今日は、NetBIOSから
- DOSコマンド:nbtstat
を用いてNetBIOSのサービス名、サービスタイプ、MACアドレスの情報の取得方法
INet~ServicesがあるとIISが動いている。
- NULL接続
- ユーザ名、パスワードがNULLで接続できる時の危険性
- 不正進入については、
- Administrator権限を取得してからの
- パスワードクラック方法
- ユーザ名とパスワードが同じ人での進入
- 辞書ファイルによる攻撃をツールを利用して体験
- バッファーオーバーフローの体験
- バッファーオーバーフローでは、入られているというのは検証しにくい。たとえ監査を行っていても、管理者権限が利用されているというもののみ。
- パスワードクラック方法
- Administrator権限を取得してからの
NetBUSというツールを用いて、キーロガー、リモート操作を体験する。
-
- リモートシェルのインストール
TELNETを利用した進入の確認
- 進入の痕跡の消去方法
- 監査の無効化
- 監査を無効化するツールがある。
- イベントビューアのログの削除
- 管理者権限がないと消去できない。そのため、ログの管理者権限が奪われていないものでないと意味が無い。
- ファイルの隠蔽
- ファイルに隠し属性をつける
- NTFSストリームを利用する。
- マッキントッシュ用の領域があり、そこに隠蔽することができる。
- 監査の無効化
※管理者権限を取得するツールを総称して、rootkit(ルートキット)と言う。
■インターネットサーバの要塞化について
後日書きます。
■実習
- 「Internet Scanner」ツールを利用する。有償
- Windows2000SP4のパッチ、それ以降のパッチを当てる
- その後、Microsoft無償のMBSAをインストールして、サーバの脆弱性を確認する。
- パスワード、アカウントロックアウト、ビルトインアカウントポリシーの設定
- 不要サービスを止めて、ポートが閉じるのを確認
※マニュアルにポリシー設定で、
「Administratorアカウント名の変更」 変更しません
となっていたのですが、そのまま「変更しません」という名前のAdministratorアカウントを作成した人が結構いて、マニュアルを作成するのは難しいとつくづく感じました。