Действия диверсанта в windows-сети?

Допустим, вы — диверсант. У вас есть ноутбук со всеми возможными локальными правами и физическое подключение к коммутируемой (switched) сети под управлением windows server.



Ряд сценариев:

1. Диверсия с отказом в обслуживании

2. Несанкционированный доступ к данным



Ваши действия?

Смысл вопроса — спор. Кое-кто утверждает что, мол, «да опытный чувак воткнуться не успеет, как все данные утащит и вирусов напускает», а кое-кто, напротив, считает, что грамотно отстроенные сервисы windows вполне безопасны.

Фильтрация на уровне сетевого оборудования исключается из рассмотрения в силу академического интереса.
  • Вопрос задан
  • 3060 просмотров
Пригласить эксперта
Ответы на вопрос 9
@iivasiliev
Во-первых, давайте не будем забывать, что в подобной ситуации может существовать достаточно большое количество сценариев.

Во-вторых, топик стартер, не сказал о какой версии Windows идет речь. Очевидно, что разные версии ОС Windows подвержены тем или иным проблемам безопасности в силу различных обстоятельств. Кроме того, по-хорошему нужно учитывать список используемых сервисов и служб, потому как в одной компании наличие RIS, DHCP, RADIUS, AD может быть обусловлено производственной необходимостью, а в другой компании такие сервисы могут вообще не использоваться. К примеру, большинство крупных компаний используют внутренние intranet ресурсы, которые в некоторых случаях могут представлять собой web приложения функционирующих на базе ASP, MS SQL и ISS. Очевидно, что если в этом случае используется собственный код, то качество такого кода обычный администратор Windows сети проверить не сможет и пускай он будет хоть трижды MCSE с соответствующей специализацией. Здесь очень большое поле для деятельности и множество всяких но.

Теперь, что касается вот этого: «Фильтрация на уровне сетевого оборудования исключается из рассмотрения в силу академического интереса»

В этом случае со 100% вероятность возможны атаки типа отказ в обслуживание, перехват и внедрение в сессии и т.д. т.п. Например, переполнение CAM таблиц на коммутаторах, подделка IP и MAC адресов, ложные DHCP сервера со всеми вытекающими последствиями и т.д. и т.п.

Одним словом, вариантов очень и очень много.
Ответ написан
@bondbig
Фантазии сумасшедшего:
1. Выясняем айпишник контроллера домена
2. Задаем ноуту этот айпишник, rarp-запросами анонсируем его на коммутаторы.
3. Снифаем аутентификационные маркеры, быстренько меняем айпишник на тот, чей маркер удалось подслушать, аутентифицируемся в домене.
4. Далее по обстоятельствам.

Диверсия, как таковая (нарушение работоспособности сети), реализуется на шаге 2.
Ответ написан
opium
@opium
Просто люблю качественно работать
Самый простой способ пройтись по девушкам, у них обычно логины пароли на листочке на экране прилеплены.
Ответ написан
@MrCrock
«есть ноутбук со всеми возможными правами и физическое подключение»
Конечно сломает.
Ответ написан
int03e
@int03e
Самое тупое и первое что приходит в голову — ARP spoofing, выяснение примерной топологии сети (nmap и все прочее в помощь) и тестирование на предмет актуальных багов (metasploit на ноуте или что-то в этом роде, хоть backtrack на флешке). По сути, многое зависит от установленного софта и (частично) от квалификации сисадмина :-)
Ответ написан
Комментировать
VenomBlood
@VenomBlood
Если хорошо настроено — не сломают. Но если все-таки надо сломать — сломают. Верно для любой системы.
Ответ написан
@Aidos
Так на базе Вин2008 можно сделать так что бы не авторизованный оутбук вообще не получил ай-пи либо пихнуть его в отдельную подсеть
Ответ написан
Dal
@Dal
Системы обнаружения, например, в вопросе участвуют, мониторинг, антивирусная и другая защита? Или только грамотно отстроенные сервисы windows?
Ответ написан
Rayko42
@Rayko42
ИМХО Пункт 2 решается исключительно превентивными мерами — установка политик, внедрение DLP и т.п.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы