Trong chủ đề này, bạn sẽ xem xét các tác động của biến bật / tắt các giao thức NetBIOS trên một máy Windown 2003.NetBIOS là viết tắt của Network Basic Input Output System, và là một API cho phép để giải quyết các thiết bị trên mạng, bất kể giao thức tiềm ẩn như IP hoặc IPX.NetBIOS dựa vào SMB
SMB, đó là viết tắt của Server Message Block, là một giao thức chia sẻ tập tin, máy in, cổng nối tiếp, và truyền thông trừu tượng ...
TASK 3G-1
Investigating Printer Spooler Security
1. Trong phân vùng khởi động, tạo folder có tên là Share.
2. Nhấp chuột phải vào folder đó, và chọn Sharing And Security.
3. Click Share This Folder, để lại tên chia sẽ mặc định là Share, và click OK.
4. Từ Start Menu, chọn Printers And Faxes.
5. Nhấp đôi chuột vào Add Printer, click Next.
6. Xác định chọn Local Printer. Bỏ chọn Automatically Detect And Install My Plug And Play Printer. Click Next.
7. Xác định chọn Use The Following Port, để cổng mặc định là LPT1, và click Next.
8. Chọn any printer từ danh sách, và click Next.
9. Rút ngắn tên printer với 4 kí tự đầu tên, và click Next.
10. Cho phép printer được phép chia sẽ, click Next twice.
11. Khi bạn được nhắc nhở để in một trang kiểm tra, click No, và click Next và click Finish.
12. Chọn printer, và chọn FileServer Properties.
13. Chọn Advanced tab, lưu ý vị trí mặc định của thư mục spool. Nó là
\WINDOWS\System32\Spool\PRINTERS.
14. Click OK.
15. Nhấp chuột phải vào printer và chọn Properties.
16. Chọn Advanced tab, và xác minh rằng máy in luôn luôn có sẵn và các tài liệu sẽ được spooled để tăng tốc độ in ấn.
17. Chọn Keep Printed Documents, và click OK.
18. Nhấp đôi chuột vào My Network Places.
19. Nhấp đôi chuột vào Computers Near Me.
20. Nhấp đôi chuột vào printer server of yout partner’s computer.
21. Nhấp đối chuột vào tên printer, và chọn Connect.
22. Khởi động Notepad.
23. Nhập vào dòng text this is a classified document.
24. Lưu tập tin ngoài màn hình desktop với tên TOP_SECRET.txt.
25. Chọn FilePrint, chọn printer để bạn kết nối, và click Print. Tập tin của bạn sẽ được gởi đến máy chủ print.
26. Thực hiện trên màn hình. (adsbygoogle = window.adsbygoogle || []).push({});
27. Khi thông báo lỗi hiển thị, click Cancel.
28. Đường dẫn đến \WINNT\System32\Spool\PRINTERS folder.
30. Nhấp đôi chuột vào tập tin SPL.
31. Khi mở với hộp thoại hiển thị, bỏ chọn Always Use This Program To Open These Files, và chọn Notepad từ bảng danh sách.
32. Cuộc xuống dưới vùng của tập tin. Vào cuối tập tin, sau khi tất cả các ngôn ngữ máy in được đưa về chăm sóc bạn sẽ thấy tên của tập tin và nội dung.
33. Nhấp đôi chuột vào tập tin SHD.
34. Bỏ chọn Always Use This Program To Open These Files, và chọn Notepad từ danh sách. Bạn sẽ thấy người gởi tập tin này từ máy tính.
35. Đóng cả 2 trường hợp của Notepad.
NAT and ICS
Tính đến thời điểm này, tất cả các hệ thống an ninh và các phương pháp bạn đã được sử dụng là hướng tới bảo mật hệ điều hành và dữ liệu trên ổ cứng vật lý. Tất cả các hệ thống bảo mật mà bạn tạo ra ít được sử dụng nếu kẻ tấn công có thể chỉ cần ngửi tất cả các gói tin ra mạng và biên dịch lại cho họ tại giải trí của mình.
Network Address Translation (NAT) là một tiêu chuẩn Internet được xác định trong RFC 1631.NAT được sử dụng mặt nạ là IP riêng với địa chỉ IP của kết nối Internet bên ngoài.Mặc dù NAT không được thiết kế như một cơ chế an ninh, nhiều mạng cần NAT trong các chính sách an ninh của họ để thêm một lớp bổ sung giữa các Internet và mạng nội bộ..
Khách hàng trên mạng nội bộ không bắt buộc phải có một địa chỉ IP công cộng, do đó sẽ bảo tồn các công địa chỉ IP. Các khách hàng nội bộ có thể được cấu hình với một địa chỉ IP từ các khối mạng riêng. Hãy nhớ rằng, địa chỉ IP riêng là những người mà không được định tuyến trên Internet Chúng được định nghĩa bởi RFC 1918, và các dãy địa chỉ được:
Nó được định nghĩa bởi RFC 1918, và các dãy địa chỉ là:
• 10.0.0.0 - 10.255.255.255
• 172.16.0.0 - 172.31.255.255
• 192.168.0.0 -192.168.255.255
Nó cũng đáng chú ý là Microsoft đã sử dụng khoảng khác cho các phạm vi riêng tư 169.254.0.0- 169.254.255.255. Cái này giải quyết không được định nghĩa trong RFC nhưng nó cho phép các địa chỉ tư nhân khác được sử dụng trên mạng.
NAT là một phần tích hợp của một định tuyến Dịch vụ truy cập từ xa(RRAS), mà sẽ được giải quyết ngay, cũng như một phần của việc chia sẻ kết nối Internet (ICS). Các phiên bản của NAT được sử dụng bởi ICS được thu nhỏ lại so với phiên bản đầy đủ không cho phép mức độ cấu hình RRAS NAT cho phép ICS được thiết kế cho một văn phòng nhỏ hoặc cho một mạng gia đình, nơi có một kết nối internet mà là để được chia sẻ toàn bộ mạng. Tất cả người dùng kết nối thông qua một giao diện duy nhất, thường kết nối qua một modem, DSL, hoặc điểm truy cập cáp.
Các Windown 2003 Routing và Remote Access Serveci (RRAS) bao gồm:
• Network Address Translation (NAT)
• Giao thức định tuyến (RIP và OSPF)
• Remote Authentication Dial-In Service (RADIUS)
Remote Access Server của RRAS sẽ cho phép cho các kết nốiPPP và có thể được thiết lập để yêu cầu chứng nhận authentication.RRAS có thể được thiết lập để sử dụng Remote Authentication Dial-In Service (RADIUS) hoặc WindowsAuthentication.If RRAS đang sử dụng RADIUS, khi yêu cầu người dùng cho việc chứng thực được thực hiện cho các máy chủRRAS, các dial-in các thông tin được truyền tới máy chủ RADIUS.Các máy chủ RADIUS sau đó thực hiện việc chứng thực và ủy quyền để truy cập cho khách hàng để truy cập vào mạng
Internet Explorer Enhanced Security Configuration
Một điều bạn sẽ nhận thấy ngay lập tức khi sử dụng WindowsServer 2003 là các chức năng của Internet Explorer (IE) khác với phiên bản trước của Windows.IE được cấu hình trong một vùng theo mặc định, và để bạn sử dụng trình duyệt, bạn có thể thấy rằng bạn cần phải thay đổi cấu hình mặc định
Hardening TCP/IP
Các giao thức TCP / IP trong Windows là một trong những thành phần tấn công hầu hết các máy tính cá nhân. Các cuộc tấn công thông thường bao gồm acttacks Demial dịch vụ (DoS) tấn công từ chối dịch vụ phân tán (DDos) tấn công, giả mạo, smurf, và Land attacks... Có một số cấu hình có thể được thực hiện cho các Registry để đảm bảo vững chắc choTCP / IP trong Windows2003. Cấu hình Đây là khuyến cáo của Microsoft, được thiết kế đặc biệt giúp bảo vệ chống lại các cuộc tấn công từ chối dịch.Các thiết lập sau đây có thể được cấu hình trong Registry. Hãy nhớ phải cẩn thận trong Registry, là lỗi trong cấu hình có thể là nguyên nhân.Windows để không có chức năng còn đúng và có thể yêu cầu phải cài đặt lại.Tấ cả cấu hình sau đây, đó là tất cả các giá, được tìm thấy ở Registry:_MACHINE HKEY_LOCAL \ SYSTEM \ CurrentControlSet \Services.
Syn Attack Defense
Nếu ai hiểu về sự nguy hiểm cũng như nguy cơ tiềm ẩn của hệ thống có thể bị tấn công DoS (Denial of service) sẽ có sự chuẩn bị tốt nhất cho hệ thống, giảm tối thiểu các ảnh hưởng của các cuộc tấn công đó là yêu cầu luôn được các nhà quản trị mạng đặt ra. Trong bài viết này tôi giới
thiệu cách hạn chế các tấn công DoS trong hệ thống Windows Server 2003. (adsbygoogle = window.adsbygoogle || []).push({});
Trước tiên bạn phải cập nhật bản vá lỗi mới nhất từ Microsoft và chắc chắn không còn bản vá lỗi nào chưa được cài đặt. Các thông tin về các bản update có trên website Và việc harden (làm rắn
– đảm bảo vững chắc) cho giao thức TCP/IP trên máy chủ Windows Server 2003 là việc cần làm với nhà quản trị mạng. Với mặc định các cấu hình trong TCP/IP được thiết lập chuẩn cho việc trao đổi thông tin một cách thuận tiện. Nếu máy tính của bạn kết nối chực tiếp với Internet thì theo khuyến cáo của Microsoft bạn nên đảm bảo giao thức TCP/IP được cấu hình để hạn chế các cuộc tấn công DoS.
Cấu hình các tham số TCP/IP trong Registry nhằm đảm bảo Harden cho TCP/IP
Một số lỗi có thể sẽ sảy ra khi bạn chỉnh sửa các thông số trong registry bằng việc sử dụng Registry Editor hoặc bằng một phương pháp nào khác. Một số lỗi xảy ra có thể buộc bạn phải cài lại hệ điều hành. Microsoft không thể cam đoan là tất cả các lỗi đều có thể khắc phục được. Việc chỉnh sửa registry là một nguy cơ rất lớn.
Dưới đây là các thông số của TCP/IP trong registry và bạn có thể cấu hình để nâng cao tính vững chắc cho giao thức TCP/IP khi máy tính của bạn kết nối trực tiếp tới Internet. Tất cả các thông số của nó trong registry được lưu tại.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
• Value name: SynAttackProtect
• Key: Tcpip\Parameters
• Value Type: REG_DWORD
• Valid Range: 0,1
• Default: 0
Các thông số trong TCP có thể là truyền lại các gói tin trong dạng SYN-ACKS. Khi bạn cấu hình thông số này, các kết nối sẽ nhanh trong bị time out hơn trong các vụ tấn công SYN (là một dạng tấn công DoS).
Dưới đây là vài thông số bạn có thể sử dụng để thiết lập trong Registry 0 (tham số mặc định): Không bảo vệ trước các cuộc tấn công SYN
1: Thiết lập SynAttackProtect là 1 sẽ tốt hơn và nó sẽ bảo vệ hệ thống trước các cuộc tấn công SYN. Tham số này có nghĩa, nếu là 0 thì hệ thống sẽ truyền lại thông tin SYN-ACKS. Nếu bạn thiết lập tham số là 1, khi một kết nối sẽ có kết quả time out nhanh hơn nếu như hệ thống phát hiện thấy tấn công SYN. Windows sử dụng các tham số sau để hạn chế các vụ tấn công.
• TcpMaxPortsExhausted
• TCPMaxHalfOpen
• TCPMaxHalfOpenRetried
Lưu ý là trong phiên bản Windows Server 2003 Service Pack 1 tham số trong SynAttackProtect với mặc định là 1
Nhiều cổng có thể được cấu hình trong các thiết lập TCP / IP.Youcó thể, tuy nhiên vô hiệu hóa chức năng này, vì một từ chối dịch vụ(hoặc khác) tấn công có thể gây ra máy tính của bạn để chuyển đổi cổng.Các chi tiết cụ thể cho việc này được định nghĩa như sau:
• Value Name:DeadGWDetectDefault
• Key:Tcpip\Parameters
• Value Range:REG_DWORD
• Valid Range:0(False),1 (True)
• Default Value:1 (True)
Khi bạn thiết lập EnableDeadGWDetect là 1, TCP sẽ cho phép thực hiện việc phát hiện ra dead- gateway. Khi dead-gateway được phát hiện là enable, TCP có thể sẽ truy vấn đến giao thức IP để thay đổi gateway. Việc sử dụng backup gateway được định nghĩa trong tab Advanced tại TCP/IP configuration.
Microsoft khuyến cáo bạn thiết lập tham số trong EnableDeadGWDetect là 0. Nếu bạn không thiết lập là 0, một tấn công có thể sảy ra và hướng máy chủ qua một gatewary khác, và có thể các gói tin từ đó sẽ bị tóm hay làm gì đó khi các dữ liệu chạy qua gateway của kẻ tấn công.
MTU Restrictions
Những kẻ tấn công có thể sử dụng tối đa để truyền đơn vị lực lượng mạng lưới để sử dụng các phân đoạn rất nhỏ. Bằng cách sử dụng Path MTU Discovery, TCP sẽ cố gắng để xác định kích thước gói lớn nhất mà một con đường dẫn tới một máy chủ từ xa sẽ đáp ứng. Ngược lại, khi được sử dụng không đúng cách, mạngcó thể bị ngập với các phân đoạn nhỏ.Các chi tiết cụ thể để điều chỉnh giá trị này được xác định như sau:
• Value Name:EnablePMTUDiscovery
• Key:Tcpip\Parameters (adsbygoogle = window.adsbygoogle || []).push({});
• Valid Range:0(False),1 (True)
• Default Value:1 (True)
Khi bạn thiết lập EnablePMTUDiscovery là 1, TCP sẽ cố gắng khám phá Maximum
Transmission Unit (MTU) hay một gói tin lớn từ những người dùng từ xa. Gói tin TCP có thể bị vỡ khi chúng đi qua cac Routers để kết nối vào hệ thống mạng với MTUs khác bằng việc khám phá ra đường của MTU và giới hạn kích cỡ các gói TCP.
Microsoft khuyến cáo bạn thiết lập EnablePMTUDiscovery là 0. Khi bạn thực hiện việc này, một MTU với kích thước là 576 sẽ được sử dụng trong tất cả các kết nối. Nếu bạn không thiết lập thông số này là 0 một tấn công dựa trên các thông số MTU từ các kết nối có thể sẽ ảnh hưởng đến hệ thống của bạn.
TCP mặc định hành vi trong Windows không xác minh các kết nốinhàn rỗi. Đó là khuyến cáo rằng những kết nối này được xác nhận(bằng cách sử dụng phần mềm của bên thứ ba, nếu cần thiết) chosẵn có bằng cách gửi một gói tin giữ-sống và chờ đợi phản hồi.Nếu không có phản ứng, sau đó kết nối nhàn rỗi có thể bị đóng cửa Các chi tiết cụ thể để điều chỉnh giá trị này được xác định như sau:
• Value Name:KeepAliveTime
• Key:Tcpip\Parameters
• Value Range:REG_DWORD (Giá trị này được tính bằng mili giây)
• Valid Range:1-0xFFFFFFFF
• Default Value:7,200,000 (2 giờ)
Tham số này điều khiển: việc TCP cố gắng kiểm tra một kết nối, và dữ gói tin chưa bị chết. Nếu máy tính từ xa được kết nối, nó sẽ được lưu lại các gói tin đã bị thất lạc. Keep-alive sẽ không gửi (với thiết lập mặc định). Bạn có thể sử dụng một chương trình để cấu hình các thông số cho một kết nối. Khuyên cáo từ nhà sản xuất thiết lập là 300,000 (5 phút).
TASK 3G-2
Configuring TCP/IP in the Registry
1. Mở Registry Editor.
2. Vào HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
3. Mở key Tcpip\Parameters.
4. Ở bảng bên phải, nhấp chuột phải và thêm giá trị REG_DWORD sau đây:
a. SynAttackProtect
b. EnablePMTUDiscovery
c. KeepAliveTime
5. Nhấp đôi chuột vào SynAttackProtect, và nhập giá trị 2.
6. Nhấp đôi chuột vào EnablePMTUDiscovery, và nhập giá trị 0.
7. Nhấp đôi chuột vào KeepAliveTime, và nhập giá trị thập phân 300,000. Trong kí hiệu thập phân nó là 493E0.
8. Đóng Registry Editor.
TCP/IP Filtering
Một tính năng được xây dựng trong Windows 2003 bạn có thể thêm vào phương pháp của bạn một lớp bảo vệ là TCP / IP lọc được kiểm soát truy cập mạng trong nước cho một host. Lọc TCP / IP độc lập của các quá trình khác, chẳng hạn như IPSec, và các dịch vụ khác, chẳng hạn như máy chủ và máy trạm dịch vụ. Để đi truy cập, bạn cần phải thực hiện định tuyến và truy cập từ xa các bộ lọc
Khi bạn cấu hình lọc, bạn có tùy chọn để kiểm soát truy cập vào cổng TCP, đến cổng UDP, và giao thức IP cụ thể. Mỗi điểm truy cập được điều khiển bởi các giá trị số. Nói cách khác, bạn kiểm soát truy cập cảng bởi số cổng, chẳng hạn như 80 cho cá nhân truy cập Để kiểm soát toàn
bộ một giao thức,. sử dụng số giao thức IP. Các bảng danh sách sau đây, để tham khảo nhanh chóng, một số thông số giao thức IP để sử dụng trong bộ lọc .
Protocol Number Protocol Acronym Full Name of Protocol 1 IP Internet Protocol (adsbygoogle = window.adsbygoogle || []).push({});
6 TCP Transmission Control Protocol 17
UDP User Datagram Protocol
Khi bạn kích hoạt giao thức TCP / IP lọc trên một giao diện, nó được kích hoạt trên giao diện tất cả Tuy nhiên, bạn phải cấu hình các bộ lọc cụ thể trên cơ sở mỗi giao diện. Khi bạn cấu hình các bộ lọc, tùy chọn là để cho phép tất cả các cổng ,các cổng đó sẽ được cho phép. Hãy nhớ rằng đây là cấu hình các cảng trong nước-không gửi đi. Hệ thống không sẽ lọc các yêu cầu bắt đầu để lưu trữ, vì vậy bạn sẽ không cần phải mở cổng cao đối với phản hồi của mạng.
Cuối cùng, nếu bạn muốn lọc các giao thức, ý thức được rằng bạn không thể chặn ICMP tin nhắn này là trường hợp,. ngay cả khi bạn loại trừ giao thức IP 1 từ danh sách các giao thức được cho phép. Một cách đơn giản để ngăn chặn lưu thông TCP, ví dụ, là việc chọn những tùy chọn để lọc các cổng TCP, nhưng không thêmbất kỳ cổng vào danh sách được cho phép.
TASK 3G-3
Configuring Port and Protocol Filtering
1. Điều hướng đến các thuộc tính giao diện mạng của bạn.
2. Di chuyển và chọn Internet Protocol (TCP/IP), và click Properties.
3. Click nút Advanced.
4. Hiển thị Options tab.
5. Chọn TCP/IP Filtering và click Properties.
6. Check Enable TCP/IP Filtering.
7. Chỉ cho phép các cổng TCP sau: 20,21,23,25,80,110 và 443.
8. Chỉ cho phép các giao thức sau: 6 và 17.
9. Click OK để thực hiện sàng lọc của bạn.