Investigar NetBIOS para detectar e proteger contra as vulnerabilidades do Windows - manequins

Você pode coletar informações do Windows usando NetBIOS (Sistema básico de Entrada / Saída de rede) e programas. O NetBIOS permite que os aplicativos façam chamadas em rede e se comuniquem com outros hosts dentro de uma LAN.

Estas portas NetBIOS do Windows podem ser comprometidas se não estiverem corretamente protegidas:

• portas UDP para navegação na rede:

  • Porta 137 (serviços de nome NetBIOS)

  • Porta 138 (serviços de datagrama NetBIOS)

• Portas TCP para o bloco de mensagens do servidor (SMB):

  • Porta 139 (serviços de sessão NetBIOS)

  • Porta 445 (executa SMB sobre TCP / IP sem NetBIOS)

Enumeração não autenticada em sistemas Windows

Quando você está realizando seus testes de enumeração não autenticados, você pode reunir informações de configuração sobre os sistemas locais ou remotos de duas maneiras:

• Usando scanners tudo-em-um, como o LanGuard ou o QualysGuard

• Usando o programa nbtstat incorporado ao Windows (nbtstat significa NetBIOS sobre estatísticas TCP / IP)

  

mostra nbtstat a tabela de nomes NetBIOS da computador remota, que você coleciona usando o comando nbtstat-A. Isso exibe as seguintes informações:

• Nome do computador

• Nome de domínio

• Endereço MAC do computador

Ao executar o nbtstat contra um servidor mais antigo do Windows 2000, você pode até mesmo obter o ID do usuário que está logado no momento.

Um programa avançado, como o LanGuard, não é necessário reunir essas informações básicas a partir de um sistema Windows. No entanto, a interface gráfica oferecida por software comercial, como este, apresenta suas descobertas de uma forma mais bonita e muitas vezes é muito mais fácil de usar. Além disso, você tem o benefício de reunir as informações que você precisa com uma ferramenta.

Os compartilhamentos de rede podem conter vulnerabilidades do sistema

O Windows usa compartilhamentos de rede para compartilhar certas pastas ou unidades no sistema para que outros usuários possam acessá-los na rede. As ações são fáceis de configurar e funcionam muito bem. No entanto, muitas vezes são mal configurados, permitindo que hackers e outros usuários não autorizados acessem informações que não poderiam conseguir.

Você pode pesquisar compartilhamentos de rede do Windows usando a ferramenta Share Finder integrada no LanGuard. Esta ferramenta verifica toda uma gama de endereços IP, procurando por compartilhamentos do Windows.

As ações exibidas são exatamente o que os iniciantes mal-intencionados procuram porque os nomes compartilhados dão uma dica do tipo de arquivos que podem ser acessados ​​se eles se conectam aos compartilhamentos.Depois que os bandidos descobrem essas ações, é provável que eles cavem um pouco mais para ver se eles podem navegar nos arquivos dentro dos compartilhamentos.

Contramedidas contra ataques NetBIOS

Você pode implementar as seguintes contramedidas de segurança para minimizar NetBIOS e NetBIOS sobre ataques TCP / IP em seus sistemas Windows:

• Use um firewall de rede.

• Use o Firewall do Windows ou algum outro software de firewall pessoal em cada sistema.

• Desativar o NetBIOS - ou, pelo menos, o compartilhamento de arquivos e impressoras do Windows.

  Desativar o NetBIOS pode não ser prático em uma rede onde os usuários e aplicativos dependem do compartilhamento de arquivos ou em um ambiente misto em que sistemas Windows 2000 e NT anteriores dependem do NetBIOS para compartilhamento de arquivos e impressoras.

• Educar seus usuários sobre os perigos de permitir compartilhamento de arquivos para todos acessar.

Cotações ocultas - aquelas com um sinal de dólar ($) anexado ao final do nome do compartilhamento - realmente não ajudam a esconder o nome do compartilhamento. Qualquer uma das ferramentas pode ver diretamente através desta forma de segurança por obscuridade. Na verdade, se você encontrar essas ações, você vai querer examiná-las mais de perto, pois um usuário pode tentar esconder algo.