Локальна безпека

Відео: 1. Створення довільної групи безпеки з поширенням Локальна в доменe [WS 2016]

Отже, весь приклад будується з використанням Windows Server, сніфера Comview і програми Cain, всі вони присутні в мережі, звідки їх і можна скачати.
Нашим основним завданням буде - примусове переведення всіх запитів на себе. Для чого? Вся справа в тому, що при першому зверненні через локальну мережу (а саме по NETBIOS), комп`ютер встановлює з`єднання, передає в перших пакетах
свій логін і пароль, але тільки в хешировать вигляді, і якщо хеш присланий збігається з хешем зберігаються на робочій станції, то відкривається доступ з тими привілеями, якими наділена ця обліковий запис. І наше завдання, як-то це підлаштувати, щоб він звернувся на нашу машину по NETBIOS, для того щоб отримати цей хеш.
Що для цього нам буде потрібно:
• на сервері підняти сервіс DHCP, в якому ми повинні вказати, що ми є DNS сервером і маршрутизатором.


• У сніфера встановити фільтр на пакети, адресовані на порт 53, зібравши які ми можемо простежити, куди звертається клієнт найбільш часто, т. Е дізнатися доменні імена ресурсів, до яких він звертається.
• Далі, піднімаємо DNS сервер і з зібраної інформації створити зони, в яких вказати, що це ми є цим ресурсом.
• Підняти WEB сервер, створити на ньому індексовскую сторінку, яка буде завантажуватися за замовчуванням. Зміст якої буде: як один з варіантів, або копіюємо вихідний код сторінки, на яку звертався клієнт, вішаємо на неї який-небудь банер, при натисканні на який клієнт буде переходити, наприклад, за адресою 192.168.0.1, або ж, щоб особливо не морочитися, створимо свою HTML сторінку з усякого роду вибаченнями за збій роботи сервісу та проханням натиснути на нашу посилання (PRESS THIS), а натиснувши на банер або просто нашу посилання він і звернутися до нас через NETBIOS.
• Так само у нас повинна бути запущена програма Cain, яка стежить за зверненнями по NETBIOS, збирає хешировать паролі і потім їх зламує методом брутфорс. Звертати увагу слід тільки на перші звернення з конкретного ip адреси, т. К тільки перший пакет містить потрібну нам інформацію.

Висновки, щоб всього цього уникнути, потрібно знімати прапорець на протоколі TCP / IP у властивостях локального підключення. За замовчуванням в Windows він включений, і отримання адреси варто в автоматичному режимі. Якщо ж ви його все-таки використовуєте, то найкращий варіант, використання складного пароля для входу на локальну машину (складний - великі та маленькі літери регістрів, а так само спецсимволи довжина якого не менше 7 символів), тому що актуальність злому стає сумнівною.

PS.
Якщо кому-то стаття здасться цікавою і виникнуть якісь питання, будемо раді допомогти!
Поділися в соц мережах:
Cхоже

Увага, тільки СЬОГОДНІ!