Tác giả:
Lê Đình Tiến Lâm
Lê Đình Tiến Lâm
VÍ DỤ VỀ SNMPutil
Cảnh báo :
- Việc bảo mật trở nên dễ bị xâm nhập từ Windows Server 2000 và máy trạm có hỗ trợ SNMP được kích hoạt và thay đổi mặc định chuỗi community “Public”. Tuy nhiên việc thay đổi đó thì không được miễn từ những người tấn công phát hiện ra trên mạng hay tới đối tượng hoặc người tấn công tàn bạo. Nó dường như không có rắc rối nhưng Windows 2000 SNMP thay đổi chứa đựng nhiều thông tin dồi dào cho người tấn công tìm thấy được. Một vài bảng có được khi truy cập READ đến SNMP trong Windows 2000 được liệt kê ở bên dưới :
• Bảng card mạng : bảng này phát hiện nhiều card mạng, cộng thêm những thông tin hữu ích như địa chỉ IP hay địa chỉ MAC.
• Bảng định tuyến hay bảng ARP : truy cập tới những bảng này người tấn công có thể xây dựng một cách nhanh chóng hình ảnh chính xác về mạng & tiếp tục tìm kếm những vùng dễ bị tấn công.
• Bảng TCP & bảng UDP : chúng sẽ hiển thị những cổng TCP & UDP đang sử dụng mà dịch vụ trên những cổng đó được lắng nghe cho máy trạm mới.
• Bảng thiết bị & bảng lưu trữ : biết được những phần cứng ở trong máy Windows 2000 cho người tấn công có thể biết được loại máy đang sử dụng.
• Bảng xử lý & bảng phần mềm : biết được những phần mềm được cài đặt & những phần mềm đang hoạt động (DNS Server, DHCP Server) cho những thông tin chi tiết tấn công hệ thống. Chúng hiển thị những gói dịch vụ được cài đặt (và những lỗi, bản vá (patches).
• Bảng người sử dụng : biết được tên người sử dụng hợp pháp trên máy tạo dễ dàng ước đoán password thu thập được thông tin truy cập đến hệ thống.
• Bảng chia sẻ : nếu người tấn công biết được những thư mục chia sẻ được trích xuất bởi máy Windows, nó có thể truy cập hệ thống bảo mật.
- Ở đây chúng ta nhìn thấy tiện ích SNMP được gọi là SNMPutil.exe là một phần trong Windows Resource Tool Kit. Chúng ta hãy nhìn xem những gì chúng ta nhìn thấy được từ dòng lệnh :• Bảng định tuyến hay bảng ARP : truy cập tới những bảng này người tấn công có thể xây dựng một cách nhanh chóng hình ảnh chính xác về mạng & tiếp tục tìm kếm những vùng dễ bị tấn công.
• Bảng TCP & bảng UDP : chúng sẽ hiển thị những cổng TCP & UDP đang sử dụng mà dịch vụ trên những cổng đó được lắng nghe cho máy trạm mới.
• Bảng thiết bị & bảng lưu trữ : biết được những phần cứng ở trong máy Windows 2000 cho người tấn công có thể biết được loại máy đang sử dụng.
• Bảng xử lý & bảng phần mềm : biết được những phần mềm được cài đặt & những phần mềm đang hoạt động (DNS Server, DHCP Server) cho những thông tin chi tiết tấn công hệ thống. Chúng hiển thị những gói dịch vụ được cài đặt (và những lỗi, bản vá (patches).
• Bảng người sử dụng : biết được tên người sử dụng hợp pháp trên máy tạo dễ dàng ước đoán password thu thập được thông tin truy cập đến hệ thống.
• Bảng chia sẻ : nếu người tấn công biết được những thư mục chia sẻ được trích xuất bởi máy Windows, nó có thể truy cập hệ thống bảo mật.
Dòng lệnh : snmputil [get | getnext | walk]
- Trong bảng xuất ra, biến được gọi là 1.3.6.1.2.1.1.2.0 và chúng ta lấy được giá trị đó trở thành “1”. Tên biến 1.3.6.1.2.1.1.2.0 được gọi là đối tượng định danh hay OID. Thay thế cho điều này được tìm thấy tại dòng thứ 2 xuất ra hiển thị ở đây. “interfaces.ifnumber.0” là cùng một OID, nhưng nó dễ dàng đạt được hơn. Dòng thứ 2 & dòng thứ 3 tới SNMP được chỉ định tới máy mà SNMP yêu cầu sẽ được gửi (210.212.69.129) & community (chứng nhận cao hoặc mật khẩu) để sử dụng. “Public” community là kiểu mặc định khi hỗ trợ SNMP được cài đặt trên máy Windows 2000 & nó cho phép người dùng đọc được những giá trị hiện hữu. Kể từ khi card mạng trong máy dễ bị tấn công dữ liệu, mối nguy hiểm là hiển nhiên. Chúng ta hãy nhìn xem những giá trị khác mà người tấn công quan tâm đến & bảo mật chuyên nghiệp :
• IpForwarding (1.3.6.1.2.1.4.1.0) – Đó có phải là máy chuyển tiếp ? Đó không phải là tín hiệu tốt cho máy trạm
• IcmpInRedirects(1.3.6.1.2.1.5.7) – Máy tính đang gửi một lần nữa những thông báo ICMP ?
• TcpOutRsts (1.3.6.1.2.1.6.15) – Việc đếm biểu hiện số của RSTs được gửi bởi box. Việc đếm sẽ tăng lên nhanh chóng khi quét những cổng
• UdpNoPorts (1.3.6.1.2.1.7.2) – Việc đếm biểu hiện tín hiệu tới những cổng mà không có dịch vụ hiện hành nào. Mặc dù nó là cổng quét tín hiệu thích hợp.
- SNMP tự động hóa quá trình thu thập nhiều biến và có thể xuất ra một tập tin. Nói tóm lại, SNMP có thể phát hiện chi tiết những dịch vụ đang chạy, tên thư mục chia sẻ, đường dẫn thư mục chia sẻ, tên người dùng & tên Domain v.v …• IcmpInRedirects(1.3.6.1.2.1.5.7) – Máy tính đang gửi một lần nữa những thông báo ICMP ?
• TcpOutRsts (1.3.6.1.2.1.6.15) – Việc đếm biểu hiện số của RSTs được gửi bởi box. Việc đếm sẽ tăng lên nhanh chóng khi quét những cổng
• UdpNoPorts (1.3.6.1.2.1.7.2) – Việc đếm biểu hiện tín hiệu tới những cổng mà không có dịch vụ hiện hành nào. Mặc dù nó là cổng quét tín hiệu thích hợp.
CÔNG CỤ : IP NETWORK BROWSER
Công cụ :
- IP Network Browser là một công cụ khám phá mạng. Nó có khả năng quét Subnet và hiển thị chi tiết về thiết bị trên Subnet. Mỗi IP đều được Ping. Cho mỗi địa chỉ trả lời, chương trình cố gắng thu thập nhiều thông tin. Nó không sử dụng giao thức SNMP, một SNMP agent phải được kích hoạt trên thiết bị từ xa cho IP Network Browser để thu thập thông tin chi tiết về thiết bị đó.
- Nó thích hợp cho người tấn công quét toàn bộ Subnet và khám phá nhiều hơn về mạng đích. Ví dụ, anh ấy có thể thu thập được thông tin trên Router mà nó có chứa đựng bảng định tuyến, chi tiết về mạng TCP/IP & nhiều thông tin dễ tấn công khác.
- Điểm đáng tranh luận ở đây là công cụ khám phá mạng hợp pháp có thể sử dụng để phát hiện những vùng dễ bị tấn công trong mạng bởi những người tấn công tìm ra những thông tin dễ tấn công mà làm cho công việc của họ dễ dàng hơn. Góc độ nguy hiểm phụ thuộc vào kỹ năng của người tấn công, sự hiểu biết, tài nguyên, quyền uy & cả động lực của họ. Tuy nhiên những vùng dẽ bị tấn công ở nạn nhân mà cho phép trở nên hiệu quả.
- Chương trình IP NetworkBrowser thích hợp để xuất những thông tin từ hệ thống Windows được cấu hình nghèo nàn. Chúng bao gồm cả tên Server & Domain/Workgroup chính, phiên bản HĐH, loại CPU, (nếu nó có vi xử lý hoặc không). SNMP có thể xác định thông tin, ngày giờ hệ thống, liệt kê tất cả tài khoản người dùng, dung lượng Ram, thiết bị lưu trữ, tên ổ đĩa, loại thiết bị, kiểu phân vùng, xử lý chương trình & ID chương trình, cài đặt ứng dụng & và thời gian cài đặt, liệt kê dịch vụ, liệt kê card mạng (mô tả, địa chỉ IP, tốc độ, netmask, dung lượng nhập/xuất, trạng thái) liệt kê tất cả những thư mục chia sẻ, những tập tin hệ thống & chú thích, bảng định tuyến, kết nối TCP &UDP.
(còn tiếp)