Tout sur le pare-feu des ports SMB que vous devez savoir

Le protocole SMB permet la communication inter-processus. Ce protocole permet aux services et applications des systèmes en réseau d'interagir les uns avec les autres. En d'autres termes, on peut dire que SMB est l'un des langages courants que les systèmes utilisent pour se parler. Voici tout sur le pare-feu des ports SMB pour vous.

Comment fonctionne ce protocole SMB?

Dans les versions antérieures de Windows, le SMB s'exécutait sur l'architecture réseau NetBIOS supérieure. Microsoft a modifié SMB dans Windows 2000 pour fonctionner sur certains des meilleurs TCP, où il employait un port IP dédié. Dans les versions récentes de Windows, il continue d'utiliser le même port.

Microsoft a même fait des progrès vers SMB pour une meilleure sécurité et de meilleures performances. Avec SMB2, il a réduit toute la verbosité du protocole. D'un autre côté, SMB3 comprenait des améliorations et des performances pour un environnement virtualisé et une prise en charge de bout en bout et un cryptage fort.

D'ailleurs, ici, vous découvrirez tout Types de pare-feu, Windows Principes de base du pare-feu, et une comparaison complète de pare-feu avec état et sans état.

Dialectes du protocole SMB

Tout comme d'autres langues, les programmeurs informatiques ont produit divers dialectes SMB à utiliser à des fins diverses. Par exemple, CIFS (Common Internet File System) est l'implémentation SMB particulière qui permet le partage de fichiers. La plupart des gens considèrent CIFS comme un protocole différent au lieu de SMB, où en fait, ils utilisent tous les deux une architecture de base similaire.

Certaines des implémentations SMB importantes comprennent:

  • Samba: Il fait référence à une implémentation open source de Microsoft Active Directory. Cette implémentation permet aux systèmes non Windows d'interagir avec un système Windows.
  • CIFS: Il s'agit d'un protocole de partage d'incendie typique utilisé par les serveurs Windows. CIFS est également compatible avec les appareils NAS.
  • MoSMB: Cette implémentation est une PME propriétaire, qui a été introduite par Technologies Ryussi.
  • NQ: Il s'agit d'une autre implémentation SMB portable pour le partage de fichiers. Systèmes de visualisation développé cette implémentation SMB.
  • également: Il s'agit d'un protocole réseau multiprotocole reconnaissant l'identité pour le partage de fichiers. EMC acheté ce protocole en 2012.
  • Smoking SMB : il s'agit d'une autre implémentation SMB propriétaire, qui s'exécute dans l'espace utilisateur ou dans le noyau.

Maintenant, il est temps pour vous de connaître le pare-feu des ports SMB et d'autres choses sur les ports SMB. Commençons par parler des ports SMB 445 et 139.

Aussi, cliquez ici pour en savoir plus sur la version complète IDS VS. Pare-feu VS. IPS comparaison et le Règles du pare-feu Mikrotik.

Qu'entendez-vous par les ports SMB 445 et 139?

SMB est un protocole réseau pour partager des fichiers. Il nécessite des ports réseau SMB sur un serveur ou un ordinateur pour permettre la communication avec d'autres systèmes. Pour cela, il utilise des ports SMB, soit le port 445 ou 139.

  • Port 139: À l'origine, SMB fonctionnait sur NetBIOS avec le port 139. Ici, NetBIOS fait référence à une couche de transport plus ancienne, qui permet aux systèmes Windows d'interagir les uns avec les autres, partageant un réseau similaire.
  • Port 445: Les versions SMB ultérieures postérieures à Windows 2000 ont commencé à utiliser le port IP 445 sur les piles TCK supérieures. Avec TCP, il permet à SMB de fonctionner sur Internet.

Le port IP 139 est appelé techniquement comme 'NBT sur IP, "tandis que le port IP 445 est appelé"SMB sur IP". Ici, SMB fait référence à 'Blocs de messages du serveur. ' Dans le langage moderne, SMB est également appelé «Système de fichiers Internet commun. ' Il fonctionne comme le protocole réseau en couches d'application, qui est principalement utilisé pour fournir un accès partagé aux imprimantes, fichiers, ports série ou autres types de communications entre les nœuds du réseau.

La plupart des utilisations SMB impliquaient des systèmes fonctionnant sous Microsoft Windows. Ici, ce réseau est devenu connu comme 'Réseau Microsoft Windows'avant l'introduction conséquente d'Active Directory. Il s'exécute sur les couches réseau supérieures de la session de plusieurs manières. Par exemple, SMB s'exécute directement sur IP / TCP sur Windows sans l'exigence de NetBIOS sur IP / TCP. Dans ce cas, vous utiliserez le port IP 445. Sur d'autres ordinateurs, vous rencontrerez des applications et des services utilisant le port IP 139. Cela signifie que le pare-feu des ports SMB fonctionne avec NetBIOS sur IP / TCP.

NetBIOS fait référence au système de sortie d'entrée de base du réseau. Ce protocole logiciel permet aux ordinateurs de bureau, aux applications et aux ordinateurs d'un réseau local (LAN) d'interagir les uns avec les autres ou avec le matériel réseau. Il leur permet même de transmettre les données sur le réseau. Par exemple, les applications logicielles, qui s'exécutent sur les réseaux NetBIOS, s'identifient et se localisent via les noms d'utilisateur NetBIOS.

Les noms NetBIOS contiennent jusqu'à 16 caractères et sont généralement distincts du nom du système. Lorsqu'un client envoie une commande pour appeler l'autre (le serveur), deux applications commencent une conférence NetBIOS sur le port TCP 139.

Les attaquants malveillants admettent que le port IP 445 est sensible et présente diverses insécurités. Un exemple de mauvaise utilisation du port SMB est le relativement silencieux Vers NetBIOS'apparence. Lentement, ces vers scannent Internet de manière soignée tandis que le port utilise des outils comme PsExec pour se transférer dans un nouveau système de victimes. Après cela, les vers redoublent d'efforts de numérisation. De cette manière inconnue, l'énorme 'Armées de robots», des milliers et des milliers de vers NetBIOS ont concédé des machines, se sont assemblés et résident sur Internet.

PS: en savoir plus sur la création d'un Pare-feu Raspberry Pi et comment désactiver le pare-feu, aussi bien que importance du pare-feu.

Pourquoi les utilisateurs ont besoin du port SMB 139?

NetBIOS sur Internet ou sur le WAV est un risque de haute sécurité. Grâce à NetBIOS, toutes sortes d'informations telles que votre groupe de travail, votre système et les noms de domaine, ainsi que les détails du compte, sont accessibles. Ainsi, il est important de conserver NetBIOS sur le réseau préféré et de vous assurer qu'il ne quitte pas votre réseau.

Le pare-feu des ports SMB restreint toujours ce port en premier lieu par mesure de sécurité si les utilisateurs l'ont ouvert. Ce port 139 est utilisé pour le partage de fichiers et d'imprimantes. Cependant, il semble être le port le plus dangereux que vous trouverez sur Internet. C'est parce que le port laisse le disque dur de l'utilisateur exposé aux cybercriminels.

Une fois qu'un cybercriminel a trouvé un port IP 139 actif sur n'importe quel appareil, il exécute NBSTAT c'est un programme de diagnostic pour NetBIOS sur IP / TCP. Cette application est conçue principalement pour aider à résoudre les problèmes de résolution de noms associés à NetBIOS. Il fait une étape importante dans une épidémie appelée Empreinte de pas.

Avec la commande NBSTAT, les attaquants peuvent accéder à tout ou partie des données critiques associées à:

  1. Nom du système
  2. adresses IP
  3. Un enregistrement des noms d'utilisateur NetBIOS locaux
  4. Une liste de noms fixée par WINS
  5. Le contenu de la table de session ainsi que la destination des adresses IP

Parallèlement à ces détails, le cybercriminel prend toutes les informations importantes concernant le service, le système d'exploitation et les principales applications qui s'exécutent sur l'ordinateur. En dehors de cela, l'attaquant surveille les adresses IP privées que le WAN / LAN, que les ingénieurs de sécurité s'efforcent de garder derrière NAT. De plus, les ID utilisateur sont même inclus dans les listes proposées par l'exécution de NBSTAT.

Il permet aux attaquants d'accéder plus facilement au contenu des lecteurs ou répertoires du disque dur. Après cela, ils téléchargent et exécutent leurs programmes préférés en silence via certains programmes gratuits à l'insu du propriétaire du système.

Les utilisateurs qui utilisent un système à hébergement multiple peuvent désactiver NetBIOS sur toutes les cartes réseau ou sous les propriétés IP / TCP, Connexion à distance, qui n'est pas une unité du réseau local.

Découvrez également comment désactiver le pare-feu sur CentOS 7 et tout sur Analyseur de pare-feu AlgoSec ici.

Comment les utilisateurs peuvent-ils gérer le port IP 445?

Compte tenu des dangers susmentionnés, il est préférable que les utilisateurs n'exposent pas le port 445 à Internet. Cependant, le port 445 est profondément ancré dans Windows, tout comme le port 135. Ainsi, il devient difficile de le fermer en toute sécurité. Cela dit, il est tout à fait possible de le fermer; cependant, divers autres outils ou services dépendants comme Dynamic Host Configuration Protocol (DHCP), qui est souvent utilisé pour obtenir automatiquement les adresses IP des serveurs DHCP, qui est utilisé par la plupart des FAI et des sociétés cessera de fonctionner.

Au fait, cliquez ici pour l'intégralité Proxy contre pare-feu Comparaison.

Différentes façons de sécuriser les ports SMB

Garder les ports SMB du réseau ouverts pour permettre aux applications de fonctionner présente un risque pour la sécurité. Ainsi, les utilisateurs peuvent réfléchir à la manière dont ils peuvent protéger leurs réseaux et maintenir le fonctionnement des applications. Ici, nous avons proposé quelques options qui vous aideront à sécuriser les deux plus importants et les plus populaires pare-feu des ports SMB.

  1. Téléchargez un VPN pour protéger et crypter le trafic réseau.
  2. Autorisez la protection des terminaux ou le pare-feu des ports SMB pour protéger les ports contre les cybercriminels. De nombreuses solutions comprennent une liste noire pour empêcher la connexion des attaquants d'adresses IP familiers.
  3. Implémentez un VLAN pour isoler le trafic réseau interne.
  4. Utilisez des filtres d'adresse MAC pour empêcher les systèmes inconnus d'accéder au réseau. Cependant, cela nécessite une gestion substantielle pour maintenir la liste toujours maintenue.

Outre ces protections de réseau particulières mentionnées ci-dessus, les utilisateurs peuvent également mettre en œuvre une stratégie de sécurité centrée sur les données pour protéger leur ressource la plus importante, à savoir les magasins de données sur les partages de fichiers SMB.

C'est une tâche assez monumentale de comprendre qui peut tous accéder aux données sensibles via les partages SMB. Varonis suit les données et les droits d'accès. Il découvre même les données sensibles présentes sur les partages SMB. Il est essentiel de surveiller les données pour détecter les attaques progressives. De plus, il est important de protéger les données contre les violations.

Varonis vous montre où les données ne sont pas sécurisées sur les ports SMB. Il surveille même ces partages SMB pour un accès irrégulier et des cyberattaques imminentes. Avant de passer au pare-feu des ports SMB, il est préférable de consulter une démo pour voir comment Varonis suit CIFS sur EMC, NetApp, les partages Samba et Windows pour assurer la sécurité des données.