Инвентаризация сети.

 

В качестве вступительного слова хочу сказать, что данная статья является новой авторской редакцией небольшого цикла статей «Инвентаризация сети», написанного для ныне несуществующего проекта LWB. Вопреки правилам, я напишу от первого лица. Статьи нуждаются в переработке потому, что аудитория, на которую они направлены, теперь иная, поэтому я изменю действительно много. Я не сильно изменю основное содержание, а так же я не буду обновлять листинги, полученные при сборе информации о сети в 2004 году, так как важно понятие принципа, а не получение свежей информации о чужой сети. Кроме того, я сильно сокращу некоторые пункты, которые, по моему мнению, не обязательны для понимания принципов, поэтому статья достаточно небольшая по объёму. В оригинале, статьи всё ещё доступны в Интернет.

Как показал опыт, несмотря на то, что статьи были направлены на начинающих и специалистов среднего уровня, много опытных специалистов нашли для себя полезную информацию. Также хочется заметить, что, несмотря на общее мнение, что сбор информации о сети нужен только для проникновения в крупную корпоративную сеть, большинство пунктов могут быть очень полезны для проникновения в отдельный сервер.

Итак, как правило, в самом начале у взломщика имеется только имя (домен) вида www.microsoft.com . Только самые отчаянные могут идти по прямому пути, потому что подобная атака в лоб достаточно сложна. Легче начать сбор дополнительной информации о сети, в которой вполне может оказаться «лазейка», которая позволит получить доступ к любому ресурсу сети. Нижеприведенные способы хороши тем, что администратор сети никогда не узнает, что Вы делали.

Для начала будет полезен список WHOIS серверов для инвентаризации «серьёзных» сетей. Это сервера, которые содержат в себе информацию о правительственных, военных и просто государственных сетях.

 

http://whois.ripe.net (Европа)

http://whois.apnic.net (Тихоокеанский регион Азии)

http://whois.nic.mil (Военные ведомства США)

http://whois.nic.gov (Правительственные ведомства США).

 

Первым шагом может стать получение регистрационной информации о домене, а так же DNS (Domain Name Server), которые его обслуживают. Таким образом, можно ввести Microsoft.com в форму http://www.internic.net/whois.html (один из многочисленных серверов, предоставляющих сервис WHOIS).

 

Domain Name: MICROSOFT.COM

Registrar: NETWORK SOLUTIONS, INC.

Whois Server: whois.networksolutions.com

Referral URL: http://www.networksolutions.com

Name Server: DNS1.CP.MSFT.NET

Name Server: DNS1.TK.MSFT.NET

Name Server: DNS3.UK.MSFT.NET

Name Server: DNS1.DC.MSFT.NET

Name Server: DNS1.SJ.MSFT.NET

Status: REGISTRAR-LOCK

Updated Date: 26-nov-2003

Creation Date: 02-may-1991

Expiration Date: 03-may-2012

 

Итак, пять DNS, плюс срок окончания регистрации 03-may-2012. Бывали случаи, что домен успевал перерегистрировать на себя другой владелец, в то время как счёт за продление регистрации оставался без внимания. Интересно, что информация о диапазоне IP адресов для компании «Майкрософт» не была предоставлена. Это не страшно, так как есть информация о DNS (возьмём, например, DNS3.UK.MSFT.NET). Наверное, самый элементарный способ узнать его IP адрес, это ввести в командной строке ping DNS3.UK.MSFT.NET

 

Pinging DNS3.UK.MSFT.NET [213.199.144.151]…

 

Вот мы и получили желаемое: 213.199.144.151

Чтобы не повторять операцию для каждой записи, можно воспользоваться http://dnsstuff.com Там есть форма DNS lookup. Можно ввести туда DNS3.UK.MSFT.NET

 

DomainTypeClassTTLAnswer

dns3.uk.msft.net. A     IN    172800      213.199.144.151

msft.net.         NS    IN    172800      dns1.cp.msft.net.

msft.net.         NS    IN    172800      dns1.dc.msft.net.

msft.net.         NS    IN    172800      dns1.sj.msft.net.

msft.net.         NS    IN    172800      dns1.tk.msft.net.

msft.net.         NS    IN    172800      dns3.jp.msft.net.

msft.net.         NS    IN    172800      dns3.uk.msft.net.

dns1.cp.msft.net. A     IN    172800      207.46.138.20

dns1.dc.msft.net. A     IN    172800      64.4.25.30

dns1.sj.msft.net. A     IN    172800      65.54.248.222

dns1.tk.msft.net. A     IN    172800      207.46.245.230

dns3.jp.msft.net. A     IN    172800      207.46.72.123

dns3.uk.msft.net. A     IN    172800      213.199.144.151

 

Во второй половине листинга мы получили всё необходимое.

Далее в форму WHOIS Lookup мы вводим 213.199.144.151 (Информация, не имеющая почти никакой важности, вырезана)

 

Country: UNITED KINGDOM

[вырезано]

inetnum:      213.199.144.0 - 213.199.159.255

netname:      MSFT-IDC

descr:        Microsoft London Internet Data Center

descr:        Distribution of Microsoft content

descr:        London

[вырезано]

route:        213.199.144.0/20

descr:        Microsoft European IDCs

origin:       AS8068

notify:       peering@microsoft.com

mnt-by:       MICROSOFT-MAINT

changed:      cnielsen@microsoft.com 20020419

source:       RIPE

 

person:       Bharat Ranjan

address:      Microsoft Limited

address:      10 Great Pulteney Street

address:      London, W1F 9NB

address:      UK

phone:        +44 7703 405 100

fax-no:       +1 (425) 936 7329

nic-hdl:      BR329-ARIN

changed:      bharatr@microsoft.com 20020516

source:       RIPE

 

[вырезано]

phone:        +1 425-703-7384

fax-no:       +1 425-936-7329

e-mail:       judithsh@microsoft.com

[вырезано]

 

Таким образом мы получили один из диапазонов IP, принадлежащих «Майкрософт» 213.199.144.0 - 213.199.159.255 . Не обязательно используются все IP адреса, но видно, что сеть большая, а значит много простых пользователей как потенциальных «жертв».

А так же мы получили несколько телефонов, e-mail адресов и адрес одного из офисов. Часто достаточно просто выяснить некоторые другие телефоны и адреса электронной почты, что позже можно использовать для социальной инженерии. В опытных руках социальная инженерия очень мощное оружие, которое позволит получить большое количество закрытой информации. Это особенно опасно в больших сетях, которые обслуживаются несколькими системными и сетевыми администраторами. Далеко не все сотрудники знают их в лицо, не говоря уже о том, чтобы узнать подмену, если кто-то от их имени позвонит по телефону.

            Используя Reverse DNS мы можем вычислить, какой DNS сервер «основной» для Майкрософт.

 

Country: UNITED KINGDOM

 

Preparation:

The  reverse DNS entry for an IP is found by reversing the IP, adding it to

"in-addr.arpa", and looking up the PTR record.

So, the reverse DNS entry for 213.199.144.151 is found by looking up the PTR

record for

 151.144.199.213.in-addr.arpa.

All DNS requests start by asking the root servers, and they let us know what to do

next.

See How Reverse DNS Lookups Work for more information.

 

How I am searching:

Asking i.root-servers.net for 151.144.199.213.in-addr.arpa PTR record: 

       i.root-servers.net says to go to ns.ripe.net. (zone: 213.in-addr.arpa.)

Asking ns.ripe.net. for 151.144.199.213.in-addr.arpa PTR record: 

       ns.ripe.net says to go to dns1.dc.msft.net. (zone: 144.199.213.in-addr.arpa.)

Asking dns1.dc.msft.net. for 151.144.199.213.in-addr.arpa PTR record:  Reports

dns3.uk.msft.net.

 

Answer:

213.199.144.151 PTR record: dns3.uk.msft.net. [TTL 3600s] [A=213.199.144.151]

213.199.144.151 PTR record: dns3uk.msft.net. [TTL 3600s] [A=213.199.144.151]

 

Details:

You have more than one PTR record for 213.199.144.151.  This is legal, but most

programs will only use

the first PTR record listed (which may vary).

 

Отсюда мы видим, что основным сервером является dns1.dc.msft.net

С ним также можно провести все вышеперечисленные операции для получения дополнительных сведений, которые уточнят или дополнят уже имеющиеся.

Подводим итог: помимо большого количества неважных сведений, которые может быть понадобятся, а может и нет, мы получили сведения об одной сети, возможном количестве компьютеров, диапазон IP адресов, адреса, телефоны, IP адреса DNS серверов, каждый из которых может быть атакован. Если атака успешна, взломщик может не только перенести зону DNS для получения точной информации о компьютерах и серверах сети, но и изменить таблицы DNS. Это повлечёт за собой не только серьёзные сбои, но может быть использовано для перевода всех DNS запросов на компьютер взломщика. В этом случае, последствия могут быть критическими.

            Следующий приём можно применить, как правило, к зарубежным компаниям. Информация о российских компаниях редко попадает на подобные ресурсы, но про них можно получить информацию из новостей. Как известно, периодически у компаний появляются филиалы, подключаемые к основной сети, иногда компании сливаются вместе, а с ними и их сети. Для взломщика это может стать отличной возможностью. Например, если сеть филиала, начинает работать сразу, как только появляется такая возможность, то компьютеры ещё могут быть недостаточно настроены на новую сеть с точки зрения безопасности. Но возможен и второй вариант, который может быть ещё более опасным. Сеть одной из компаний может оказаться уже взломанной, и у взломщика уже есть возможность контролировать её. Действительно, бывает так, что пользователи могут этого не замечать, если взломщик ведёт себя осторожно. Даже если это не так, то при слиянии сетей на какое-то время в них может установиться некоторый «беспорядок», который и даст возможность взломщику проникнуть в сети.

Сервис http://www.sec.gov/edgar/searchedgar/webusers.htm предоставит необходимую информацию. Можно начать с Companies & Other Filers. Внимание! Мне не хочется увеличивать размеры статьи примером получаемого отчёта. Их можно найти в прошлой редакции статьи по этому адресу: http://ngh.void.ru/articles/gotius/lan_invert_2.txt Так можно узнать о транзакциях компании, найти адреса других офисов, а в subsidiary (дочерняя) можно найти информацию о слияниях.

            Выше  я уже упоминал о «Переносе зоны DNS», сейчас я бы хотел остановиться на этом пункте более подробно. Компании, у которых есть свои DNS сервера, как правило, есть ещё и вторичные DNS сервера. Это необходимо, если первичный DNS по какой-то причине выйдет из строя. Понятно, что для этого их данные должны быть одинаковы. С этой целью и делается перенос зоны DNS. После этой операции, их данные будут идентичны. Часто случается, что они плохо сконфигурированы и подобный перенос зоны разрешён любому компьютеру, а не только DNS серверам. Поэтому мы можем сделать например так:

 

# nslookup

Default Server: ip.ip.ip.ip

Address:  ip.ip.ip.ip

>>serv ip.ip.ip.ip

>>ls –d target.com > /tmp/dns_zone

 

Фрагмент файла имеет примерно следующий вид:

 

|     ID    | IN |    | ip.ip.ip.ip

|acct26     |    | A  | Hinfo #Gateway, WIN2K

|          |    | MX | 0 andromеda

|           |    | RP | sat.hfols

|           |    | TXT| Location: room15

 

Вот так мы узнали IP адрес машины; узнали, что это Гейтвей (Шлюз) на базе Windows 2000 и что находится он в комнате 15, а также его MX запись, которая может быть полезна в будущем. Понятно, что подобная информация есть о каждом подключённом к сети компьютере. Внимательно изучив данные, можно вычислить наиболее слабый компьютер, через который можно начать вторжение.

Дальше  можно выяснить, по какому маршруту проходит пакет, прежде чем попасть на целевой компьютер. В этом случае поможет утилита traceroute. Укажем параметр –S, а так же –p для указания порта, отличного от порта по умолчанию, который часто блокируется.

 

# traceroute -S -p53 213.199.144.151

[вырезано]

6  sl-gw10-sto-3-0.sprintlink.net (80.77.97.125)  56.038 ms  55.907 ms  55.813 ms

(0% loss)

7  sl-bb21-sto-8-0.sprintlink.net (80.77.96.41)  56.066 ms  55.598 ms  56.348 ms

(0% loss)

8  sl-bb21-cop-12-0.sprintlink.net (213.206.129.33)  56.495 ms  56.527 ms  60.234

ms (0% loss)

9  sl-bb20-lon-14-0.sprintlink.net (213.206.129.37)  84.759 ms  73.822 ms  73.762

ms (0% loss)

10  sl-gw21-lon-1-1.sprintlink.net (213.206.128.102)  73.313 ms  87.128 ms  88.978

ms (0% loss)

11  sle-micro22-6-0.sprintlink.net (213.206.158.146)  74.170 ms  75.901 ms  74.832

ms (0% loss)

12  * * igbaihsssc7504-f1-00.msft.net (213.199.144.77)  84.178 ms (66% loss)

13  igbaihsssc7504-f1-00.msft.net (213.199.144.77)  74.668 ms !X * * (66% loss)

[вырезано]

 

Это только фрагмент маршрута, но он понятен, как понятны и возможные цели для атаки.

Таким образом, без прямого обращения к целевой сети взломщик может выделить для себя возможные трудности, а так же слабо защищённые компьютеры сети.

Далее следует непосредственное сканирование компьютера при помощи, например NMAP. Я не буду описывать процедуру сканирования, а только скажу, что в результате (если сканирование пройдёт беспрепятственно) у взломщика окажется список открытых портов, к которым можно подключиться, а так же информация об операционной системе с версиями сервисов, которые ожидают соединения извне. Если взломщик после инвентаризации сможет вычислить «доверенный хост», то он сможет просканировать систему «от его имени», что резко увеличит эффективность. Кроме этого, он может сканировать через хост «зомби» для анонимности. Более подробную информацию о возможностях NMAP можно найти на сайте разработчика http://insecure.org, а так же http://www.cherepovets-city.ru/insecure/runmap/nmap_manpage-ru.htm

            Таким образом, взломщик составит «Карту уязвимостей» и подготовит весь необходимый инструментарий для получения контроля над системой, а так же гибкий план получения контроля над сетью. В случае, если понадобятся дополнительные сведения, то, имея сведения об операционной системе, взломщик может продолжить инвентаризацию. При этом используются ресурсы системы, которые я опишу позже в отдельной статье. В том случае, если стиль, в котором написаны статьи, не сильно Вас волнует, то Вы можете прочитать оригиналы «Инвентаризация Windows» и «Инвентаризация NIX» (статья не закончена).

 

НА САЙТ | Copyright © 2006 www.SECURITYPROBE.net