Общий доступ к файлам - "за" и "против"

При подсоединении к любой компьютерной сети, будь то локальный intranet или же глобальный Интернет, срабатывает основной принцип: "Вы получаете доступ к множеству других компьютеров сети, ну а последние, в свою очередь, зачастую имеют доступ к вашему компьютеру". И вот этот, на первый взгляд, удобный способ, на самом деле таковым не является, обладая побочными эффектами, от которых, собственно говоря, и происходят проблемы безопасности при работе в сети. Об одном из таких примеров и пойдет речь в данной статье.

Как ни парадоксально, но ко множеству компьютеров в сети с установленной на них ОС Windows 9x можно получить доступ всего за несколько минут, приложив минимум усилий по взлому! Этот, увы, неприятный факт объясняется тем, что сами пользователи Windows 9x конфигурируют свои компьютеры таким образом, что их папки или целые диски становятся доступными для чтения и записи с удаленных компьютеров. Формально это называется "Доступ к файлам и принтерам" ("File and Print Sharing"). Если вы кликните на иконке "Сеть" в Панели управления, то увидите эту кнопку. И если флажок "Файлы (или принтеры) этого компьютера можно сделать общими" включен, то стоит очень серьезно задуматься...

Рассмотрим типичную ситуацию - вы решили соединить со своим соседом по дому два компьютера в маленькую сеть, и поскольку скрывать друг от друга нечего, разумеется, сразу предоставляется свободный доступ ко всему. Или в небольшой фирме стоит локальная сеть из нескольких машин с сервером, на котором хранятся дистрибутивы программ и прочие всем нужные по работе данные. Либо вам нужно переписать данные с домашнего компьютера на ноутбук. Или же, самый банальный вариант, вышеуказанная опция просто была включена по умолчанию (говорят, и такое бывало…). Ну а где открыт доступ для соседнего компьютера, там есть доступ и из Интернета (разумеется, при установленном соединении) для кого угодно! Такой вот NetBIOS c TCP/IP в Windows 9x. Поэтому и возникает эта серьезная проблема.

Мы не будем подробно рассматривать, как этим воспользоваться, для этого достаточно хотя бы знать, что делает утилита NBTSTAT -А <IP Address>, входящая в состав Windows 9x (разумеется, при установленных средствах сети), после применения которой вы получите список всех общих ресурсов, подключить которые к себе (Map Drive) уже не составит никакого труда, например, выбрав соответствующий пункт в меню, кликая по правой кнопке "Сетевого окружения" (и используя полный путь до ресурса). К тому же в настоящий момент сия "задача" значительно упрощена тем, что выпускаются целые комплексы программ для сканирования диапазонов IP-адресов провайдеров и подключения чужих общих ресурсов (например, "Legion" от Rhino9), используемых для "заимствования", в основном, чужого доступа в Интернет. Следующим этапом после доступа к ресурсам "жертвы" следует либо выкачивание конфиденциальной информации (например, всех файлов, содержащих пароли), либо в случае, если системный диск не открыт, закачка в какой-нибудь каталог или файл, из которого возможен автозапуск программ, троянского коня, либо специализированных программ, позволяющих, например, после следующего перезапуска системы незаметно для пользователя открыть все имеющиеся ресурсы.

Что же делать? Для начала ограничить свободный доступ к файлам своего компьютера. Как это сделать? Для пользователей Windows 9x самое простое решение - отключить "Доступ к файлам и принтерам" ("File and Print Sharing"), если он просто не нужен. Можно также убрать привязку "Доступ к файлам и принтерам" к протоколу TCP/IP (Панель управления=>Сеть=>TCP/IP=>Свойства=> Привязка), что достаточно эффективно заблокирует доступ к общим ресурсам из Интернета. Если же доступ все-таки нужен, то надо поставить пароли на общие папки и диски, причем пароли следует выбирать посложней, состоящие не менее чем из 8 символов (не только букв!), которые нельзя подобрать методом перебора слов из словаря. Также следует помнить, что существует возможность "взобраться вверх по дереву", то есть если на диске C: есть папка /STUFF с открытым доступом, то до корня диска C: тоже можно добраться. Системный диск вообще не рекомендуется делать открытым ресурсом, уж лучше как-нибудь разбить ваш жесткий диск на несколько логических.

К вышесказанному добавлю, что, в общем, необходимо очень внимательно следить за общими ресурсами и в локальной сети, даже если вы уверены в их безопасности. Более "продвинутым" пользователям рекомендую завести (если еще не завели) какую-нибудь удобную систему мониторинга или грамотно настроить файрволл, прочитав документацию по NetBIOS c TCP/IP. Ну а если вы - опытный администратор, то без труда придумаете самое удобное именно для вашей подсети решение. Успехов, и да будут ваши "шары" (sharing), для незнакомых "не на шару"!:-)

Руслан КЛИМОВИЧ,
rooler@softhome.net

Версия для печатиВерсия для печати

Номер: 

49 за 2000 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Аватар пользователя IBM-PC
Болбше бы таких толковых статей которые

помогают пользавателям.Можно сказать жизненных!А не всякой чуши о новостях.

Аватар пользователя Alex
Sorry za latinicu.

Po povodu paroley na sharu v Win9x - est' progi kotorye lomayut luboy parol' na sharu v Win9x za neskol'ko sekund, tak chto eto nepodhodyaschiy metod ;-)

Ya by predpochyol firewall.

Аватар пользователя Feder
>>если на диске

>>C: есть папка /STUFF с открытым

>>доступом, то до корня диска C: тоже

>>можно добраться.

это как же????????

Аватар пользователя Max
Расслабьcя, никак! пугают :)))))))
Аватар пользователя Lastonius
Лучше уж на сервере поставить файрвол. Тогда локальная сеть будет недоступна для Инета. Сам пробовал посмотреть. Все порты молчат. Откликаются только почтовые, 80, Аська и парочку нужных по работе. А через них нихрена не сделаешь... если файрвол конечно нормальный :) Не жизнь, а сказка!!!
Аватар пользователя Виталий
Ну и дичь!

Утилита nbtstat с ключом -a или -A дает не список ресурсов, а список зарегистрированных NETBIOS-имен, таких как уникальное имя пользователя или групповое имя.

А по поводу остального - на то и книжки умные, чтобы не сидеть, уши развесив.

Аватар пользователя Игорь
> Расслабьcя, никак! пугают :)))))))

Ну почему же... есть даже утилитки, которые это делают.

> Лучше уж на сервере поставить файрвол.

Если в Сеть заходят через модем на сервере - конечно. А так лучше персональный файрвол типа AtGuard или ему подобный - на машину, откуда в Сеть лазят. Тоже очень помогает...

Аватар пользователя Sergey Petrowski
Обычная тема ранье была - прога Legion

Вводишь диапазон IPадрессов -- и все!

В твоем владении много-много винтов! Можно удалять, записывать - вообщем, все что хочешь делать! Да она, кажись и сча есь!