题目:文件共享有多安全?
Microsoft,the Freedom to Share
作者:Loyal A. Moses
翻译整理:Tony Shen
在当今网络环境中文件共享是必需的,但是其花费却并非“物有所值”。我们需要在小型或大型团体的网络中既快速传播大量信息,同时又做到便利、易于管理且可以追查侵害者。便利并非指对于个人、家庭、公司、政府甚至国家不需花钱。很明显这一代价是可被转移的。通过理解和执行实用的安全方法和防范措施我们可以很容易地处理由于便利带来的危险。安全是思想上的一种状态,是人所遵循的方法和过程,用于保证某种状态的安全。设想有一个银行的拱顶,试问这个拱顶安全吗?它安全仅仅是因为它是一个拱顶,还是它故意被修建得很结实?它安全是因为银行中有武装的门卫,还是非法入侵将引发警报?安全既不在设备装置中也不在某个人身上。它是将这一切结合在一起构成的一种具有自动防范机制的方法。我们的网络中有许多与安全相关的东西,从竞争者In-box中包含有客户名单的一份Email到商业间谍。过份相信数据共享是我们最可能被利用的习惯之一。为了让你的朋友看到你的渡假照片,你在你的家用—商用计算机中建立一个共享目录。这听起来根本毫无害处,但实际上这是世界上每天都发生的、数以千记的计算机犯罪中的完美情节。试想工作中的雇员进行了同样的操作,他们共享目录是为了让另一部门的人能访问他们刚刚从tucows.com下载的游戏。共享目录不仅仅意味着你的朋友可以得到你的家庭照片或新游戏,它同样为一个攻击者进入你的计算机系统提供了潜在的入口。
这怎么可能呢?
过去的操作系统最初是基于便利的,安全是事后想到的补救措施。今天计算机网络中最危险的“便利”因素之一就是“NetBIOS”。NetBIOS (Network Basic Input/Output System)为共享服务和不同的较底层的网络协议(包括IP)交换信息提供编程接口。NetBIOS主要用于共享文件夹/目录和打印机。这些简单的概念到了一位资深攻击者手中将会招致重大的灾难。
本文将讨论NetBIOS的安全因素以及一些用于从目标系统收集信息、获取未授权访问的工具。以下信息仅用于教育目的,已经删去所有过分和多余的信息。
nbtstat.exe—这一诊断命令显示协议统计以及当前使用NBT(TCP/IP上的NetBIOS)TCP/IP连接。只有安装 TCP/IP协议后才能使用这一命令。如果目标机器上打开了TCP/IP的137、138及139端口,命令
“nbtstat -A ipaddress”
将显示当前活动用户、运行的服务,NT域名,机器名和以太网硬件地址。一旦知道存在和正确安装了哪些协议,其后的工作就是挖掘利用而已了。例如:机器名对于使用多重弱点攻击很有价值(如msadc.pl —由Rain Forest Puppy编制的展示msadcs.dll不安全性的程序)。机器名对于下面的例子也很有用。
NULL IPC$ Connection— IPC代表进程间通信,它是程序(如浏览器服务)相互通信的途径。IPC$ 是每一台 WindowsNT计算机建立的共享,通过它可进行进程间通信。使用NULL进程(与有效进程相对)是因为无须建立有效的信任关系即可通过NetBIOS浏览共享。NULL进程的初始目的允许未经认证的主机获得 NT服务器及其它MS网络中参与机器的浏览列表。当NULL进程成为everyone组的一部分是就会发生问题,他们可以访问未经授权的资源。最初,“everyone”并不意味着“anyone”。加入everyone组时你仍然需要登陆。但是NULL进程中的一次性的“everyone”则意味着“anyone”,可以访问未经授权的资源。这就是为什么新的“认证用户”组不包括NULL进程而不能成为“anyone”。一旦在你的lmhosts文件中输入目标系统名和IP后,下列命令可用于演示NULL 进程弱点。
net use \\targetmachinename\ipc$ "" /user:""
如果成功,你已经通过NULL进程与目标系统建立了连接,并且你可以看见共享和数据的浏览列表。如果有可能,还可以远程访问目标的注册表、用户管理器及其它NT特性。
引用AT&T站点的话:“......毫无顾忌地将NetBIOS和TCP/IP联系在一起是无根据的。一些Internet站点散布坏的建议使事情变得更糟......”
思考与准备是建立安全环境的关键。不受控制的NetBIOS将可能导致灾难。这里有一些我们可以采用的例子和预防措施。
从所有产品系统中删除NetBIOS
从所有重要数据中删除“everyone”组
使用操作系统中的IP过滤封堵端口或安装防火墙
删除所有产品系统中的管理共享
在需要使用NetBIOS,建议使用强密码
很明显NetBIOS既有优点也有缺点。本文中的两个基本的例子指出处理协议时应非常小心。NetBIOS为我们的网络世界带来方便,同时也是新的和潜在的危害性弱点的温床。防火墙和入侵检测系统近十年来获得了长足的进步,现在几乎能阻止所有这类进攻。可以预见最终会有一种简单而基本的东西结束这种网络的折磨。无论大小和功能,所有的东西都应该小心审计,详细检查确定由于便利所带来的危险级别。
“从现在起,让我们所有人一起公平竞争、自由共享”
Microsoft "Nbtstat" Nbtstat.
URL: http://windowsupdate.microsoft.com/nt5help/Server/en/nbtstat.htm (10 April 2000).
The Navas Group "File and Printer Sharing (NetBIOS) Fact and Fiction"
File and Printer Sharing (NetBIOS) Fact and Fiction. 5 April 2000.
URL: http://navasgrp.home.att.net/tech/netbios.htm (10 April 2000).
Webopedia "NetBIOS" NetBIOS.
URL: http://webopedia.internet.com/TERM/N/NetBIOS.html (10 April 2000).
www.pathcing.net(2000-9-14 12:41:54)