خوش آموز درخت تو گر بار دانش بگیرد، به زیر آوری چرخ نیلوفری را
مشکلات امنیتی NetBIOS و نحوه غیرفعال کردن آن در ویندوز
NetBIOS یا Network Basic Input/Output System در اوایل دهه 1980 ایجاد شد، ولی هنوز هم در بسیاری در شبکه ها کامپیوتری از آن استفاده می شود. ویندوز هنوز از آن(در صورتی که DNS در دسترس نباشد یا کلا DNS Server ای وجود نداشته باشد) برای فرآیند name resolution استفاده می کند. انعطاف پذیری شبکه و دسترسی به منابع واقعا چیز خوبی است اما به همین دلیل، فعال نگه داشتن Netbios کار خوبی نیست. نگرانی های امنیتی زیادی در رابطه با NetBIOS وجود دارد؛ و غیر فعال کردن پشتیبانی آن، در شبکه و در سیستم ها به شدت توصیه می شود. غیرفعال کردن Netbios توانایی حمله کننده ها را در زمینه های جعل در پاسخ، کسب credentials کاربر، بررسی ترافیک وب و بسیاری موارد دیگر ... را کاهش می دهد.
لازم به ذکر است که Netbios بیشتر یک API است تا یک پروتکلی که در شبکه فعالیت می کند. با این حال، در شبکه های مدرن، NetBIOS در بستر TCP/IP و از طریق پروتکل NBT اجرا می شود. بنابراین عملکردهای legacy و قدیمی هنوز هم در شبکه ساپورت می شوند. پیشتر هم گفتیم که NetBIOS برای تحلیل نام یا name resolution و ارتباطات در شبکه local مورد استفاده قرار میگیرد.
NetBIOS سه سرویس کاملا ازهم متمایز را فراهم می کند که با هم آنها می بینیم:
بررسی ارتباطات Connection Oriented و Connectionless
رایج ترین استفاده از NetBIOS over TCP/IP یا NBT، در صورتی که DNS وجود نداشته باشد و یا کلا در دسترس نباشد، به منظور تحلیل نام است. بسیار کم هستند برنامه ها یا کلا دیوایس هایی که از DNS پشتیبانی نکنند. برای غیرفعال کردن NBT در شبکه راه های مختلفی وجود دارد که به انها در ادامه خواهیم پرداخت.
از آنجا که NBT، یک پروتکل unauthenticated است پس در برابر حملات poisoning attacks ها آسیب پذیر و حساس است. به این معنی که مهاجم در شبکه ای، هویت یا شناسه یک Resource را جعل(جعل هویت) کند و ترافیک قربانی را اشتباه هدایت می کند. در همین لحظه جعل انجام شده، مهاجم می تواند NTLM hash اعتبار کاربر را به دست بیاورد. این hash را می توان از طریق مکانیزمhash cracking به دست آورد و به عینه پسورد کاربر را مشاهده نمود. این نوع حمله در یک شبکه Local می تواند خطرناک باشد و در یک شبکه بی سیم عمومی یا access point برای جا زدن یا تقلید یک شبکه دیگر می تواند بکار گرفته شود.
حمله مشابه دیگر برای آسیب پذیر NBT، جعل Web Proxy Auto-Discovery Protocol یا WPAD است. WPAD توسط مرورگرهای وب برای تنظیم proxy است که از طریق آن به منابع وب دسترسی پیدا کنند. مهاجم می تواند آدرس آی پی WPAD را جعل کند، فایل wpad.dat را تغییر داده و سپس تمام ترافیک مرورگر را از کامپیوتر قربانی مشاهده کند.
یک استراتژی دفاعی خوب برای محافظت از شبکه در برابر مهاجم که بدانید که مهاجم چه چیزی میداند و از چه چیزی استفاده می کند. بسیاری از ابزارها مانند Wireshark و همچنین ماژول های مختلف Metasploit در دسترس هستند که اجازه می دهد که مهاجم را کشف و استفاده از NBT چه منابعی را در شبکه شما به مخاطره خواهد انداخت. حتما برای ادمین ها توصیه می شود که کار با این نرم افزار یا این تیپ نرم افزارها را فرا بگیرند. شما با شنود ترافیک ها با پورت 137 که مربوط به Name service است از فعال یا غیرفعال بودن ترافیک Netbios می توانید اطمینان خاطر کسب کنید.
غیرفعال کردن Netbios هم باید روی سرور و هم روی کلاینت باید انجام شود. شما باید از طریق تنظیمات DHCP server و هم از طریق registry آن را غیرفعال کنید. غیرفعال کردن از روی DHCP server باعث خواهد شد تا اطمینان حاصل شود که که دستگاه های جدید تنظیمات مناسب را از ان دریافت می کنند.
غیرفعال کردن پشتیبانی از NetBIOS از طریق DHCP server ویندوز، توسط مراحل زیر انجام می شود:
در ویندوز سروری که DHCP روی آن فعال است، لاگین کنید و Run را باز کرده و دستور dhcpmgmt.msc را وارد و Enter کنید تا کنسول DHCP Server ویندوز باز شود.
Scope مورد نظرتان را باز کرده و روی Scope options کلیک راست کرده و گزینه Configure Options را کلیک کنید.
سپس به تب advanced رفته و از کامبوباکس Vendor Class، گزینه Microsoft Windows 2000 Options را انتخاب کنید. از لیست پایین آن گزینه 001 Microsoft Disable NetBIOS Option را انتخاب نمایید.
در بخش long و در قسمت Data Entry، عبارت 0x2 را وارد و ok کنید.
غیرفعال کردن پشتیبانی از NetBIOS در کلاینت هم به طریق زیر می تواند انجام شود:
Run را باز کنید و دستور ncpa.cpl را وارد و Enter کنید.
سپس از لیست Ipv4 را انتخاب کرده و دکمه propertis را کلیک کنید.
حال در فرم باز شده دکمه proties را کلیک کنید.
در فرم جدید باز شده، به تب Wins بروید و گزینه Disable NetBIOS over TCP/IP را فعال و ok کنید و سپس سیستم را ریستارت کنید.
شایان ذکر است که این تنظیمات فوق برای هر کارت شبکه است و چناچه سیستم بیش از یک کارت شبکه دارد باید برای تک تک کارت شبکه ها همین تنظیم را انجام دهید.
توسط رجیستری ویندوز هم قادر به انجام اینکار خواهید بود:
سپس مسیر زیر را در رجیستری دنبال کنید:
TCPIP_GUID مقدار Unique ای بر اساس آداپتورهای سیستم شما است.
تنظیمات فوق نشان دهنده آن است که 2 کارت شبکه فعال در این سیستم وجود دارد.
روی NetbiosOptions دابل کلیک کنید و مقدار Value data را عدد 2 تنظیم کرده و ok کنید.
همینکار را برای سایر آداپتورها باید انجام دهید.
حال سیستم را ریستارت کنید تا تغییرات رجیستری اعمال شود.
لازم به ذکر است که Netbios بیشتر یک API است تا یک پروتکلی که در شبکه فعالیت می کند. با این حال، در شبکه های مدرن، NetBIOS در بستر TCP/IP و از طریق پروتکل NBT اجرا می شود. بنابراین عملکردهای legacy و قدیمی هنوز هم در شبکه ساپورت می شوند. پیشتر هم گفتیم که NetBIOS برای تحلیل نام یا name resolution و ارتباطات در شبکه local مورد استفاده قرار میگیرد.
NetBIOS سه سرویس کاملا ازهم متمایز را فراهم می کند که با هم آنها می بینیم:
Name Services
که از پورت 137 هم TCP و UDP استفاده می کند. این سرویس برای name registration و همینطور name resolution است.Datagram Services
در بستر UDP و از پورت 138 استفاده می کند. برای ارتباطات connectionless در شبکه مانند گزارش خطا اسن. از این سرویس برای پیغام های broadcasts برای همه کامپیوترهای یک شبکه استفاده می شود.Session Services
در بستر TCP و از پورت 139 استفاده می کند. آغاز گر ارتباط بین دو کامپیوتر است.بررسی ارتباطات Connection Oriented و Connectionless
رایج ترین استفاده از NetBIOS over TCP/IP یا NBT، در صورتی که DNS وجود نداشته باشد و یا کلا در دسترس نباشد، به منظور تحلیل نام است. بسیار کم هستند برنامه ها یا کلا دیوایس هایی که از DNS پشتیبانی نکنند. برای غیرفعال کردن NBT در شبکه راه های مختلفی وجود دارد که به انها در ادامه خواهیم پرداخت.
از آنجا که NBT، یک پروتکل unauthenticated است پس در برابر حملات poisoning attacks ها آسیب پذیر و حساس است. به این معنی که مهاجم در شبکه ای، هویت یا شناسه یک Resource را جعل(جعل هویت) کند و ترافیک قربانی را اشتباه هدایت می کند. در همین لحظه جعل انجام شده، مهاجم می تواند NTLM hash اعتبار کاربر را به دست بیاورد. این hash را می توان از طریق مکانیزمhash cracking به دست آورد و به عینه پسورد کاربر را مشاهده نمود. این نوع حمله در یک شبکه Local می تواند خطرناک باشد و در یک شبکه بی سیم عمومی یا access point برای جا زدن یا تقلید یک شبکه دیگر می تواند بکار گرفته شود.
حمله مشابه دیگر برای آسیب پذیر NBT، جعل Web Proxy Auto-Discovery Protocol یا WPAD است. WPAD توسط مرورگرهای وب برای تنظیم proxy است که از طریق آن به منابع وب دسترسی پیدا کنند. مهاجم می تواند آدرس آی پی WPAD را جعل کند، فایل wpad.dat را تغییر داده و سپس تمام ترافیک مرورگر را از کامپیوتر قربانی مشاهده کند.
CAUTION!!! DANGER!!!
برای مدیر شبکه مهم است که NBT در شبکه استفاده شود یا خیر. از این بایت موضوع را مطرح کردیم که غیرفعال کردن NBT ممکن است عملکرد برخی نرم افزارها که اکثرا قدیمی هم هستن را مختل کند. نرم افزارهایی که از FQDN پشیبانی نمی کنند و فقط با استفاده از NBT کار می کنند. پس شما که Administrator شبکه هستید کاملا باید در جریان اینکار باشید که احیانا با غیرفعال کردن NBT، آیا نرم افزاری در شبکه تان وجود دارد که عملکرد آن مختل شود.یک استراتژی دفاعی خوب برای محافظت از شبکه در برابر مهاجم که بدانید که مهاجم چه چیزی میداند و از چه چیزی استفاده می کند. بسیاری از ابزارها مانند Wireshark و همچنین ماژول های مختلف Metasploit در دسترس هستند که اجازه می دهد که مهاجم را کشف و استفاده از NBT چه منابعی را در شبکه شما به مخاطره خواهد انداخت. حتما برای ادمین ها توصیه می شود که کار با این نرم افزار یا این تیپ نرم افزارها را فرا بگیرند. شما با شنود ترافیک ها با پورت 137 که مربوط به Name service است از فعال یا غیرفعال بودن ترافیک Netbios می توانید اطمینان خاطر کسب کنید.
غیرفعال کردن Netbios هم باید روی سرور و هم روی کلاینت باید انجام شود. شما باید از طریق تنظیمات DHCP server و هم از طریق registry آن را غیرفعال کنید. غیرفعال کردن از روی DHCP server باعث خواهد شد تا اطمینان حاصل شود که که دستگاه های جدید تنظیمات مناسب را از ان دریافت می کنند.
غیرفعال کردن پشتیبانی از NetBIOS از طریق DHCP server ویندوز، توسط مراحل زیر انجام می شود:
در ویندوز سروری که DHCP روی آن فعال است، لاگین کنید و Run را باز کرده و دستور dhcpmgmt.msc را وارد و Enter کنید تا کنسول DHCP Server ویندوز باز شود.
Scope مورد نظرتان را باز کرده و روی Scope options کلیک راست کرده و گزینه Configure Options را کلیک کنید.
سپس به تب advanced رفته و از کامبوباکس Vendor Class، گزینه Microsoft Windows 2000 Options را انتخاب کنید. از لیست پایین آن گزینه 001 Microsoft Disable NetBIOS Option را انتخاب نمایید.
در بخش long و در قسمت Data Entry، عبارت 0x2 را وارد و ok کنید.
غیرفعال کردن پشتیبانی از NetBIOS در کلاینت هم به طریق زیر می تواند انجام شود:
Run را باز کنید و دستور ncpa.cpl را وارد و Enter کنید.
سپس از لیست Ipv4 را انتخاب کرده و دکمه propertis را کلیک کنید.
حال در فرم باز شده دکمه proties را کلیک کنید.
در فرم جدید باز شده، به تب Wins بروید و گزینه Disable NetBIOS over TCP/IP را فعال و ok کنید و سپس سیستم را ریستارت کنید.
شایان ذکر است که این تنظیمات فوق برای هر کارت شبکه است و چناچه سیستم بیش از یک کارت شبکه دارد باید برای تک تک کارت شبکه ها همین تنظیم را انجام دهید.
توسط رجیستری ویندوز هم قادر به انجام اینکار خواهید بود:
براي وارد شدن به رجيستري ويندوز مي توانيد به لينک زير وارد شويد:
وارد شدن به رجيستري ويندوز
وارد شدن به رجيستري ويندوز
پيشنهاد مي کنم قبل از هر گونه تغيير در رجيستري ويندوز، حتما از آن بک آپ بگيريد:
تهيه Backup از Windows Registry
تهيه Backup از Windows Registry
سپس مسیر زیر را در رجیستری دنبال کنید:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces\TCPIP_GUID
TCPIP_GUID مقدار Unique ای بر اساس آداپتورهای سیستم شما است.
تنظیمات فوق نشان دهنده آن است که 2 کارت شبکه فعال در این سیستم وجود دارد.
روی NetbiosOptions دابل کلیک کنید و مقدار Value data را عدد 2 تنظیم کرده و ok کنید.
همینکار را برای سایر آداپتورها باید انجام دهید.
حال سیستم را ریستارت کنید تا تغییرات رجیستری اعمال شود.
دسته بندی مطالب خوش آموز
نمایش دیدگاه ها (0 دیدگاه)
دیدگاه خود را ثبت کنید: