Tài liệu Bảo mật mạng: Chương 6 - Võ Thanh Văn

Chương 6 - Enumeration. Enumeration (Liệt kê) là bước tiếp theo trong quá trình tìm kiếm thông tin của tổ chức, xảy ra sau khi đã scanning và là quá trình tập hợp và phân tích tên người dùng, tên máy,tài nguyên chia sẽ và các dịch vụ. Nó cũng chủ động truy vấn hoặc kết nối tới mục tiêu để có được những thông tin hợp lý hơn. Mời bạn đọc tham khảo tài liệu để biết thêm nội dung chi tiết.
Nội dung trích xuất từ tài liệu:
Tài liệu Bảo mật mạng: Chương 6 - Võ Thanh VănCHƯƠNG 6: EnumerationVõ Thanh VănEnumeration (Liệt kê) là bước tiếp theo trong quá trình tìm kiếm thông tin của tổ chức, xảy ra saukhi đã scanning và là quá trình tập hợp và phân tích tên người dùng, tên máy,tài nguyên chia sẽ vàcác dịch vụ. Nó cũng chủ động truy vấn hoặc kết nối tới mục tiêu để có được những thông tin hợplý hơn.1. Enumeration Là Gì?Enumeration (liệt kê) có thể được định nghĩa là quá trinh trích xuất những thông tin có được trongphần scan ra thành một hệ thống có trật tự. Những thông tin được trích xuất bao gồm những thứ cóliên quan đến mục tiêu cần tấn công, như tên người dùng (user name), tên máy tính (host name),dịch vụ (service), tài nguyên chia sẽ (share).Những kỹ thuật liệt kê được điều khiển từ môi trường bên trong.Enumeration bao gồm cả công đoạn kết nối đến hệ thống và trực tiếp rút trích ra các thông tin.Mục đích của kĩ thuật liệt kê là xác định tài khoản người dùng và tài khoản hệ thống có khả năngsử dụng vào việc hack một mục tiêu. Không cần thiết phải tìm một tài khoản quản trị vì chúng tacó thể tăng tài khoản này lên đến mức có đặc quyền nhất để cho phép truy cập vào nhiều tài khoảnhơn đã cấp trước đây.Các kỹ thuật được sử dụng trong liệt kê có thể kể ra như: Kỹ thuật Win2k Enumeration : dùng để trích xuất thông tin tài khoản người dùng (username). Kỹ thuật SNMP (Simple Network Management Protocol) để liệt kê thông tin người dùng. Kỹ thuật Active Directory Enumeration dùng trong liệt kê hệ thống Active Directory. Sử dụng Email IDs để tìm kiếm thông tin.Tất cả những kỹ thuật này chúng ta sẽ lần lượt đi vào thảo luận trong những phần sau.2. Null SessionNull Session là gì?Khi đăng nhập vào hệ điều hành, quá trình chứng thực xẩy ra, nó yêu cầu người dung cung cấpusername và password để tiến hành chứng thực. Sau quá trình chứng thực, một danh sách truy cập– ACL – được tải về để xác định quyền hạn của user đăng nhập. Nó một cách khác, quá trình đótạo cho user một phiên làm việc rõ ràng. Tuy nhiên, có những dịch trong hệ điều hành được kíchhoạt tự chạy, với một user ẩn danh nào đó, chẳng hạn như SYSTEM USER. Loại user này khôngcần có password, và nó được dùng để khởi chạy các dịch vụ. Nó không được dùng để đăng nhập,nhưng được dùng để sử dụng một số dịch vụ. Khi bạn dùng loại user này để đăng nhập, bạn bị rơivào trạng thái Null Session.Null Session, hay được gọi là IPC$ trên máy chủ nền tảng Windows, là một dạng kết nối nặc danhtới một mạng chia sẻ cho phép người dùng trong mạng truy cập tự do.Tấn công Null Session đã xuất hiện kể từ khi Windows 2000 được sử dụng rộng rãi. Tuy nhiên,hình thức tấn công này không được các quản trị viên hệ thống chú ý khi áp dụng các biện pháp bảomật mạng. Điều này có thể dẫn đến kết cục khôn lường vì tin tặc có thể sử dụng hình thức tấn côngnày để lấy mọi thông tin hữu dụng cần thiết để giành quyền truy cập từ xa vào hệ thống. Mặc dùkhông còn mới mẻ, nhưng tấn công Null Session vẫn phổ biến và nguy hiểm như những năm trướcđây. Xét về một khía cạnh nào đó, mặc dù khả năng bảo mật của các hệ thống hiện đại không phảiquá yếu nhưng khi thực hiện các cuộc thử nghiệm xâm nhập trên máy tính Windows thì kết quảcho thấy Null Session vẫn là một trong những hình thức cần lưu ý.Phương thức hoạt động của Null SessionMột phiên truy cập từ xa được tạo lập khi người dùng đăng nhập từ xa vào một máy tính sử dụngmột tên người dùng và mật khẩu có quyền truy cập vào tài nguyên hệ thống. Tiến trình đăng nhậpnày được thực hiện qua giao thức SMB (Server Message Block) và dịch vụ Windows Server.Những kết nối này hoàn toàn hợp pháp khi những thông tin đăng nhập chính xác được sử dụng.Một Null Session xảy ra khi người dùng thực hiện kết nối tới một hệ thống Windows mà không sửdụng tên người dùng hay mật khẩu. Hình thức kết nối này không thể thực hiện trên bất kỳ hình thứcchia sẻ Windows thông thường nào, tuy nhiên lại có thể thực hiện trên chia sẻ quản trị IPC(Interprocess Communication). Chia sẻ IPC được các tiến trình của Windows sử dụng (với tênngười dùng là SYSTEM) để giao tiếp với các tiến trình khác qua mạng này. Chia sẻ IPC chỉ đượcgiao thức SMB sử dụng.Chia sẻ không yêu cầu thông tin đăng nhập IPC thường được sử dụng cho những chương trình giaotiếp với một chương trình khác, tuy nhiên không có gì đảm bảo rằng người dùng không thể kết nốitới một máy tính bằng kết nối IPC này. Kết nối IPC không chỉ cho phép truy cập không giới hạnvào máy tính, mà còn trao quyền truy cập vào tất cả các máy tính trên mạng, và đây là những gì màtin tặc cần để xâm nhập hệ thống.Phương thức tấn công sử dụng Null SessionGiờ đây chúng ta đã ...