Cos'è una porta SMB? A cosa servono la porta 445 e la porta 139?

NetBIOS è l' acronimo di Network Basic Input Output System . È un protocollo software che consente ad applicazioni, PC e desktop su una rete locale (LAN) di comunicare con l'hardware di rete e di trasmettere dati attraverso la rete. Le applicazioni software eseguite su una rete NetBIOS si individuano e si identificano a vicenda tramite i rispettivi nomi NetBIOS. Un nome NetBIOS è lungo fino a 16 caratteri e di solito è separato dal nome del computer. Due applicazioni avviano una sessione NetBIOS quando una (il client) invia un comando per "chiamare" un altro client (il server) sulla porta TCP 139 .

Porta SMB 445139

A cosa serve la porta 139

NetBIOS sulla tua WAN o su Internet, tuttavia, rappresenta un enorme rischio per la sicurezza. Tramite NetBIOS è possibile ottenere tutti i tipi di informazioni, come il dominio, il gruppo di lavoro e i nomi di sistema, nonché le informazioni sull'account. Quindi, è essenziale mantenere il tuo NetBIOS sulla rete preferita e assicurarti che non lasci mai la tua rete.

I firewall, come misura di sicurezza, bloccano sempre prima questa porta, se è aperta. La porta 139 viene utilizzata per la condivisione di file e stampanti, ma sembra essere la porta più pericolosa su Internet. Questo è così perché lascia il disco rigido di un utente esposto agli hacker.

Una volta che un utente malintenzionato ha individuato una porta 139 attiva su un dispositivo, può eseguire NBSTAT, uno strumento diagnostico per NetBIOS su TCP / IP, progettato principalmente per aiutare a risolvere i problemi di risoluzione dei nomi NetBIOS. Questo segna un importante primo passo di un attacco: il footprinting .

Utilizzando il comando NBSTAT, l'aggressore può ottenere alcune o tutte le informazioni critiche relative a

  1. Un elenco di nomi NetBIOS locali
  2. Nome del computer
  3. Un elenco di nomi risolti da WINS
  4. Indirizzi IP
  5. Contenuto della tabella della sessione con gli indirizzi IP di destinazione

Con i dettagli di cui sopra a portata di mano, l'aggressore dispone di tutte le informazioni importanti sul sistema operativo, i servizi e le principali applicazioni in esecuzione sul sistema. Oltre a questi, ha anche indirizzi IP privati ​​che la LAN / WAN e gli ingegneri della sicurezza hanno cercato di nascondere dietro NAT. Inoltre, gli ID utente sono inclusi anche negli elenchi forniti eseguendo NBSTAT.

Ciò rende più facile per gli hacker ottenere l'accesso remoto ai contenuti delle directory o delle unità del disco rigido. Possono quindi caricare ed eseguire silenziosamente qualsiasi programma di loro scelta tramite alcuni strumenti freeware senza che il proprietario del computer se ne accorga.

Se si utilizza una macchina multihomed, disabilitare NetBIOS su ogni scheda di rete o connessione remota nelle proprietà TCP / IP, che non fa parte della rete locale.

Leggi : Come disabilitare NetBIOS su TCP / IP.

Cos'è una porta SMB

Mentre la porta 139 è tecnicamente nota come "NBT over IP", la porta 445 è "SMB over IP". SMB sta per " Server Message Blocks ". Server Message Block in linguaggio moderno è anche noto come Common Internet File System . Il sistema funziona come un protocollo di rete a livello di applicazione utilizzato principalmente per offrire accesso condiviso a file, stampanti, porte seriali e altri tipi di comunicazioni tra i nodi su una rete.

La maggior parte dell'utilizzo di SMB coinvolge computer che eseguono Microsoft Windows , dove era noto come "Rete Microsoft Windows" prima della successiva introduzione di Active Directory. Può essere eseguito sopra i livelli di rete Session (e inferiori) in diversi modi.

Ad esempio, su Windows, SMB può essere eseguito direttamente su TCP / IP senza la necessità di NetBIOS su TCP / IP. Questo userà, come fai notare, la porta 445. Su altri sistemi, troverai servizi e applicazioni che usano la porta 139. Ciò significa che SMB è in esecuzione con NetBIOS su TCP / IP .

Gli hacker dannosi ammettono che la porta 445 è vulnerabile e ha molte insicurezze. Un esempio agghiacciante di uso improprio della porta 445 è l'aspetto relativamente silenzioso dei worm NetBIOS . Questi worm lentamente ma in modo ben definito scansionano Internet per le istanze della porta 445, utilizzano strumenti come PsExec per trasferirsi nel nuovo computer vittima, quindi raddoppiano i loro sforzi di scansione. È attraverso questo metodo poco conosciuto che massicci " Bot Armies ", contenenti decine di migliaia di macchine compromesse da worm NetBIOS, vengono assemblati e ora popolano Internet.

Leggi : come inoltrare le porte?

Come gestire la porta 445

Considerando i pericoli di cui sopra, è nel nostro interesse non esporre la porta 445 a Internet ma, come la porta 135 di Windows, la porta 445 è profondamente integrata in Windows ed è difficile da chiudere in sicurezza. Detto questo, la sua chiusura è possibile, tuttavia, altri servizi dipendenti come DHCP (Dynamic Host Configuration Protocol) che viene spesso utilizzato per ottenere automaticamente un indirizzo IP dai server DHCP utilizzati da molte aziende e ISP, smetteranno di funzionare.

Considerando tutti i motivi di sicurezza sopra descritti, molti ISP ritengono necessario bloccare questa porta per conto dei propri utenti. Ciò accade solo quando la porta 445 non è protetta dal router NAT o dal firewall personale. In una situazione del genere, il tuo ISP potrebbe probabilmente impedire al traffico della porta 445 di raggiungerti.

Porta SMB 445139