may mắn, tính năng thực thi DNS trong Windows 2000 cũng cho phép

hạn chế chuyển đổi vùng, cũng đã đề cập trong Chương 3.

QUÉT

Windows 2000 nghe trên ma trận của các cổng, rất nhiều trong số đó ra đời

sau NT4. Bảng 6-1 liệt kê những cổng được lựa chọn nghe trên một bảng điều

khiển vùng (DC) mặc định của Windows 2000. Mỗi dịch vụ này là một điểm

tốt để xâm nhập vào hệ thống.

Cổng Dịch vụ

TCP 25 SMTP

TCP 21 FTP

TCP/UDP 53 DNS

TCP 80 WWW

TCP/UDP 88 Kerberos

TCP 135 RPC/DCE Endpoint mapper

UDP 137 NetBIOS Name Service

UDP138 NetBIOS Datagram Service

TCP 139 NetBIOS Session Service

TCP/UDP 389 LDAP

TCP 443 HTTP over SSL/TLS

TCP/UDP 445 Microsoft SMB/CIFS

TCP/UDP 464 Kerberos kpasswd

UDP 500 Internet Key Exchange, IKE (IPSec)

TCP 593 HTTP RPC Endpoint mapper

TCP 636 LDAP over SSL/TLS

TCP 3268 AD Global Catalog

TCP 3269 AD Global Catalog over SSL

TCP 3389 Windows Terminal Server

Bảng 6-1: Các cổng nghe được lựa chọn trên một Bảng điều khiển

vùng của Windows 2000 (Cài đặt mặc định)

LỜI KHUYÊN Một danh sách số của cổng TCP và UDP mà các dịch vụ Microsoft

sử dụng có trên Bộ tài nguyên Windows 2000 (Resource Kit). Tìm kiếm tại địa chỉ http://

www.microsoft.com/Windows2000/techinfo/reskit/samplechapters/default.asp.

◙ những biện pháp đối phó: Vô hiệu hóa các dịch vụ và khóa các cổng

Cách tốt nhất để chặn đứng cuộc tấn công dưới mọi hình thức đó là khóa

đường tiếp cận những dịch vụ này, ở cấp độ mạng hoặc máy chủ.

Các công cụ kiểm soát đường truy nhập mạng ngoai vi (những chuyển

đổi, cầu dẫn, firewall, ..v.v) cần phải được định cấu hình nhằm từ chối mọi nỗ

lực kết nối với tất cả các cổng được liệt kê ở đây vốn không thể tắt. (Thông

thường, phương pháp điển hình là từ chối mọi giao thức tới các máy chủ và

sau đó kích hoạt có chọn lọc những dịch vụ mà máy chủ yêu cầu.) Đặc biệt,

trên một bảng điều khiển vùng, không có cổng nào là có thể truy nhập bên

ngoài ngoại vi mạng, và chỉ có một số rất ít là có thể tiếp cận mạng cấp dưới

nội bộ đáng tin cậy. Sau đây là hai lí do:

▼Trong Chương 3, chung ta đã biết cách những người sử dụng kết nối với

LDAP (TCP 389) và các cổng Global Catalog và đếm dữ liệu máy chủ.

▲ NetBIOS Session Service, cổng TCP 139 cũng đã được giới thiệu trong

Chương 3 là một trong những nguồn dò gỉ thông tin lớn nhất và sự phá hỏng

tiềm tàng trên NT. Hầu hết các sản phẩm chúng tôi giới thiệu trong Chương 5

hoạt động duy nhất trên các kết nối NetBIOS. Dữ liệu Windows 2000 cũng có

thể được đếm theo cách tương tự trên TCP 445.

Chú ý: Bạn cũng cần phải đọc phần “Vô hiệu hóa NetBIOS/SMB trên

Windows 2000”, ở cuối Chương này.

Bảo vệ các cổng nghe trên chính các máy chủ độc cá nhân cũng là một

biện pháp tốt. Bảo vệ kiên cố sẽ làm cho các bước tấn công sẽ khó khăn thêm

nhiều. Một lời khuyên bấy lâu về khía cạnh này đó là đóng tất cả các dịch vụ

không cần thiết bằng cách chạy services.com và vô hiệu hóa các dịch vụ

không cần thiết. Cần đặc biệt cảnh giác với các bảng điều khiển vùng

Windows 2000. Nếu như một Máy chủ hoăc một Máy chủ cao cấp được tăng

cấp thành bảng điều khiển sử dụng dcpromo.exe, tiếp đó Active Directory,

DNS, và một máy chủ DHCP được cài đặt, mở ra các cổng phụ. DC chính là

các thiết bị quan trong nhất của mạng và được triển khai một cách trọn lọc. Sử

dụng một bảng điều khiển làm nền cho các ứng dụng và file, các dịch vụ

printer. Sự tối thiểu hóa luôn là nguyên tắc bảo mật đầu tiên.

Nhằm hạn chế tiếp cận các cổng về phần máy chủ, chế độ dự phòng cổ

điển, TCP/IP Filters vẫn xuất hiện trong Network và Dial-up connections |

Properties of the appropriate connection | Internet Protocol (TCP/IP)

Properties | Advanced | Options tab | TCP | IP filtering properties. Tuy

nhiên những nhược điểm cố hữu vẫn còn tồn tại. Tính năng trích lọc TCP/IP

gắn vào tất cả các bộ điều hợp. Nó sẽ đóng hướng vào của một kết nối hướng

ra hợp lệ (ngăn chặn trình duyệt web từ hệ thống), và tính năng này yêu cầu

khởi động lại hệ thống trước khi phát huy tác dụng.

Cảnh báo: Những thử nghiệm của chúng tôi trên Windows 2000 đã cho thấy

tính năng trích lọc của TCP/IP không khóa các yêu cầu báo lại ICMP (Giao

thức 1) ngay cả khi IP Giao thức 6 (TCP) à 17 (UDP) là những đối tượng duy

nhất được phépBộ lọc IPSec

Một giải pháp tốt hơn đó là sử dụng các bộ lọc IPSec để lọc cổng dựa trên máy chủ.

Những những bộ lọc này là một lợi ích phụ của tính năng hỗ trợ mới của Windows 2000

cho IPSec và được nhóm thiết kế Windows2000test.com và các mạng Openhack sử dụng

với hiệu quả cao. IPSec lọc các gói tin quá trình ngay trong ngăn mạng và lại loại bỏ những

gói tin nhận được trên giao diện nếu như những gói tin này không đáp ứng những đặc tính

của bộ lọc. Trái với những bộ lọc TCP/IP, bộ lọc IPSec có thể được ứng dụng vào các giao

diện cá nhân, và nó sẽ khóa hoàn toàn ICMP (mặc dầu các bộ lọc này không đủ để khóa các

kiểu phụ ICMP như báo hiệu lại (echo), hồi âm lại (echo reply), dấu hiệu thời gian

(timestamp)…) Các bộ lọc IPSec không đòi hỏi phải khởi động lại hệ thống (mặc dầu

những thay đổi đối với các bộ lọc sẽ ngưng các kết nối IPSec hiện thời). Các bộ lọc này chủ

yếu là giải pháp cho máy chủ mà thôi, không phải là thủ thuật firewall cá nhân cho các trạm

công tác bởi chúng sẽ khóa hướng vào của các kết nối hướng ra hợp lệ (trừ phi được phép

qua tất cả các cổng), cũng tương tự như các bộ lọc TCP/IP.

Bạn có thể tạo ra các bộ lọc IPSec bằng cách sử dụng trình ứng dụng Administrative

Tools | Local Security Policy (secpol.msc). Trong GUI, nhấp chuột phải vào nút IPSec

Policies On Local Machine ở ô cửa bên trái, và sau đó chọn Manage IP Filter Lists And

Filter Actions.

Chúng ta nên sử dụng tiện ích dòng lệnh ipsecpol.exe để quản lí các bộ

lọc IPSec. Tiện ích này tạo thuận lợi cho quá trình scripting, và nó dễ sử dụng

hơn tiện ích quản lí chính sách IPSec bằng hình ảnh rắc rối và đa dạng.

Ipsecpol.exe được giới thiệu qua Windows 2000 Resource Kit và bằng công

cụ Định cấu hình Bảo mật máy chủ Internet Windows 2000 tại địa chỉ

http://www.microsoft.com/technet/security/tools.asp. Những dòng lệnh sau

chỉ cho phép cổng 80 là có tiếp cận trên một máy chủ:

ipsecpol \\ computername -w REG -p “Web” -o

ipsecpol \\ computername -x -w REG -p “Web” -r “BlockAll” -n

BLOCK –f 0+*

ipsecpol \\ computername -x -w REG -p “Web” -r “OkHTTP” -n PASS -

f 0:80+*:: TCP

Hai dòng lệnh cuối cùng tạo ra một chính sách IPSec có tên “Web” chứa đựng

hai nguyên tác bộ lọc, một có tên “BlockAll” có tính năng khóa tất cả các giao

thức đến và đi từ máy chủ này và tất cả các máy chủ khác. Nguyên tắc còn lại

có tên “OkHTTP” cho phép các luồng thông tin trên cổng 80 đến và đi từ máy

chủ này và các máy chủ khác. Nếu bạn muốn kích hoạt ping hoặc ICMP

(chúng tôi khuyên bạn không nên thực hiện trừ phi điều đó là thực sự cần

thiết), bạn có thể nhập thêm nguyên tắc này vào chính sách “Web”.

Ipsecpol \\ computername -x -w REG -p “Web” -r “OkICMP” -n

PASS -f 0+*: ICMP

Ví dụ này đề ra chính sách cho tất cả các địa chỉ, tuy vậy bạn cũng có thể dễ

dàng xác định một địa chỉ IP đơn sử dụng khóa chuyển đổi –f nhằm tập trung

các hiệu ứng vào một giao diện. Những thao tác quét cổng ngăn chặn một hệ

thống được định cấu hình có sử dụng ví dụ trên chỉ hiển thị cổng 80 mà

thôi.Khi mà chính sách bị mất hiệu lực thì tất cả các cổng lại dễ dàng bị truy

nhập.

Phần mô tả của mỗi đối số trong ví dụ này được minh họa trong Bảng

6-2. (Để có phần mô tả đầy đủ tính năng ipsecpol, chạy ipsecpol -?, bảng 6-2

cũng dựa trên đó)

Đối số Phần mô tả

-w REG Lập ipsecpol ở chế độ tĩnh, giúp viết chính sách cho một

điểm chứa định sẵn (ngược với chế độ động mặc định, vẫn

phát huy tác dụng khi mà dịch vụ Policy Agent đang hoạt

động; do đó rootkit tiêu diệt chế độ này). Tham số REG

quy định chính sách phải được viết cho Registry và phải

phù hợp cho các máy cho các máy chủ không kết nối. (Sự

lựa chọn khác, DS, viết cho thư mục).

-p Xác định một cái tên mang tính võ đoán (Web, như trong

ví dụ) cho chính sách này. Nếu như chính sách đã có sẵn

tên này, nguyên tắc này sẽ được bổ xung vào chính sách.

Ví dụ, nguyên tắc OkHTTP được bổ xung vào chính sách

Web ở dòng thứ 3.

-r Xác định một cái tên mang tính võ đoán cho nguyên tắc

này, nó sẽ thay đổi các nguyên tắc hiện thời bằng cùng

một cái tên trong chính sách.

-n Khi ở chế độ tĩnh, lựa chọn NegotiationPolicyList có thể

xác định 3 mục đặc biệt: BLOCK, PASS, và INPASS (như

mô tả trong phần sau của bảng này)

BLOCK Bỏ qua phần còn lại của các chính sách trong

NegotiationPolicyList VAF làm cho tất cả các bộ lọc khóa

hoặc bỏ tất các bộ lọc. Thao tác cũng giống như lựa chọn

một nút Block radio trong UI quản lí IPSec.

PASS Bỏ qua phần còn lại của các chính sách trong

NegotiationPolicyList và làm cho tất cả các bộ lọc mở.

Thao tác cũng giống như lựa chọn một nút Permit radio

trong UI.

INPASS Phần này cũng giống như kiểm tra Allow Unsecured

Communication, hộp kiểm tra But Always Respond Using

IPSEC trong UI.

-f FilterList Nếu như FilterList là một hoặc nhiều nguyên tắc bộ lọc

được phân tách bằng dấu cách có tên filterspecs :A.B.C.D/

mask: port =A.B.C.D/mask:port: IP Protocol, nếu Địa chỉ

Nguồn luôn ở bên trái “=”, và Địa chỉ Đích luôn ở bên

phải. Nếu bạn thay thế “=” bằng một “+”, 2 bộ lọc phản