Hrvatska akademska i istraživačka mreža
  NASLOVNICA MAPA WEBA TRAŽILICA KONTAKTI CARNET WEB
Hrvatska akademska i istraživačka mreža
 
menu 4
Sigurnost
menu 4
Distribucija
menu 4
Pomoć
menu 4
Dokumenti
menu 4
menu 4

 

 

23-08-04 03:41
[MS Windows] NetBIOS i server 2003 - konačni obračun?

piše BORIS TROJAN

Podsjetimo se da je NetBIOS prapovjesno (1983.) sučelje na razini sesije, odn. transportni protokol koji je razvio Sytec po narudžbi IBM-a sa svrhom povezivanja više PC-a.

 

Ovaj je protokol bučan (funkcionira kao broadcast), nesiguran (naredbe netview i nbtstat otvaraju mogućnost za curenje informacija o mreži) i infrastrukturalno uzak (imenski prostor koji struktruira NetBIOS originalno je dizajniran za mreže s najviše 72 hosta).

 

Microsoft je ovo softversko rješenje preuzeo ranih 1980-ih za njihov LAN Manager otkuda se preselio u prve verzije Windowsa, pa iz njih u Windows NT. I još je ovdje, dapače uključen po defaultu, u Windowsima 2000, Windowsima XP i Windowsima 2003. Ovi sustavi ga koriste radi mrežne podrške NetBIOS protokolu za logiranje na domenu, pronalaženje hostova i ostvarivanje sesija za mrežne resurse.

Međutim, od vremena pojave Windowsa 2000 napokon je DNS prihvaćen kao metoda rezolucije imena na mreži i kao uvjet za implementaciju Active Directory domene. Prema tome, zašto i dalje imati aktiviran NetBIOS budući se DNS koristi za logiranje i pristup dijeljenim resursima na Windows 2000/XP/2003 mreži a ujedno u njoj nisu uključeni stari Windows operacijski sistemi?

Uostalom, pogledajmo članak baze znanja Q323375 koji sugerira deaktiviranje NetBIOS-a na TCP/IP konfiguraciji:

 

"Prije nego deaktivirate WINS/NetBT rezoluciju imena, provjerite imate li na na mreži aplikacije koje koriste WINS ili stari NetBT protokol prilikom konekcije. Primjerice, WINS/NetBT rezoluciju imena možete isključiti ako uspostavljate komunikaciju sa Windows 2003 proizvodima (Microsoft Windows XP ili Microsoft Windows 2000), a koje koriste DNS i imena registriraju unutar DNS-a, ili ako komunicirate preko Interneta koristeći DNS-aware aplikacije. Ne isklučujte WINS/NetBT rezoluciju imena ako komunicirate s računalima na kojima je instalirana verzija Windowsa koja koristi WINS ili stari NetBT protokol (Microsoft Windows NT, Microsoft Windows Millenium, Microsoft Windows 98 ili Microsoft Windows 95)."

 

Pročitavši ovo, administrator može doći u iskušenje da deaktivira NetBIOS na svim strojevima; blokiranje portova 137, 138 i 139 onemogućuje napade koji iskorištavaju NetBIOS radi dobivanja informacija o mreži. Ovdje se mora napomenuti i ne zaboraviti da i nakon zatvaranja navedenih portova, ranjivo mjesto ostaje naredba nbtstat koja izlistava NetBIOS tablicu imena i sesija čime se omogućuje daljnje probijanje sistema.

No, je li sve tako jednostavno?

 

NEOČEKIVANE POSLJEDICE

Posljedice koje slijede u biti i nisu neočekivane ako se već dugo bavite Microsoftovim operacijskim sustavima, no mora se priznati da uvijek iznova šokiraju. Nakon što ste deaktivirali NetBIOS na vašoj mreži, a ujedno ste prinuđeni stvoriti trust između foresta u vašoj infrastrukturi, nećete nažalost u tome uspjeti - Microsoft je uglavio NetBIOS unutar procesa stvaranja trust odnosa i nakon što je javno obznanio "nepotrebnost" ovog metuzalemskog protokola od Windows 2000 verzije. Sramota je još i veća ako uvidimo da su NetBIOS ugradili na mjestu koje je upravo donijelo revoluciju u Windows infrastrukturu zajedno s prihvaćanjem DNS-a - Active Directory domensku strukturu.

 

Evo ilustracije:

Na dva stroja instalirajte Windows 2003. Na jednom pokrenite dcpromo da biste instalirali Active Directory i unesite ime za forest root domenu TEST.LOCAL. Dcpromo će preuzeti ime vaše domene kao NetBIOS ime TEST. Sada pokrenite instalaciju domene na sljedećem stroju i unesite ime TEST.COM. Ovaj put sugestija će biti TEST0 radi izbjegavanja NetBIOS konflikta sa prvom domenom - iako ovdje imamo dva različita foresta (!!). Sada slobodno možete stvarati trustove između ove dvije domene.

Idemo još jednom, no ovog puta nakon što ste instalirali WIndows 2003 na strojevima deaktivirajte na oba NetBIOS. Kao i prethodni puta, unesite ime TEST.LOCAL za prvi forest. No, kad pokušate stvoriti forest root domain TEST.COM na drugom forestu, dcpromo neće imati NetBIOS da bi detektirao već postojeću domenu imena TEST i tako ćete završiti sa dva foresta, TEST.LOCAL i TEST.COM koje će dijeliti zajedničko NetBIOS ime TEST za forest root domenu.

 

Da biste sada stvorili trust između ove dvije domene, morate ih natjerati da međusobno prepoznaju vlastita imena. NetBIOS nemate, pa koristite DNS. Najjednostavnije je napraviti conditional forwarding na kontroleru TEST.LOCAL tako da on prosljeđuje zahtjeve za rezolucijom imena na TEST.COM kontroler i obratno (oba servera su i dalje DNS serveri za svoju domenu).

Sada pokušajte ostvariti forest trust između ove dvije domene. Opet ne možete. Dobivate poruku greške.

Ako pokušate aktivirati NetBIOS, opet nećete uspjeti - dvije domene koriste ista NetBIOS imena! Zaglavili ste i morate jedan stroj reinstalirati ispočetka.

 

I JOŠ GORE

Činjenica da NetBIOS sudjeluje u stvaranju trustova između domena očigledno je posljedica potrebe da se Windows NT sistemima omogući participiranje u Windows 2000/2003 forestima. No, uzmimo prvi gore navedeni primjer gdje ćete se morati suočavati sa NetBIOS ograničenjem svakodnevnim logiranjem na mreži.

 

Na primjer, stvorite sada dvije child domene unutar prvog, odnosno drugog foresta: ONE.TEST.LOCAL i TWO.TEST.COM. Uočite da sve domene svih foresta moraju imati jedinstvena NetBIOS imena - ONE.TEST.LOCAL i ONE.TEST.COM završit će imenom druge child domene kao ONE0. Zato ONE.TEST.COM općenito nije dobra ideja za ime druge child domene (a ako i isključite mrežu prilikom stvaranja child domena, završit ćete sa dvije child domene jednakog NetBIOS imena).

Sada se na stroju ONE.TEST.LOCAL pokušajte logirati. Recimo da ste korisnik domene TEST.COM i želite se logirati sa stroja koji se nalazi na domeni ONE.TEST.LOCAL u child domenu TWO.TEST.COM koja se nalazi u forestu gdje leži vaš korisnički račun. Kliknite na Log On To da biste dobili listu domena i vidjet ćete sljedeće:

 

TEST

ONE

TEST0

 

Gdje je domena TWO? Na nesreću, Windows logon box može prikazati samo sljedeće:

 

NetBIOS imena svih domena u trenutnom forestu (TEST i ONE)

NetBIOS ime forest root domene foresta koji je u trust odnosu (TRUST0)

 

Sve domene foresta kojem se vjeruje se ne prikazuju. Nasreću, i dalje se možete logirati preko UPN imena, naprimjer, ime@two.test.com.

 

 

ZAKLJUČAK

Prije nego pokušate deaktivirati NetBIOS na svim strojevima u vašoj mreži, provjerite kako će to utjecati na pristup resursima i na rad aplikacija. NetBIOS over TCP/IP je i dalje default opcija (čak i na W2K native domenama) da bi se imena downlevel računala (Windows NT/9x) mogla prepoznavati na mreži. Nadalje, ako isključite NetBIOS over TCP/IP nećete moći korisniku onemogućiti pristup pojedinim računalima preko Account-Log On To opcije u user account properties.

Nadalje, pokušajte koristiti port 445 kojeg koristi SMB over TCP/IP (Windows NT zahtijeva SMB over NBT) i deaktivirajte NetBIOS na kritičnim serverima. Ili ostavite na tim serverima NetBIOS a koristite IPSec filtere da biste blokirali portove 137-139. Serverima na kojima obavezno morate izbaciti NetBIOS su proxy serveri.

 

[Izvori: O'Reilly, Windows Server Hacks, Mitch Tulloch, Microsoft Knowledge Base]





[Lista]
Ovu uslugu CARNeta realizira Sveučilišni računski centar Sveučilišta u Zagrebu
  Copyright ©2005. CARNet. Sva prava zadržana. Impressum.
Mail to
sys-portal@CARNet.hr