Hva er en SMB-port? Hva brukes Port 445 og Port 139 til?

NetBIOS står for Network Basic Input Output System . Det er en programvareprotokoll som gjør det mulig for applikasjoner, PCer og stasjonære datamaskiner i et lokalt nettverk (LAN) å kommunisere med nettverksmaskinvare og overføre data over nettverket. Programvareapplikasjoner som kjører på et NetBIOS-nettverk, lokaliserer og identifiserer hverandre via NetBIOS-navnene. Et NetBIOS-navn er opptil 16 tegn langt og vanligvis skilt fra datamaskinnavnet. To applikasjoner starter en NetBIOS-økt når en (klienten) sender en kommando om å "ringe" til en annen klient (serveren) over TCP-port 139 .

SMB Port 445 139

Hva brukes Port 139 til

NetBIOS på WAN eller over Internett er imidlertid en enorm sikkerhetsrisiko. All slags informasjon, for eksempel domenet ditt, arbeidsgruppen og systemnavn, samt kontoinformasjon kan fås via NetBIOS. Så det er viktig å vedlikeholde NetBIOS på det foretrukne nettverket og sikre at det aldri forlater nettverket ditt.

Brannmurer, som et sikkerhetsmål, blokkerer alltid denne porten først, hvis du har den åpnet. Porten 139 brukes til fildeling og skriverdeling, men er tilfeldigvis den farligste porten på Internett. Dette er fordi det etterlater harddisken til en bruker utsatt for hackere.

Når en angriper har funnet en aktiv port 139 på en enhet, kan han kjøre NBSTAT, et diagnostisk verktøy for NetBIOS over TCP / IP, primært designet for å hjelpe med å feilsøke problemer med NetBIOS-navneløsning. Dette markerer et viktig første trinn i et angrep - Footprinting .

Ved å bruke NBSTAT-kommandoen kan angriperen skaffe seg noen eller all viktig informasjon relatert til

  1. En liste over lokale NetBIOS-navn
  2. Datamaskinnavn
  3. En liste over navn løst av WINS
  4. IP-adresser
  5. Innholdet i økttabellen med destinasjonens IP-adresser

Med de ovennevnte detaljene tilgjengelig, har angriperen all viktig informasjon om operativsystemet, tjenestene og store applikasjonene som kjører på systemet. Foruten disse har han også private IP-adresser som LAN / WAN og sikkerhetsingeniører har prøvd hardt for å gjemme seg bak NAT. Videre er bruker-ID-er også inkludert i listene som tilbys ved å kjøre NBSTAT.

Dette gjør det lettere for hackere å få ekstern tilgang til innholdet i harddiskens kataloger eller stasjoner. De kan da stille og laste opp og kjøre alle programmer du ønsker via noen gratisverktøy uten at datamaskinens eier noen gang er klar over det.

Hvis du bruker en maskin med flere hjem, deaktiverer du NetBIOS på hvert nettverkskort eller oppringt forbindelse under TCP / IP-egenskapene, som ikke er en del av ditt lokale nettverk.

Les : Slik deaktiverer du NetBIOS over TCP / IP.

Hva er en SMB-port

Mens Port 139 er kjent teknisk som 'NBT over IP', er Port 445 'SMB over IP'. SMB står for ' Server Message Blocks '. Server Message Block på moderne språk er også kjent som Common Internet File System . Systemet fungerer som en applikasjonslags nettverksprotokoll som primært brukes til å tilby delt tilgang til filer, skrivere, serielle porter og annen form for kommunikasjon mellom noder i et nettverk.

Mest bruk av SMB involverer datamaskiner som kjører Microsoft Windows , der det ble kjent som 'Microsoft Windows Network' før den påfølgende introduksjonen av Active Directory. Den kan kjøre på toppen av Session (og nedre) nettverkslag på flere måter.

For eksempel på Windows kan SMB kjøre direkte over TCP / IP uten behov for NetBIOS over TCP / IP. Dette vil, som du påpeker, bruke port 445. På andre systemer finner du tjenester og applikasjoner som bruker port 139. Dette betyr at SMB kjører med NetBIOS over TCP / IP .

Ondsinnede hackere innrømmer at Port 445 er sårbar og har mange usikkerheter. Et kjølende eksempel på misbruk av Port 445 er det relativt stille utseendet til NetBIOS-ormer . Disse ormene skanner sakte, men på en veldefinert måte, Internett for forekomster av port 445, bruker verktøy som PsExec for å overføre seg til den nye offerdatamaskinen, og dobler deretter skanneinnsatsen. Det er gjennom denne ikke så kjente metoden, at massive " Bot Armies ", som inneholder titusenvis av NetBIOS-ormkompromitterte maskiner, blir samlet og nå bor på Internett.

Les : Hvordan videresende porter?

Hvordan håndtere Port 445

Tatt i betraktning de ovennevnte farene, er det i vår interesse å ikke eksponere Port 445 for Internett, men i likhet med Windows Port 135 er Port 445 dypt innebygd i Windows og er vanskelig å lukke trygt. Når det er sagt, er lukkingen mulig, men andre avhengige tjenester som DHCP (Dynamic Host Configuration Protocol) som ofte brukes for automatisk å skaffe en IP-adresse fra DHCP-serverne som brukes av mange selskaper og Internett-leverandører, vil slutte å fungere.

Med tanke på alle sikkerhetsmessige årsaker som er beskrevet ovenfor, føler mange Internett-leverandører at det er nødvendig å blokkere denne porten på vegne av brukerne. Dette skjer bare når port 445 ikke blir beskyttet av NAT-ruteren eller personlig brannmur. I en slik situasjon kan Internett-leverandøren din sannsynligvis forhindre at port 445-trafikk når deg.

SMB Port 445 139