NetBIOS apoia Sistema Básico de Saída de Entrada de Rede. É um protocolo de software que permite que aplicativos, PCs e desktops em uma rede local (LAN) se comuniquem com o hardware da rede e transmitam dados pela rede. Os aplicativos de software que são executados em uma rede NetBIOS localizam e identificam um ao outro por meio de seus nomes NetBIOS. Um nome NetBIOS tem até 16 caracteres e geralmente é separado do nome do computador. Dois aplicativos iniciam uma sessão NetBIOS quando um (o cliente) envia um comando para “chamar” outro cliente (o servidor) Porta TCP 139.
O que é a porta 139 usada para
NetBIOS na sua WAN ou na Internet, no entanto, é um enorme risco de segurança. Todos os tipos de informações, como seu domínio, grupo de trabalho e nomes de sistema, bem como informações de conta, podem ser obtidas via NetBIOS. Portanto, é essencial manter seu NetBIOS na rede preferencial e garantir que ele nunca saia da sua rede.
Firewalls, como medida de segurança, sempre bloqueiam essa porta primeiro, se você a tiver aberto. A porta 139 é usada para Compartilhamento de arquivos e impressoras mas é o único Porto mais perigoso da Internet. Isto é assim porque deixa o disco rígido de um usuário exposto a hackers.
Depois que um invasor localizar uma porta 139 ativa em um dispositivo, ele poderá executar NBSTAT uma ferramenta de diagnóstico para NetBIOS sobre TCP / IP, projetada principalmente para ajudar a solucionar problemas de resolução de nomes de NetBIOS. Isso marca um primeiro passo importante de um ataque - Pegada.
Usando o comando NBSTAT, o atacante pode obter algumas ou todas as informações críticas relacionadas
- Uma lista de nomes NetBIOS locais
- Nome do computador
- Uma lista de nomes resolvidos pelo WINS
- Endereços IP
- Conteúdo da tabela de sessão com os endereços IP de destino
Com os detalhes acima, o invasor tem todas as informações importantes sobre o sistema operacional, os serviços e os principais aplicativos em execução no sistema. Além disso, ele também tem endereços IP privados que os engenheiros de segurança e LAN / WAN tentaram esconder por trás do NAT. Além disso, os User IDs também estão incluídos nas listas fornecidas pela execução do NBSTAT.
Isso torna mais fácil para os hackers obter acesso remoto ao conteúdo dos diretórios ou unidades de disco rígido. Eles podem então, silenciosamente carregar e executar quaisquer programas de sua escolha através de algumas ferramentas freeware sem o dono do computador já estar ciente.
Se você estiver usando uma máquina de hospedagem múltipla, desative o NetBIOS em cada placa de rede ou a Conexão dial-up nas propriedades de TCP / IP, que não fazem parte de sua rede local.
O que é uma porta SMB?
Embora a porta 139 seja tecnicamente conhecida como "NBT over IP", a porta 445 é "SMB over IP". SMB apoia ' Blocos de Mensagens do Servidor'. Bloco de Mensagens do Servidor em linguagem moderna também é conhecido como Sistema Comum de Arquivos da Internet. O sistema opera como um protocolo de rede da camada de aplicação usado principalmente para oferecer acesso compartilhado a arquivos, impressoras, portas seriais e outros tipos de comunicação entre nós em uma rede.
A maior parte do uso de SMB envolve computadores em execução Microsoft Windows, onde era conhecida como "Microsoft Windows Network" antes da introdução subsequente do Active Directory. Ele pode ser executado sobre as camadas de rede Session (e inferiores) de várias maneiras.
Por exemplo, no Windows, o SMB pode ser executado diretamente sobre TCP / IP sem a necessidade de NetBIOS sobre TCP / IP. Isso usará, como você apontou, a porta 445. Em outros sistemas, você encontrará serviços e aplicativos usando a porta 139. Isso significa que o SMB está sendo executado com o NetBIOS sobre TCP / IP.
Hackers mal-intencionados admitem que o Port 445 é vulnerável e tem muitas inseguranças. Um exemplo arrepiante do mau uso do Port 445 é a aparência relativamente silenciosa de Worms de NetBIOS. Esses worms lentamente, mas de uma maneira bem definida, varrem a Internet em busca de instâncias da porta 445, usam ferramentas como PsExec para se transferirem para o novo computador da vítima e redobrar seus esforços de escaneamento. É através deste método não muito conhecido, que “ Exércitos de Bot “, Contendo dezenas de milhares de máquinas comprometidas com worms do NetBIOS, são montadas e agora habitam a Internet.
Como lidar com a porta 445
Considerando os perigos acima, é de nosso interesse não expor a Porta 445 à Internet, mas como a Porta 135 do Windows, a Porta 445 está profundamente incorporada no Windows e é difícil de fechar com segurança. Dito isto, o seu encerramento é possível, no entanto, outros serviços dependentes, como DHCP (Dynamic Host Configuration Protocol), que é freqüentemente usado para obter automaticamente um endereço IP dos servidores DHCP usados por muitas corporações e ISPs, parará de funcionar.
Considerando todos os motivos de segurança descritos acima, muitos ISPs consideram necessário bloquear essa porta em nome de seus usuários. Isso acontece somente quando a porta 445 não está protegida pelo roteador NAT ou pelo firewall pessoal. Em tal situação, seu ISP provavelmente evitará que o tráfego da porta 445 chegue até você.
