Was ist ein SMB-Port? Wofür werden Port 445 und Port 139 verwendet?

NetBIOS steht für Network Basic Input Output System . Es ist ein Softwareprotokoll, mit dem Anwendungen, PCs und Desktops in einem lokalen Netzwerk (LAN) mit der Netzwerkhardware kommunizieren und Daten über das Netzwerk übertragen können. Softwareanwendungen, die in einem NetBIOS-Netzwerk ausgeführt werden, suchen und identifizieren sich über ihre NetBIOS-Namen. Ein NetBIOS-Name ist bis zu 16 Zeichen lang und normalerweise vom Computernamen getrennt. Zwei Anwendungen starten eine NetBIOS-Sitzung, wenn eine (der Client) einen Befehl sendet, um einen anderen Client (den Server) über TCP-Port 139 anzurufen .

SMB-Port 445 139

Wofür wird Port 139 verwendet?

NetBIOS in Ihrem WAN oder über das Internet ist jedoch ein enormes Sicherheitsrisiko. Alle Arten von Informationen, wie z. B. Ihre Domain-, Arbeitsgruppen- und Systemnamen sowie Kontoinformationen, können über NetBIOS abgerufen werden. Daher ist es wichtig, dass Sie Ihr NetBIOS im bevorzugten Netzwerk verwalten und sicherstellen, dass es Ihr Netzwerk niemals verlässt.

Firewalls blockieren diesen Port aus Sicherheitsgründen immer zuerst, wenn Sie ihn geöffnet haben. Der Port 139 wird für die Datei- und Druckerfreigabe verwendet , ist jedoch der gefährlichste Port im Internet. Dies liegt daran, dass die Festplatte eines Benutzers Hackern ausgesetzt ist.

Sobald ein Angreifer einen aktiven Port 139 auf einem Gerät gefunden hat, kann er NBSTAT ausführen, ein Diagnosetool für NetBIOS über TCP / IP, das in erster Linie zur Behebung von Problemen bei der Auflösung von NetBIOS-Namen dient. Dies ist ein wichtiger erster Schritt eines Angriffs - Footprinting .

Mit dem Befehl NBSTAT kann der Angreifer einige oder alle kritischen Informationen abrufen

  1. Eine Liste lokaler NetBIOS-Namen
  2. Computername
  3. Eine Liste der von WINS aufgelösten Namen
  4. IP-Adressen
  5. Inhalt der Sitzungstabelle mit den Ziel-IP-Adressen

Mit den oben genannten Details verfügt der Angreifer über alle wichtigen Informationen zum Betriebssystem, zu den Diensten und zu den wichtigsten Anwendungen, die auf dem System ausgeführt werden. Daneben verfügt er auch über private IP-Adressen, die das LAN / WAN und die Sicherheitsingenieure versucht haben, sich hinter NAT zu verstecken. Darüber hinaus sind Benutzer-IDs auch in den Listen enthalten, die durch Ausführen von NBSTAT bereitgestellt werden.

Dies erleichtert Hackern den Remotezugriff auf den Inhalt von Festplattenverzeichnissen oder Laufwerken. Sie können dann alle Programme ihrer Wahl stillschweigend über einige Freeware-Tools hochladen und ausführen, ohne dass der Computerbesitzer dies jemals bemerkt.

Wenn Sie einen Multi-Homed-Computer verwenden, deaktivieren Sie NetBIOS auf jeder Netzwerkkarte oder die DFÜ-Verbindung unter den TCP / IP-Eigenschaften, die nicht Teil Ihres lokalen Netzwerks sind.

Lesen Sie : So deaktivieren Sie NetBIOS über TCP / IP.

Was ist ein SMB-Port?

Während Port 139 technisch als "NBT over IP" bekannt ist, ist Port 445 "SMB over IP". SMB steht für ' Server Message Blocks '. Server Message Block in moderner Sprache wird auch als Common Internet File System bezeichnet . Das System arbeitet als Netzwerkprotokoll auf Anwendungsebene, das hauptsächlich für den gemeinsamen Zugriff auf Dateien, Drucker, serielle Schnittstellen und andere Arten der Kommunikation zwischen Knoten in einem Netzwerk verwendet wird.

SMB wird hauptsächlich von Computern verwendet, auf denen Microsoft Windows ausgeführt wird , wo es vor der anschließenden Einführung von Active Directory als "Microsoft Windows-Netzwerk" bezeichnet wurde. Es kann auf verschiedene Arten auf der Netzwerkschicht der Sitzung (und darunter) ausgeführt werden.

Unter Windows kann SMB beispielsweise direkt über TCP / IP ausgeführt werden, ohne dass NetBIOS über TCP / IP erforderlich ist. Wie Sie bereits erwähnt haben, wird hierfür Port 445 verwendet. Auf anderen Systemen finden Sie Dienste und Anwendungen, die Port 139 verwenden. Dies bedeutet, dass SMB mit NetBIOS über TCP / IP ausgeführt wird .

Böswillige Hacker geben zu, dass Port 445 anfällig ist und viele Unsicherheiten aufweist. Ein erschreckendes Beispiel für den Missbrauch von Port 445 ist das relativ stille Auftreten von NetBIOS-Würmern . Diese Würmer scannen langsam, aber genau definiert das Internet nach Instanzen von Port 445, verwenden Tools wie PsExec , um sich auf den neuen Computer des Opfers zu übertragen, und verdoppeln dann ihre Scanbemühungen . Durch diese nicht sehr bekannte Methode werden massive „ Bot-Armeen “ zusammengebaut, die Zehntausende von NetBIOS-Wurm-gefährdeten Maschinen enthalten und nun im Internet leben.

Lesen Sie : Wie werden Ports weitergeleitet?

Umgang mit Port 445

In Anbetracht der oben genannten Gefahren liegt es in unserem Interesse, Port 445 nicht dem Internet auszusetzen, aber wie Windows Port 135 ist Port 445 tief in Windows eingebettet und schwer sicher zu schließen. Die Schließung ist jedoch möglich. Andere abhängige Dienste wie DHCP (Dynamic Host Configuration Protocol), das häufig zum automatischen Abrufen einer IP-Adresse von den von vielen Unternehmen und ISPs verwendeten DHCP-Servern verwendet wird, funktionieren jedoch nicht mehr.

In Anbetracht aller oben beschriebenen Sicherheitsgründe halten es viele ISPs für notwendig, diesen Port im Namen ihrer Benutzer zu blockieren. Dies geschieht nur, wenn festgestellt wird, dass Port 445 nicht durch einen NAT-Router oder eine persönliche Firewall geschützt ist. In einer solchen Situation kann Ihr ISP möglicherweise verhindern, dass der Verkehr von Port 445 Sie erreicht.

SMB-Port 445 139