A porta 139 ainda está vulnerável?

Question

A porta 139 ainda está vulnerável?

#1 resposta do (21 votos)
#2 resposta do (7 votos)
#3 resposta do (3 votos)
#4 resposta do (1 votos)
#5 resposta do (1 votos)
#6 resposta do (0 votos)

5

Como a vulnerabilidade NetBIOS é bastante conhecida há muito tempo e amplamente popularizada, os patches já foram lançados. Então, está abrindo essa porta 139 agora?

networking security netbios

por Peter Mortensen 29.03.2010 / 12:01

6 respostas

Tags networking security netbios

Notificação por e-mail sobre cada conexão SSH com o servidor Linux Existe uma razão para usar o DNS interno sobre 8.8.8.8?

score 21 · Answer 1

As portas não são vulneráveis, são apenas portas. Os serviços que atendem em portas específicas podem ter vulnerabilidades exploráveis remotamente ou a configuração incorreta de serviços que atendem em portas específicas pode levar a conseqüências não intencionais. Os últimos exploits remotos que alvejaram o NetBIOS / 139 estavam no Windows NT / 2000 com o melhor de minhas lembranças.

A porta 139 é normalmente usada para compartilhamento de arquivos / impressoras, incluindo replicação de diretório com o Active Directory, relações de confiança, acesso remoto a logs de eventos, etc.

Então ... se você bloquear a porta 139 em um controlador de domínio só porque leu em algum lugar na Internet que essa porta é "ruim", ou porque você está seguindo uma lista de verificação genérica que encontrou na Internet; você vai matar a replicação do AD. Se você bloquear 139 em uma rede comercial típica, perderá a capacidade de fazer muito de qualquer coisa em um computador remoto (gerenciar remotamente clientes / servidores, instalar software, compartilhar impressoras, arquivos ...) Não é bom em um ambiente gerenciado, a menos Você gosta de enviar um técnico no local sempre que precisar fazer algo em um computador. Heck, você poderia ser SUPER seguro e apenas desabilitar as placas de rede completamente, e usar disquetes para mover os bits ao redor. Você pode desabilitar a porta 80 no seu Apache Web Server devido à possibilidade de vulnerabilidades de script entre sites. Você pode bloquear a porta 1433 para reduzir instâncias de ataques de injeção de SQL. (tudo bem, vou sair agora;)

A chave é entender a finalidade e os requisitos dos serviços ativados em sua rede, entender as ameaças que eles enfrentam e entender as atenuações adequadas.

Você deseja usar os controladores de domínio e colocá-los em uma conexão de rede com acesso à Internet sem bloquear / filtrar o acesso à porta 139 (ou a muitas outras portas)? Você deseja conectar um computador doméstico ao Windows ME e o compartilhamento de arquivos / impressão ativado diretamente no seu modem a cabo sem ter um roteador de filtragem de conexões ou um firewall ativado em seu computador? Claro que não.

Um ótimo livro que cobre grande parte dessas informações (incluindo o "Por que" está por trás das decisões de segurança que você deve tomar) é Protect Sua Rede Windows: Do Perímetro aos Dados de Steve Riley e Jesper Johansson.

score 7 · Answer 2

pode ser . O problema é que ninguém pode dizer se algo está OK, apenas que não há explorações conhecidas atualmente. Alguém pode ter encontrado um novo e não relatado. Você pode estar faltando um patch no seu servidor. O servidor pode estar configurado incorretamente e abriu um furo.

Este não é apenas um problema de NetBIOS, é para qualquer coisa, seja Apache , BIND , Sendmail , Exchange , qualquer coisa que esteja conectada a uma rede. A regra básica é não abrir portas para conexões externas, a menos que você precise.

score 3 · Answer 3

Depende do que você escutou no 139. A vulnerabilidade de uma determinada porta depende inteiramente do software que um atacante pode acessar através dessa porta.

Presumivelmente, essa pergunta não surge do nada, então você deve ter um motivo para querer abrir essa porta. Alguém quer usar isso, certo? Então você precisa descobrir qual software eles querem rodar, descobrir seu nível de patch, investigar vulnerabilidades conhecidas e fazer um julgamento.

Se você está falando de um firewall que protege mais de um servidor, também é possível observar regras que permitem apenas o tráfego para um servidor específico.

score 1 · Answer 4

(Isso já pode ser coberto. Uma referência ao uso do NESSUS para verificar isso.)

Algumas outras referências à porta 139:

Relatório atual da SANS na porta 139 e dados recentes de ataque
Centro de Segurança de Rede do ISS

score 1 · Answer 5

"Você quer levar seus controladores de domínio e colocá-los em uma conexão de rede com acesso à Internet sem bloquear / filtrar o acesso à porta 139 (ou muitas outras portas)? Deseja conectar um computador doméstico ao Windows ME e compartilhamento de impressão ativado diretamente no seu modem a cabo sem ter um roteador de filtragem de conexões ou um firewall ativado no seu computador? Claro que não. "

A resposta seria esta:

Abra a porta na interface de rede confiável local (a menos que os serviços de compartilhamento de arquivos / impressoras do Windows não sejam fornecidos / aplicáveis ao seu servidor)
Feche a porta na interface da Internet (mesmo que por trás do firewall)

Suponhamos que você esteja em um controlador de domínio do Windows, é claro, pois qualquer outra coisa que abrir essa porta seria ridícula (para o uso pretendido!)

Observe que o serviço do Windows que usa essa porta só ouvirá na porta 139 do endereço IP padrão da NIC ativada, e não em qualquer outro IP atribuído.

score 0 · Answer 6

Aconselho a abertura da porta 139 diretamente para a Internet. Recebemos dezenas de scans de portas em nosso firewall a cada hora, procurando ver se o 139 é responsivo. Se você precisar abri-lo em um sistema voltado para a Internet, pelo menos bloqueie o tráfego para ele por padrão e permita somente hosts confiáveis, e / ou instale algo como fail2ban para bloquear possíveis ataques de força bruta.