Tác giả:
Lê Đình Tiến Lâm
Lê Đình Tiến Lâm
III. NetBIOS NULL SESSION:
- Nul Session được chỉ tới như là tấn công Holy Grail của Windows. Nó lấy lợi thế từ những lỗ hổng trong CIFS/SMB (Common Iternet File System/ Server Messaging Block). Chúng ta có thể thiết lập được những kỹ thuật Null Session với một máy có HĐH Windows (NT/2000/XP) để đăng nhập với một tài khoản người dùng & mật khẩu để trống. việc sử dụng những kết nối rỗng (null) cho phép bạn thu thập được những thông tin từ máy đó.
- Danh sách người dùng &nhóm người dùng.
- Danh sách các máy.
- Danh sách những thư mục chia sẽ.
- Người dùng và những máy SIDs (Security Identifier)-Chứng nhận bảo mật.
Khái niệm:
- Trong sự liệt kê này, người tấn công thu thập được những thông tin như: người sử dụng mạng, tên nhóm người dùng, bảng định tuyến & dữ liệu SNMP (Simmple Network Management Protocol) – giao thức quản trị mạng đơn giản.
- Trước đây chúng ta có thể tìm kiếm được những chi tiết nhỏ của những đợt tấn công nếu chúng ta hiểu được những khái niệm bên trong Null Session vì hệ thống HĐH tin tưởng vào những tài khoản người dùng được chứng thực. trong những HĐH tiếp theo, Microsoft đã phát triển thêm, chúng ta thấy thêm những nhóm người dùng, bộ luật chính sách (policy), những quyền và những điều kiện bảo mật khác nhằm bổ sung, nâng cao quá trình chứng thực. tuy nhiên trong điều kiện quy định về người dùng, HĐH luôn luôn hỗ trợ người dùng một kiểu” độc nhất vô nhị” được gọi là người dùng “rỗng” (null user) mà về cơ bản những tài khoản giả tạo đó không hề có tên và password nhưng luôn cho phép xem những thông tin trên mạng.
- Null User có khả năng liệt kê những account & tài nguyên chia sẽ trên domain (miền), thành viên của Server & các máy trạm. Nó tạo cho người dùng rỗng, tài khoản không đáng tin trở nên đáng tin có khả năng tìm kiếm được những thông tin & được hệ thống chứng nhận.
- Dưới đây là mô hình đặc trưng cho LAN, MAN trên hệ thống Windows NT4.0 :
- Những máy tính từ xa được thiết lập với HĐH Windows NT Server sử dụng giao thức qua lại (handshake). Sự bảo mật thông tin được đảm bảo thông suốt qua một sự giao tiếp được đưa ở dưới đây:
- Máy điều khiển từ xa (hay máy yêu cầu/ máy trạm) giử yêu cầu đến máy Server (hoặc máy nhận), phải nằm trong một Domain hoặc thông qua những Domain.
- Session Server trả lời lại bằng cách gửi những câu hỏi 64bit ngẫu nhiên mà trong đó có chứa đựng password của tài khoản người sử dụng yêu cầu.
- Session Server chấp nhận câu trả lời đó & kiểm tra mức độ bảo mật về chứng nhận của tài khoản người dùng & password của User đó.
- Trên việc chứng nhận câu trả lời, dấu hiệu truy cập được phát sinh bởi Session Server & gửi ngang qua máy trạm.
- Sau đó các máy trạm sẽ sử dụng dấu hiệu truy cập này để kết nối các tài nguyên trên mạng cho đến khi một phiên làm việc (session) mới được thiết lập thì mới kết thúc.
- Dấu hiệu truy cập thông tin là những đối tượng thự thi được điều hành, quản lý bởi HĐH. Những dấu hiệu lưu trữ thông tin về tài khoản đăng nhập nói chung & cho người dùng nói riêng được lưu trữ lại cho đến khi người sử dụng đăng xuất khỏi hệ thống hoặc một máy khác truy cập đến tài nguyên trên máy đó. Nó lọai trừ yêu cầu những chứng nhận khác khi truy cập đến tài nguyên mạng. nó dồng nghĩa với giao thức chứng thực mạng như NTLM chỉ được yêu cầu khi truy cập từ máy này qua máy khác. Kiểu bảo mật của Windows NT được trình bày như hình bên dưới.
- Nó cung cấp hai dịch vụ cơ bản: lưu trữ Mã số nhận diện bảo mật (SIDs) của người sử dụng, nó miêu tả & lưu trữ những thông tin của người sử dụng như thông tin chứng nhận.
- Windows NT 4.0 cung cấp 2 nhóm chính như những thành viên được điều khiển bởi Administrators: Users & Administrators. Nhóm còn lại: Everyone được điều khiển bởi HĐH hay Domain.
(còn tiếp)