ネットワークにおけるWindowsファイルサーバーの役割は非常に重要です。機密ファイル、データベース、パスワードなどをホストします。ファイルサーバーがダウンすると、ネットワークは戸惑う可能性がありますが、それらが破壊された場合は、Pandora's Boxを開くのと同じことになります。ここで
TechTarget社の中国は貢献ライターがファイルサーバーハッキング実際のケースに遭遇しています。何が起こったのか、そしてこれらの脆弱性がシステムを危険にさらすためにどのように悪用されたのかをハッカーの視点から見てみましょう。これは、システムの脆弱性がニュースでどのように使用されているか、およびセキュリティの問題を特定の状況と組み合わせて理解する方法についての詳細を学ぶのに役立ちます。セキュリティ問題は計り知れません。
最初のステップ:あなたは、マイクロソフトの重要なセキュリティ更新プログラムがインストールされている知って、その後、いくつかの脆弱性の私のお気に入りを使用するすべてのパッチを見つけることが
インストールされていません。プローブツールがスキャンします。攻撃される可能性のある脆弱性があるはずです。
あなたはしばしばパッチをインストールし忘れに起因するセキュリティ上の問題のほとんどのWindowsファイルサーバは、これは多くの場合、ネットワーク内の攻撃につながることがわかります。これの多くは、多くのネットワークが侵入保護システムを内部的に展開していないという事実によるものです - すべての内部接続は信頼されています。あなたの会社にあなたのWindowsサーバを制御しようとしている犯罪者がいるならば、それは面倒になるでしょう。内部攻撃者の視点から
が脆弱性にパッチを当てダースの窓を見て忘れてみましょう見つかったものです。彼が必要としているのは内部ネットワーク接続と無料でダウンロードできるいくつかのセキュリティツールだけです:NeXpose Community版とMetasploit。または、彼は知っていた重要なサーバーのシリーズ - - 脆弱性をスキャン、悪意のあるユーザーがNeXposeをインストールすることで、ネットワークをスキャンするために、購入する、価格、写真:
次は具体的な手順です。
は、それから彼は、ファイルサーバーMS08-067の脆弱性は、本当に少しばかげて見える「任意のコード「の実行を可能に見つけました。
は、その後、ユーザは、あなたが脆弱性のリストを見ることができますMetasploitのテストページに入ります。以下に示すように
それから彼は、その後、サーバーコマンドへのフルアクセスを作成し、いくつかのパラメータを追加し、Metasploitのをダウンロードしてインストール。
図1は、これはあなたがについて何も知らない場合でも、脆弱なWindowsシステムおよび関連アプリケーションの操作を繰り返すことができるMetasploitのとMS08-067の脆弱性
を確認してください。これがどれほどひどい可能性があるか考えてみてください。ファイルの削除、SAMデータベースと機密ファイルのバックアップのコピー、ユーザーの追加/削除など。パブリックアクセス用のサーバーがパブリックネットワーク上にあり、ファイアウォールで保護されていない場合、インターネットを介して同じ種類の攻撃が発生する可能性があります。
これは、前述したネットワーク接続はセキュリティで保護されていないワイヤレスネットワークを取得できることを覚えておくことも重要です。一般的な例は、もともと倉庫内のスキャンデバイスに提供されていたワイヤレスホットスポットを介してネットワークに直接接続する機能です。これらのスキャンデバイスのセキュリティを確保するためにWEP、WPA、またはその他の暗号化を使用するかどうかにかかわらず、一定の距離内(通常は駐車場内または建物の隣)にあるデバイスは簡単にアクセスできます。ネットワークはこのようにして攻撃を開始しました。
ステップ2:
有用な情報を得るために、ネットワークを盗聴、それは無担保ワイヤレスネットワークに来て、悪質な外国人の攻撃者は、機密情報の一般的なを取得するには、ネットワークに潜入しますCommView for WiFiやAirMagnet WiFi Analyzerなどのワイヤレスネットワーク解析ツールを使用します。さらに、攻撃者がネットワーク(または信頼できるユーザー)への物理的な接続を確立できる場合、ARP攻撃を実行するためのツールを使用することができます。これにより、攻撃者はイーサネットの「セキュリティ」制御に侵入してあなたから侵入できます。彼がネットワークで欲しいものは何でも手に入れましょう。なぜ
は、ファイルサーバーを攻撃するために、このことについて行われなければなりませんか?簡単に言うと、攻撃者はSMB、POP3、WEB、FTP、およびWindowsの認証ダイアログを介して簡単にパスワードを入手し、それをファイルサーバーにアクセスするための不正な直接リンクとして使用することができます。ここでは、そのような杖の%アベル簡単またはパスワード
など実際のケースのツールを使用して
図2は、TechTarget社の中国の貢献ライターがファイルサーバーがハッキングされ遭遇です。この記事の前半では、インストールされていないパッチを見つける方法と、有用な情報を入手するためにネットワークを盗聴する方法について説明しました。次のステップは?ステップ3:機密ファイルを入手する問題が悪化するように思われるので、このトピックを何度も繰り返します。問題は、保護されていない共有サーバーに保存されているこれらの機微な情報が、ネットワーク上の誰からでも自由にアクセスできることです。なんで?私の意見は、ネットワーク管理者は管理するには情報が多すぎることが多く、ユーザーは自分のファイルに対してずさんな操作をすることが多いということです。もちろん、企業経営にとって、個人を特定できる情報のセキュリティ管理が非常に重要であることは間違いありません。これが起こる可能性があるものです:標準的なドメイン許可を持つユーザー(または正当なユーザー権利を取得したハッカー)は共有ファイルを見つけるためにネットワークをスキャンします。たとえば、GFI LANguardにはこの問題があります。共有リソースを見つけるための組み込みツールがあります。彼は共有リソースを見つけて、それらを1つずつ接続しようとします。彼は、ファイルが多すぎることを発見し、それからフィルタリングするためにWindowsブラウザの検索機能、あるいは機密情報を見つけるために効果的なファイル検索(EFS)のようなより速くそしてより強力なツールを使うことに決めました。攻撃者の検索Doc、.xls、.txt、および類似のテキストファイルには、 "ssn"、 "dob"、 "confidential"などのキーワードが含まれています。間違いなく、彼が何百もの文書を検索しない限り、彼は何か役に立つものを見つけるでしょう。彼は情報をコピーし、盗まれた許可を使って競合他社に売却されたなどのさらなる損害を与えました。もう一度繰り返して、自分自身でこの問題をテストしてください、あなたは私が言ったことが偽ではないことに気付くでしょう。必要な文書の種類とキーワードを見つけるために使用できるツールは何ですか。ファイルサーバーがパブリックアクセス用である場合(一般に禁止されていますが、多くのことがわかります)、ハッカーはGoogleのクエリを使用して重要なサーバー情報を得ることができます。これをテストするには、グーグルアタックデータベース(GHDB)スキャニング機能を内蔵したAcunetixのWeb Vulnerability Scannerを使用することをお勧めします。ステップ4:ファイルサーバーのセキュリティに間接的に影響する攻撃を調査する最後に、ネットワーク内の他の脆弱性を見つけるのは簡単で、ファイルサーバーを操作して攻撃するのは簡単です。これらのほとんどは、物理的なデバイスセキュリティの問題によるものです。私が対処したいと思う深刻な問題の1つは、他の建物の他の安全でない無線ネットワークを介して入ってくるユーザーを含むすべてのユーザーが一部のデータセンターのデバイスのWeb管理インターフェースにアクセスできることです。さらに悪いことに、このデータセンター管理アプリケーションはデフォルトのユーザーとパスワードで動作します。つまり、一度ログインすると、アクセス制御を無効にしたり、セキュリティ警告を変更したり、ログファイルを変更したりできます。これは、ハッカーが攻撃の痕跡を隠すための良い方法です。私はまた、ファイルサーバーが完全に一般公開されていることを何度も見てきました(通常、忙しい金融会社、医療機関では、ネットワークは完全にローカルビジネスシステムに対して完全にオープンです)。私はまったくセキュリティ管理のないネットワーク環境について話しています - 最も基本的な物理デバイスのセキュリティ管理でさえそうではありません。これらのサーバーは、画面にロックされていないことが多く、管理者のバックドアにつながることがあります。ハッカーはシステムの内部接続についても学ぶことができるので、誰もいないときに必要な情報を盗むためにシステムに侵入することができます。 Windowsファイルサーバをクラックするのは難しいですか?ハードドライブは暗号化されていないため、ハッカーがしなければならないのは、Ophcrack Live CDやElcomSoft System Recoveryなどのツールを使用して、管理者パスワードを含むシステムパスワードをクラックまたはリセットすることだけです。だからこそ、私はサーバーのハードドライブの暗号化をお勧めしています。これはほとんど最後の防衛線です。ハッカーがこれを実行できる場合は、もう一度自分でテストする必要があります。あなたは自分のwindowsファイルサーバを自分自身で(悪意のある方法で)攻撃しようと試みることでネットワークの内外で何が制限なしに何ができるかを見ることができます。適切なツールを適切なタイミングで、適切なツールを使用して使用できるように、これらのテストの実行方法に注意を払う必要があります。