内联网基础
概念
内网也指局域网,是指一定区域内多台计算机互连形成的计算机群,网络范围通常在几公里以内。
在局域网中,可以实现文件管理、应用软件共享、打印机共享、工作组内调度、电子邮件和传真通信服务。
Intranet 是封闭的,可以由办公室中的两台计算机或公司中的大量计算机组成。
内网穿透分为域穿透和工作组穿透两类:
· 领域渗透
1. 域信息收集
2. 获取域权限
3. 转储域哈希
4. 内网权限维护
· 工作组渗透
1. 定期内网穿透
2. 各种欺骗攻击
域和工作组对应不同的内网结构概念。下面将描述两个 Intranet 中的结构。
内网结构
1、工作组
工作组通过最常见的资源管理方式实现网络资源共享,即将不同的计算机按功能划分为不同的组,方便管理。
一个工作组中的所有计算机都是平等的,没有管理和管理之分,属于松散的会员制,可以随意加入和离开,不同的工作组共享资源,可以相互访问。
默认情况下以工作组模式管理计算机,不同的计算机按功能列在不同的组中,方便管理(所有计算机默认属于WORKGROUP工作组,默认共享User目录。)。
工作组使我们访问的资源更加结构化。在工作组的情况下,资源可以随机灵活分配,更便于资源共享。管理员只需进行简单的维护。但是,对于管理者来说,工作组的管理方式有时并不方便统一管理。管理员有统一协调和管理所有计算机的需求,使用域网络结构将是更好的选择。
2、域
域是具有安全边界的计算机的集合(安全边界意味着,在两个域中,一个域中的用户不能访问另一个域中的资源)。域具有比工作组更严格的安全管理控制。
域控制器(DC)是域中类似的管理服务系统。域控制器负责对所有连接的计算机和用户进行身份验证。如果域中的计算机要相互访问,它们必须经过域控制器的审核。
域控制器中有一个[url=]database[/url],由账号、密码、属于该域的计算机组成。当一台计算机连接到这个域时,域控制器首先要识别这台计算机是否属于这个域,用户使用的登录账号是否存在,密码是否正确。
域的分类
只有通过域控制器的身份认证后,才能访问该域中的资源。进入域后,需要知道自己处于哪个域环境。
单域
父域,子域
域树(树)
森林岭(森林)
DNS 名称服务器
单域
一般情况下,至少有两台域服务器,分别是DC和备份DC。
父域和子域
有时网络中有多个域。第一个域称为父域,每个分区的域称为该域的子域。在同一个域中,信息交互项很多,不会被压缩;不同域之间,信息交互的项目相对较少,可以压缩。
子域只能使用父域的名称作为其域名的后缀。
每个域都可以设置自己的安全策略。
域树
域树(tree)是多个域通过建立信任关系组合而成的集合。
信任关系是连接不同域的桥梁。域树中的父域和子域不仅可以根据需要相互管理,还可以跨网络分配文件、打印机等设备和资源,实现网络资源、通信和数据传输的共享和管理不同域之间。
玉泉岭
森林是指通过建立信任关系的多个领域树的集合。
通过域树之间的信任关系,可以对整个域林的资源进行管理和使用,同时保留合并域树的原有特性。
域名服务器
域名服务器(DNS)是指用于实现域名(Domain Name)和相应IP地址转换的服务器。
域中的计算机使用 DNS 来定位域控制器、服务器以及其他计算机和网络服务,因此域的名称就是 DNS 域的名称。
绝招:在内网穿透中,往往可以通过查找DNS服务器来确定域控制器的位置。(DNS服务器和域控制器通常配置在同一台机器上)
3、活动目录 (AD)
Active Directory Active Directory,简称AD,是[url=]Windows[/url]服务器中的一个集中目录管理服务,负责架构中的大规模网络环境。它内置于从 Windows 2000 Server 开始的 Windows Server 产品中。
Active Directory 用于存储有关网络对象的信息,例如用户、组、计算机、共享资源、打印机和联系人。目录服务可以帮助用户快速准确地从目录中找到他们需要的信息。
Active Directory 的逻辑结构包括上述组织单元、域、域树和域林。域树中的所有域共享一个活动目录加域不能访问网络位置,该活动目录中的数据分散存储在各个域中。并且每个域只存储域内的数据。
Active Directory 主要提供以下功能:
集中账户管理
集中式软件管理
环境集中管理
增强的安全性
更可靠,停机时间更短
Active Directory 和域控制器之间的区别
由域网络中的众多对象组成的层次结构数据库称为 Active Directory 数据库(AD 库)。实现域环境其实就是安装AD。如果内网的某台机器安装了AD,那它就是DC。它还实现了您只需在Active Directory中更改一个帐户的密码一次,该帐户就可以在整个域中的任何机器上登录。
4、安全域
将一组具有相同安全级别的计算机划分为同一个网段,即划分一个安全域。该网段内的计算机具有相同的网络边界,通过在网络边界部署防火墙,对其他安全域实施网络访问控制策略(NACL),从而允许哪些IP地址访问该域,允许哪些IP地址访问访问该域和网段。
网络可以分为三个区域:安全级别最高的内网;中等安全级别的DMZ;以及安全级别最低的外网。隔离是通过硬件防火墙的不同端口实现的。
非军事区
DMZ非军事区,中文名称为“隔离区”,或“非军事区”。就是为了解决访问外网的用户在安装防火墙后无法访问内网服务器的问题,从而在非安全系统和安全系统之间建立一个缓冲区。
要使用 DMZ 配置网络,通常需要定义以下访问控制策略:
1. 内网可以访问外网
2. 内网可以访问DMZ
3. 外网不能访问内网:这是防火墙的基本策略。
4. 外网可以访问DMZ:DMZ中的服务器需要对外提供服务,所以外网需要访问DMZ。
5. DMZ 无法访问内网
6. DMZ 无法访问外网
工作区
在公司员工的日常工作区域,一般都会安装杀毒软件和主机入侵检测产品。办公区通常可以进入 DMZ。如果运维人员也在办公区,部分主机也可以访问核心数据区(很多大型企业也使用堡垒机统一管理用户的登录行为)。
如果攻击者想要进入内网,他们通常会使用鱼叉攻击、水坑攻击,当然还有社会工程。办公区人员众多且复杂,变动频繁。安全管理可能存在很多漏洞,这是攻击者进入内网的重要途径之一。
核心区
存储企业最重要的数据、文件等信息资产,并通过log[url=]record[/url]、安全审计等安全措施进行严格保护加域不能访问网络位置,往往只有少数主机可以访问。从外部直接进入核心区域是很困难的。
一般来说,只有运维人员或IT部门主管才能直接访问核心区域。因此,攻击者会重点关注这些用户的信息(攻击者在内网进行横向移动攻击时,会首先搜索这些主机)
5、域权限
首先,我们需要了解组的概念。一个组中有很多用户。管理员在给用户分配权限时,只需将该用户添加到具有相应权限的组中,从而提高管理效率。常用组有:域本地组、全局组、通用组。
1)域本地组
主要用于授予对该域中资源的访问权限。域本地组不能嵌套在其他组中。
2)全局组
当单域用户访问多域资源时(必须使用一个域内的用户),用户和全局组只能在创建全局组的域中添加。可以在域林中的任何域内分配权限。全局组可以嵌套在其他组中。
3)环球集团
通用组的成员来自域林中任意域的用户账户、全局组等通用组,可以在域林的任意域中分配权限,可以嵌套在其他组中,适合内部跨域访问中使用的域林。
简单记忆:域本地组来自整个森林,作用于这个域;全局组来自该域并作用于整个森林;一般群来自整个森林,作用于整个森林。
6、内网信息采集
目标主机信息采集的深度,决定后继续控制渗透权限。渗透的本质是信息收集,信息收集整理为后续情报跟进提供了有力保障。
