NetBIOS sta per Sistema di output di input di base della rete. È un protocollo software che consente ad applicazioni, PC e desktop su una rete locale (LAN) di comunicare con l'hardware di rete e di trasmettere dati attraverso la rete. Le applicazioni software che girano su una rete NetBIOS si localizzano e si identificano tramite i loro nomi NetBIOS. Un nome NetBIOS ha una lunghezza massima di 16 caratteri e solitamente è separato dal nome del computer. Due applicazioni avviano una sessione NetBIOS quando una (il client) invia un comando per "chiamare" un altro client (il server) Porta TCP 139.
Per cosa viene utilizzata la porta 139
NetBIOS sulla tua WAN o su Internet, tuttavia, è un enorme rischio per la sicurezza. Tutti i tipi di informazioni, come il dominio, il gruppo di lavoro e i nomi di sistema, nonché le informazioni sull'account possono essere ottenute tramite NetBIOS. Pertanto, è essenziale mantenere il NetBIOS sulla rete preferita e assicurarsi che non lasci mai la rete.
I firewall, come misura di sicurezza, bloccano sempre prima questa porta, se l'hai aperta. La porta 139 è utilizzata per Condivisione di file e stampanti ma sembra essere la porta più pericolosa su Internet. Questo perché lascia il disco rigido di un utente esposto agli hacker.
Una volta che un utente malintenzionato ha individuato una porta 139 attiva su un dispositivo, può farlo funzionare NBSTAT uno strumento diagnostico per NetBIOS su TCP / IP, progettato principalmente per aiutare a risolvere i problemi di risoluzione dei nomi NetBIOS. Questo segna un importante primo passo di un attacco - footprinting.
Usando il comando NBSTAT, l'attaccante può ottenere alcune o tutte le informazioni critiche relative a
- Un elenco di nomi NetBIOS locali
- Nome del computer
- Un elenco di nomi risolti da WINS
- Indirizzi IP
- Contenuto della tabella di sessione con gli indirizzi IP di destinazione
Con i dettagli di cui sopra, l'utente malintenzionato ha tutte le informazioni importanti sul sistema operativo, i servizi e le principali applicazioni in esecuzione sul sistema. Oltre a questi, ha anche indirizzi IP privati che gli ingegneri della LAN / WAN e della sicurezza hanno cercato di nascondere dietro NAT. Inoltre, gli ID utente sono inclusi anche negli elenchi forniti eseguendo NBSTAT.
Ciò rende più facile agli hacker ottenere l'accesso remoto ai contenuti delle directory o delle unità del disco rigido. Possono quindi caricare ed eseguire silenziosamente qualsiasi programma a loro scelta tramite alcuni strumenti freeware senza che il proprietario del computer ne sia mai venuto a conoscenza.
Se si utilizza un computer multi-homed, disabilitare NetBIOS su ogni scheda di rete o Connessione remota sotto le proprietà TCP / IP, che non fa parte della rete locale.
Che cos'è una porta SMB
Mentre la porta 139 è conosciuta tecnicamente come 'NBT su IP', la porta 445 è 'SMB su IP'. SMB sta per ' Server Message Blocks ’. Server Message Block in linguaggio moderno è anche conosciuto come File system Internet comune. Il sistema funziona come un protocollo di rete a livello di applicazione utilizzato principalmente per offrire accesso condiviso a file, stampanti, porte seriali e altri tipi di comunicazioni tra i nodi su una rete.
La maggior parte dell'utilizzo di SMB riguarda i computer in esecuzione Microsoft Windows, dove era conosciuto come 'Microsoft Windows Network' prima della successiva introduzione di Active Directory. Può essere eseguito sopra i livelli di rete di sessione (e inferiore) in diversi modi.
Ad esempio, su Windows, SMB può essere eseguito direttamente su TCP / IP senza la necessità di NetBIOS su TCP / IP. Ciò userà, come si fa notare, la porta 445. Su altri sistemi, troverete servizi e applicazioni che utilizzano la porta 139. Ciò significa che SMB è in esecuzione con NetBIOS su TCP / IP.
Gli hacker malintenzionati ammettono che Port 445 è vulnerabile e ha molte insicurezze. Un esempio agghiacciante di uso improprio di Port 445 è l'aspetto relativamente silenzioso di Worm NetBIOS. Questi worm lentamente ma in modo ben definito scansionano Internet per le istanze della porta 445, usano strumenti come PsExec trasferirsi nel nuovo computer vittima, quindi raddoppiare gli sforzi di scansione. È attraverso questo metodo non molto conosciuto, quello massiccio " Bot Army", Che contiene decine di migliaia di worm viziati da NetBIOS, sono assemblati e ora vivono su Internet.
Come gestire la porta 445
Considerando i pericoli sopra esposti, è nel nostro interesse non esporre la porta 445 a Internet, ma come la porta Windows 135, la porta 445 è profondamente integrata in Windows ed è difficile chiuderla in sicurezza. Detto questo, la sua chiusura è possibile, tuttavia, altri servizi dipendenti come DHCP (Dynamic Host Configuration Protocol) che viene spesso utilizzato per ottenere automaticamente un indirizzo IP dai server DHCP utilizzati da molte aziende e ISP, cesserà di funzionare.
Considerando tutti i motivi di sicurezza sopra descritti, molti ISP ritengono necessario bloccare questo Porto per conto dei propri utenti. Ciò accade solo quando la porta 445 non viene protetta dal router NAT o dal firewall personale. In una situazione del genere, il tuo ISP potrebbe probabilmente impedire al traffico della porta 445 di raggiungerti.
