NetBIOS tarkoittaa Verkon perustoimitulostusjärjestelmä. Se on ohjelmistoprotokolla, jonka avulla lähiverkon (LAN) sovellukset, tietokoneet ja pöytäkoneet voivat kommunikoida verkkolaitteiden kanssa ja lähettää tietoja verkon kautta. NetBIOS-verkossa toimivat ohjelmistosovellukset löytävät ja tunnistavat toisiaan NetBIOS-nimensä kautta. NetBIOS-nimi voi olla enintään 16 merkkiä pitkä ja yleensä tietokoneen nimen alapuolella. Kaksi sovellusta käynnistää NetBIOS-istunnon, kun yksi (asiakas) lähettää komennon "soittamaan" toinen asiakas (palvelin) yli TCP-portti 139.
Mikä on Port 139, jota käytetään
NetBIOS verkossa tai Internetin kautta, on kuitenkin valtava tietoturvariski. Kaikenlaiset tiedot, kuten verkkotunnuksesi, työryhmäsi ja järjestelmäsi nimet sekä tilitiedot, voidaan hankkia NetBIOSin avulla. Joten on tärkeää ylläpitää NetBIOSia ensisijaisessa verkossa ja varmistaa, ettei se koskaan jätä verkkoasi.
Palomuurit, kuten turvallisuusmittari, estävät tämän portin aina ensin, jos se avataan. Käytetään porttia 139 Tiedostojen ja tulostimien jakaminen mutta sattuu olemaan yhdeksi vaarallisimmaksi portiksi Internetissä. Tämä johtuu siitä, että se jättää hakkereille altistuvan käyttäjän kiintolevyn.
Kun hyökkääjä on asettanut aktiivisen portin 139 laitteeseen, hän voi ajaa NBSTAT joka on NetBIOS: n TCP / IP: n vianmääritystyökalu, joka on ensisijaisesti suunniteltu helpottamaan NetBIOS-nimeämisongelmien vianmääritystä. Tämä on tärkeä hyökkäyksen ensimmäinen vaihe - footprinting.
NBSTAT-komennon avulla hyökkääjä voi saada joitain tai kaikki tärkeitä tietoja
- Luettelo paikallisista NetBIOS-nimistä
- Tietokoneen nimi
- Luettelo WINSin ratkaisemista nimistä
- IP-osoitteita
- Session-taulukon sisältö kohde-IP-osoitteiden kanssa
Yllämainittujen tietojen mukaan hyökkääjällä on kaikki tärkeät tiedot järjestelmän toiminnasta, palveluista ja suurista sovelluksista. Näiden lisäksi hänellä on myös yksityiset IP-osoitteet, joita LAN / WAN ja tietoturva-insinöörit ovat yrittäneet kovasti piiloutua NATin takana. Käyttäjätunnukset on lisäksi sisällytetty NBSTAT-verkon tarjoamiin luetteloihin.
Tämä helpottaa hakkereiden etäkäyttöä kiintolevyjen hakemistojen tai asemien sisällöllä. He voivat sitten hiljaa ladata ja käyttää mitä tahansa valitsemaansa ohjelmaansa joitain freeware-työkaluja ilman, että tietokoneen omistaja tietää.
Jos käytät monikäyttöistä laitetta, poista NetBIOS käytöstä jokaisessa verkkokortissa tai TCP / IP-ominaisuuksien alapuolella oleva puhelinverkkoyhteys, joka ei ole osa paikallisverkkoa.
Mikä on SMB-portti
Vaikka portti 139 tunnetaan teknisesti nimellä "NBT over IP", portti 445 on "SMB over IP". SMB tarkoittaa ' Palvelinviestilohkot ’. Palvelinviestilohko nykykielellä tunnetaan myös nimellä Yhteinen Internet-tiedostojärjestelmä. Järjestelmä toimii sovelluskerroksen verkkoprotokollana, jota käytetään ensisijaisesti jakamaan yhteinen käyttöoikeus tiedostoihin, tulostimiin, sarjaportteihin ja muihin viestintäverkkoihin verkon solmujen välillä.
Suurin osa SMB: n käytöstä liittyy tietokoneiden suorittamiseen Microsoft Windows, jossa se tunnettiin nimellä "Microsoft Windows Network" ennen Active Directory -tuotteen käyttöönottoa. Se voi toimia Session (ja alempien) verkkokerrosten päälle useilla tavoilla.
Esimerkiksi Windowsissa SMB voi toimia suoraan TCP / IP: n kautta tarvitsematta NetBIOSia TCP / IP: n yli. Tämä tarkoittaa, kuten huomautat, portti 445. Muissa järjestelmissä on palveluita ja sovelluksia, jotka käyttävät porttia 139. Tämä tarkoittaa sitä, että SMB toimii NetBIOS: lla TCP / IP: n.
Haitalliset hakkerit myöntävät, että Port 445 on haavoittuva ja sillä on monia epävarmuustekijöitä. Yksi viileä esimerkki Port 445: n väärinkäytöstä on suhteellisen hiljainen ulkonäkö NetBIOS-matoja. Nämä matoja hitaasti mutta hyvin määritellyllä tavalla tarkastavat Internetin sataman 445 tapauksille, käyttävät esimerkiksi työkaluja PsExec siirtää itsensä uuteen uhri-tietokoneeseen ja sitten kaksinkertaistaa niiden skannaustyöt. Tämä ei ole kovin tunnettu menetelmä, massiivinen " Bot-armeijoita", Joka sisältää kymmeniä tuhansia NetBIOS-matoon joutuneita koneita, kootaan ja asuu nyt Internetissä.
Miten käsitellä satamaa 445
Edellä mainittujen vaarojen vuoksi on mielenkiintoista olla alttiina Port 445: lle Internetiin, mutta kuten Porttiportti 135, Port 445 on syvälle upotettu Windowsille ja sitä on vaikea sulkea turvallisesti. Se sanoi, että sen sulkeminen on mahdollista, mutta muut riippuvaiset palvelut, kuten DHCP (Dynamic Host Configuration Protocol), jota käytetään usein IP-osoitteen automaattiseen hankkimiseen monien yritysten ja palveluntarjoajien käyttämästä DHCP-palvelimesta, pysähtyy.
Kaikkien edellä mainittujen tietoturvasyhteyksien vuoksi monet Internet-palveluntarjoajat pitävät tarpeellisena estää tämän Portin käyttäjänsä puolesta. Tämä tapahtuu vain silloin, kun porttia 445 ei ole suojattu NAT-reitittimellä tai henkilökohtaisella palomuurilla. Tällaisessa tilanteessa Internet-palveluntarjoaja saattaa ehkä estää sataman 445 liikenteen pääsemästä sinuun.
