[分享] Windows主機之網路芳鄰安全防護

網路芳鄰

Windows主機之網路芳鄰安全防護

張智翔

　自從微軟推出視窗介面的作業系統，加上網路上的運用，使得電腦之間的連線變得容易，資料的交換不再是難事，其中最普及的莫過於網路芳鄰。利用網路芳鄰可以迅速達到資料共享之目的，簡易的設定更是大大降低使用者的困擾。

　雖說網路芳鄰的便利性帶給使用者莫大的幫助，似乎使用者只要將重要資料與網路芳鄰做區隔，就可降低安全上的隱憂？

　2003年3月，中國大陸的「WORM_DELODER.A」網路芳鄰病毒，利用複合性攻擊模式，透過Port 445大量散播與攻擊，並且利用後門程式PSEXEC.EXE執行遠端登入，兼具有蠕蟲與後門程式特性。據報導，此病毒曾經癱瘓大陸各大教育網路。此病毒之散佈，使得網路芳鄰的安全性浮上檯面，接下來我們利用三種工具來檢測網路芳鄰的安全性。

　Windows主機使用Server Message Block（SMB）協定，或稱為Common Internet File System（CIFS）的協定，可將同一網段內Windows主機與另一台Windows主機的檔案目錄設成共用模式，即網路芳鄰分享；而這個協定亦可以用於Internet網段，若傳送過程中未有其他的安全網路設備阻擋時，則位於不同網段之Windows主機也可使用此協定進行目錄檔案的交換。根據微軟網頁相關訊息可以預先得知網路芳鄰所使用的port為137-139（TCP與UDP）及 port 445（TCP與UDP）。

　我們在測試機器上（IP:192.168.100.2）將D槽設定成為網路芳鄰共享，再利用Nmap掃瞄，發現 port139與port445確實為開放狀態（如【圖1】）。此外，鑒於SMB協定具有在網段內分享檔案的便利性，在安全性設定不夠完善之主機，如缺乏Firewall或Switch未設限、未設密碼或密碼強度不夠等，均可讓外界有心人士在進入同一網段後，透過該協定直接竊取網路芳鄰分享的機密檔案資料，使得該重要機密資料外洩，甚至讓駭客可取得該主機的控制權，進行更嚴重的威脅與破壞。

圖1　Nmap掃瞄結果

　而近幾年的SMB漏洞則是MS05-027，利用Nessus掃瞄測試主機發現確實有其漏洞【圖2】，結果顯示駭客可利用SMB之漏洞進行遠端電腦之存取；幸好微軟早已提供修補程式讓使用者進行防護。

圖2　Nessus掃瞄結果

　上述所提都與漏洞相關，而目前有一功能強大又免費之工具軟體可利用以測試同一網域是否有開放網路芳鄰，即SoftPerfect Network Scanner。SoftPerfect的掃瞄方式是透過Ping的動作來偵測主機是否存在，所以其搜尋速度比同類軟體更加快速，為免安裝之軟體。我們一樣利用測試主機做模擬，將主機之D槽設定成網路芳鄰並開放其瀏覽權限，利用SoftPerfect執行掃瞄動作【圖3】，發現確實能發現該開放之硬碟【圖4】。

　此外，SoftPerfect的好用之處在於其獨特的搜尋方式，不少類似的軟體都只掃區網內的電腦，還不能設定掃瞄的IP區段，往往找到的資源是少之又少；而SoftPerfect能夠設定掃瞄IP的區段（區網內IP或是區網外的實體IP），不論被掃到的電腦有沒有分享資源，只要該主機有連接上網路皆會顯示於列表上。

　SoftPerfect為資訊安全管理人員之得力助手，若被有心人士使用，可能會造成不可預期之影響，要防制可能的安全事件，我們整理出網路芳鄰的安全指引，建議使用者可以補強的方式。

圖3　測試掃瞄結果1

圖4　測試掃瞄結果2

建議補強方法

1. 若主機不需要網路芳鄰分享協定時，可將主機內有關“file and printer sharing for Microsoft network”網路設定功能取消。

2. 對於內部區域網路（LAN）作檔案分享時始開啟網路芳鄰存取功能，對於Internet的檔案分享建議使用Secure FTP或HTTP的方式存取。同時開啟網路芳鄰功能亦應遵循下列原則：

對於需要分享的目錄一定要設定存取權限控制，禁止未有密碼保護的網路芳鄰分享。設定之強密碼應符合同時包含有英文大小寫及特殊字元，且長度在8個字元以上。
將需分享的檔案集中在同一目錄下，並僅開放讀取的權限，除非必要不要開放寫入的權限。
3. 為阻斷Internet使用者透過網路芳鄰功能存取區域網路內Windows主機相關檔案資訊，建議使用firewall等相關軟硬體阻擋外界對內部主機的port 137-139與445存取權限。

4. 除非特殊必要，才開放Internet分享網路芳鄰功能，並在所在網段的出入節點（如：firewall），限制可以連入網路的所有網路芳鄰分享的主機的來源IP。建議避免使用hostname方式辨認，因hostname較容易被偽造。

　資訊安全的隱憂肇因於人為因素的比重愈來愈高，常常為了方便自己，卻危害了整個組織的資安防護，與其著重於相關的資訊安全設備之取捨，內部人員的權限控管與資安意識（使用習慣）絕不可偏廢，網路芳鄰就是一個最佳例子。

=================================================================

今天....
發了那篇NETSCAN....
後來...
看到了ROCK大給的回覆....
於是針對此問題下去狗神...
得到了這篇文章....
原來...
早在2007年8月...
中研院就已經發現這項問題....
嘆...
我慢了時代半年多........
而且...
原理一直都還搞不太清楚....

[ 本帖最後由 PSHuang 於 2009-4-30 17:28 編輯 ]

本帖最近評分記錄(2)