מהו יציאת SMB? לשם מה משתמשים יציאה 445 ונמל 139?

NetBIOS מייצג מערכת פלט קלט בסיסית ברשת . זהו פרוטוקול תוכנה המאפשר ליישומים, מחשבים שולחניים ושולחנות עבודה ברשת מקומית (LAN) לתקשר עם חומרת הרשת ולהעביר נתונים ברחבי הרשת. יישומי תוכנה הפועלים ברשת NetBIOS מאתרים ומזהים זה את זה באמצעות שמות NetBIOS שלהם. אורכו של שם NetBIOS הוא עד 16 תווים ובדרך כלל, נפרד משם המחשב. שתי יישומים מתחילים הפעלה של NetBIOS כאשר אחד (הלקוח) שולח פקודה "להתקשר" ללקוח אחר (השרת) דרך יציאת TCP 139 .

נמל SMB 445 139

למה משמש פורט 139

NetBIOS ב- WAN שלך או באינטרנט, לעומת זאת, מהווה סיכון ביטחוני עצום. ניתן להשיג כל מיני מידע, כגון הדומיין, קבוצת העבודה ושמות המערכת שלך, כמו גם פרטי חשבון באמצעות NetBIOS. לכן, חשוב לשמור על NetBIOS שלך ברשת המועדפת ולהבטיח שהיא לעולם לא תצא מהרשת שלך.

חומות אש, כאמצעי בטיחות, תמיד חוסמות את היציאה הזו תחילה, אם פתחת אותה. יציאה 139 משמשת לשיתוף קבצים ומדפסות אך במקרה הינה הנמל המסוכן ביותר באינטרנט. זאת מכיוון שהוא משאיר את הדיסק הקשיח של המשתמש חשוף להאקרים.

לאחר שתוקף איתר יציאה 139 פעילה במכשיר, הוא יכול להריץ את NBSTAT כלי אבחון עבור NetBIOS באמצעות TCP / IP, שנועד בעיקר לסייע בפתרון בעיות ברזולוציית שמות NetBIOS. זה מסמן שלב ראשון חשוב של התקפה - Footprinting .

באמצעות הפקודה NBSTAT, התוקף יכול להשיג חלק מהמידע הקריטי או כולו הקשור אליו

  1. רשימה של שמות מקומיים של NetBIOS
  2. שם המחשב
  3. רשימת שמות שנפתרה על ידי WINS
  4. כתובות IP
  5. תוכן טבלת ההפעלות עם כתובות ה- IP של היעד

עם הפרטים לעיל בהישג יד, לתוקף יש את כל המידע החשוב על מערכת ההפעלה, השירותים והיישומים העיקריים הפועלים במערכת. מלבד אלה, יש לו גם כתובות IP פרטיות ש LAN / WAN ומהנדסי האבטחה התאמצו להסתיר מאחורי NAT. יתר על כן, מזהי משתמש כלולים גם ברשימות שמספקים הפעלת NBSTAT.

זה מקל על האקרים להשיג גישה מרחוק לתוכן של ספריות הדיסק הקשיח או הכוננים. לאחר מכן הם יכולים להעלות ולהפעיל בשקט את כל התוכניות על פי בחירתם באמצעות כמה כלי תוכנה חופשית מבלי שבעל המחשב ידע על כך.

אם אתה משתמש במכונה מרובת בתים, השבת את NetBIOS בכל כרטיס רשת, או חיבור חיוג תחת מאפייני TCP / IP, שאינו חלק מהרשת המקומית שלך.

קרא : כיצד להשבית את NetBIOS באמצעות TCP / IP.

מהו נמל SMB

בעוד שנמל 139 מכונה טכנית 'NBT over IP', יציאה 445 היא 'SMB over IP'. SMB מייצג ' חסימות הודעות שרתים '. חסימת הודעות שרת בשפה מודרנית מכונה גם מערכת קבצי אינטרנט משותפת . המערכת פועלת כפרוטוקול רשת שכבת יישום המשמש בעיקר להצעת גישה משותפת לקבצים, מדפסות, יציאות טוריות וסוגים אחרים של תקשורת בין צמתים ברשת.

השימוש העיקרי ב- SMB כולל מחשבים שבהם פועלת Microsoft Windows , שם היא נקראה 'רשת Windows של מיקרוסופט' לפני כניסת Active Directory לאחר מכן. זה יכול לרוץ על גבי שכבות הרשת של Session (ומטה) במספר דרכים.

לדוגמה, ב- Windows, SMB יכול לרוץ ישירות מעל TCP / IP ללא צורך ב- NetBIOS מעל TCP / IP. זה ישתמש, כפי שציינת, ביציאה 445. במערכות אחרות תמצא שירותים ויישומים המשתמשים ביציאה 139. פירוש הדבר ש- SMB פועל עם NetBIOS דרך TCP / IP .

האקרים זדוניים מודים כי נמל 445 פגיע ויש בו חוסר ביטחון רב. אחת הדוגמאות המצמררות לשימוש לרעה בנמל 445 היא המראה השקט יחסית של תולעי NetBIOS . תולעים אלה סורקות לאט אך באופן מוגדר היטב את האינטרנט לאיתור מקרים של יציאה 445, משתמשים בכלים כמו PsExec כדי להעביר את עצמם למחשב הקורבן החדש, ואז להכפיל את מאמצי הסריקה שלהם. באמצעות שיטה לא ידועה זו, מורכבים " צבאות הבוטים " המסיביים , המכילים עשרות אלפי מכונות שנפרצו מתולעי NetBIOS, וכעת מאכלסים את האינטרנט.

קרא : כיצד להעביר יציאות?

כיצד להתמודד עם נמל 445

בהתחשב בסכנות לעיל, האינטרס שלנו לא לחשוף את יציאת 445 לאינטרנט, אך בדומה ליציאת Windows 135, נמל 445 מוטמע עמוק בחלונות וקשה לסגור אותו בבטחה. עם זאת, סגירתו אפשרית, עם זאת, שירותים תלויים אחרים כגון DHCP (Dynamic Host Configuration Protocol) המשמש לעתים קרובות לקבלת כתובת IP אוטומטית משרתי DHCP המשמשים תאגידים וספקי אינטרנט רבים, יפסיקו לתפקד.

בהתחשב בכל הסיבות הביטחוניות שתוארו לעיל, ספקי שירותי אינטרנט רבים מרגישים צורך לחסום יציאה זו בשם המשתמשים שלהם. זה קורה רק כאשר לא נמצא כי יציאה 445 מוגנת על ידי נתב NAT או חומת אש אישית. במצב כזה, ספק שירותי האינטרנט שלך עשוי למנוע את תנועת נמל 445 להגיע אליך.

נמל SMB 445 139