Wat is een SMB-poort? Waar worden poort 445 en poort 139 voor gebruikt?

NetBIOS staat voor Network Basic Input Output System . Het is een softwareprotocol waarmee toepassingen, pc's en desktops op een lokaal netwerk (LAN) kunnen communiceren met netwerkhardware en gegevens over het netwerk kunnen verzenden. Softwaretoepassingen die op een NetBIOS-netwerk worden uitgevoerd, lokaliseren en identificeren elkaar via hun NetBIOS-namen. Een NetBIOS-naam is maximaal 16 tekens lang en staat gewoonlijk los van de computernaam. Twee applicaties starten een NetBIOS-sessie wanneer de ene (de client) een commando verzendt om een ​​andere client (de server) via TCP-poort 139 te “bellen” .

SMB-poort 445139

Waar wordt poort 139 voor gebruikt

NetBIOS op uw WAN of via internet vormt echter een enorm beveiligingsrisico. Allerlei informatie, zoals uw domein-, werkgroep- en systeemnamen, evenals accountinformatie kan worden verkregen via NetBIOS. Het is dus essentieel om uw NetBIOS op het voorkeursnetwerk te houden en ervoor te zorgen dat het uw netwerk nooit verlaat.

Firewalls, als veiligheidsmaatregel, blokkeren deze poort altijd eerst als u deze heeft geopend. Poort 139 wordt gebruikt voor het delen van bestanden en printers, maar is toevallig de gevaarlijkste poort op internet. Dit komt doordat de harde schijf van een gebruiker wordt blootgesteld aan hackers.

Zodra een aanvaller een actieve poort 139 op een apparaat heeft gevonden, kan hij NBSTAT, een diagnostisch hulpprogramma voor NetBIOS via TCP / IP, uitvoeren, dat voornamelijk is ontworpen om problemen met NetBIOS-naamomzetting op te lossen. Dit markeert een belangrijke eerste stap van een aanval: footprinting .

Met behulp van de NBSTAT-opdracht kan de aanvaller sommige of alle kritieke informatie met betrekking tot

  1. Een lijst met lokale NetBIOS-namen
  2. Computer naam
  3. Een lijst met namen die zijn omgezet door WINS
  4. IP-adressen
  5. Inhoud van de sessietabel met de bestemmings-IP-adressen

Met de bovenstaande details bij de hand heeft de aanvaller alle belangrijke informatie over het besturingssysteem, de services en de belangrijkste applicaties die op het systeem worden uitgevoerd. Naast deze heeft hij ook privé IP-adressen die de LAN / WAN- en beveiligingsingenieurs hebben geprobeerd te verbergen achter NAT. Bovendien zijn gebruikers-ID's ook opgenomen in de lijsten die worden geleverd door NBSTAT uit te voeren.

Dit maakt het voor hackers gemakkelijker om op afstand toegang te krijgen tot de inhoud van mappen of stations op de harde schijf. Ze kunnen dan stilletjes alle programma's van hun keuze uploaden en uitvoeren via een aantal freeware-tools zonder dat de computerbezitter daar ooit van op de hoogte is.

Als u een multi-homed machine gebruikt, schakel dan NetBIOS uit op elke netwerkkaart, of inbelverbinding onder de TCP / IP-eigenschappen, die geen deel uitmaken van uw lokale netwerk.

Lezen : NetBIOS uitschakelen via TCP / IP.

Wat is een SMB-poort

Terwijl poort 139 technisch bekend staat als 'NBT over IP', is poort 445 'SMB over IP'. SMB staat voor ' Server Message Blocks '. Server Message Block in moderne taal is ook bekend als Common Internet File System . Het systeem werkt als een netwerkprotocol op de toepassingslaag dat voornamelijk wordt gebruikt voor het bieden van gedeelde toegang tot bestanden, printers, seriële poorten en andere soorten communicatie tussen knooppunten op een netwerk.

Het meeste gebruik van SMB betreft computers met Microsoft Windows , waar het bekend stond als 'Microsoft Windows Network' vóór de daaropvolgende introductie van Active Directory. Het kan op meerdere manieren bovenop de sessie (en lagere) netwerklagen worden uitgevoerd.

Op Windows kan SMB bijvoorbeeld rechtstreeks via TCP / IP worden uitgevoerd zonder dat NetBIOS via TCP / IP nodig is. Dit zal, zoals je aangeeft, poort 445 gebruiken. Op andere systemen zul je services en applicaties vinden die poort 139 gebruiken. Dit betekent dat SMB draait met NetBIOS via TCP / IP .

Kwaadwillende hackers geven toe dat Port 445 kwetsbaar is en veel onzekerheden kent. Een huiveringwekkend voorbeeld van misbruik van poort 445 is het relatief stille uiterlijk van NetBIOS-wormen . Deze wormen scannen langzaam maar op een goed gedefinieerde manier het internet op instanties van poort 445, gebruiken tools zoals PsExec om zichzelf over te brengen naar de nieuwe slachtoffercomputer en verdubbelen vervolgens hun scaninspanningen . Het is door deze weinig bekende methode dat enorme " Bot Armies ", met tienduizenden NetBIOS-worm gecompromitteerde machines, worden geassembleerd en nu het internet bewonen.

Lezen : Hoe poorten doorsturen?

Hoe om te gaan met poort 445

Gezien de bovenstaande gevaren is het in ons belang om poort 445 niet bloot te stellen aan internet, maar net als Windows Port 135 is poort 445 diep ingebed in Windows en moeilijk veilig af te sluiten. Dat gezegd hebbende, de sluiting is mogelijk, maar andere afhankelijke services, zoals DHCP (Dynamic Host Configuration Protocol), dat vaak wordt gebruikt voor het automatisch verkrijgen van een IP-adres van de DHCP-servers die door veel bedrijven en ISP's worden gebruikt, werken niet meer.

Gezien alle hierboven beschreven veiligheidsredenen, vinden veel ISP's het noodzakelijk om deze poort namens hun gebruikers te blokkeren. Dit gebeurt alleen als poort 445 niet wordt beschermd door een NAT-router of persoonlijke firewall. In een dergelijke situatie kan uw internetprovider waarschijnlijk verhinderen dat poort 445-verkeer u bereikt.

SMB-poort 445139