O que é uma porta SMB? Para que são usadas as portas 445 e 139?

NetBIOS significa Network Basic Input Output System . É um protocolo de software que permite que aplicativos, PCs e desktops em uma rede local (LAN) se comuniquem com o hardware da rede e transmitam dados pela rede. Os aplicativos de software executados em uma rede NetBIOS localizam e se identificam por meio de seus nomes NetBIOS. Um nome NetBIOS tem até 16 caracteres e geralmente é separado do nome do computador. Dois aplicativos iniciam uma sessão NetBIOS quando um (o cliente) envia um comando para “chamar” outro cliente (o servidor) pela porta TCP 139 .

Porta SMB 445 139

Para que é usada a porta 139

NetBIOS em sua WAN ou pela Internet, entretanto, é um enorme risco de segurança. Todos os tipos de informações, como seu domínio, grupo de trabalho e nomes de sistema, bem como informações de conta, podem ser obtidas via NetBIOS. Portanto, é essencial manter seu NetBIOS na rede preferencial e garantir que ele nunca saia de sua rede.

Os firewalls, como medida de segurança, sempre bloqueiam essa porta primeiro, se ela estiver aberta. A porta 139 é usada para compartilhamento de arquivos e impressoras, mas é a porta mais perigosa da Internet. Isso porque deixa o disco rígido de um usuário exposto aos hackers.

Assim que o invasor localizar uma porta 139 ativa em um dispositivo, ele pode executar o NBSTAT, uma ferramenta de diagnóstico para NetBIOS sobre TCP / IP, projetada principalmente para ajudar a solucionar problemas de resolução de nomes NetBIOS. Isso marca uma primeira etapa importante de um ataque - pegada .

Usando o comando NBSTAT, o invasor pode obter algumas ou todas as informações críticas relacionadas a

  1. Uma lista de nomes NetBIOS locais
  2. Nome do computador
  3. Uma lista de nomes resolvidos por WINS
  4. Endereços IP
  5. Conteúdo da tabela de sessão com os endereços IP de destino

Com os detalhes acima em mãos, o invasor tem todas as informações importantes sobre o sistema operacional, os serviços e os principais aplicativos em execução no sistema. Além desses, ele também tem endereços IP privados que a LAN / WAN e os engenheiros de segurança tentaram ocultar por trás do NAT. Além disso, IDs de usuário também estão incluídos nas listas fornecidas pela execução do NBSTAT.

Isso torna mais fácil para os hackers obterem acesso remoto ao conteúdo dos diretórios ou unidades do disco rígido. Eles podem então, silenciosamente, carregar e executar qualquer programa de sua escolha por meio de algumas ferramentas freeware, sem que o proprietário do computador saiba.

Se você estiver usando uma máquina com várias bases, desative o NetBIOS em cada placa de rede ou a Conexão dial-up nas propriedades TCP / IP, que não faça parte da sua rede local.

Leia : Como desativar o NetBIOS sobre TCP / IP.

O que é uma porta SMB

Enquanto a porta 139 é conhecida tecnicamente como 'NBT sobre IP', a porta 445 é 'SMB sobre IP'. SMB significa ' Blocos de mensagens do servidor '. O Server Message Block na linguagem moderna também é conhecido como Common Internet File System . O sistema opera como um protocolo de rede de camada de aplicativo usado principalmente para oferecer acesso compartilhado a arquivos, impressoras, portas seriais e outros tipos de comunicação entre nós em uma rede.

A maior parte do uso de SMB envolve computadores que executam o Microsoft Windows , onde era conhecido como 'Rede Microsoft Windows' antes da introdução subsequente do Active Directory. Ele pode ser executado no topo das camadas de rede Session (e inferiores) de várias maneiras.

Por exemplo, no Windows, o SMB pode ser executado diretamente sobre TCP / IP sem a necessidade de NetBIOS sobre TCP / IP. Isso usará, como você apontou, a porta 445. Em outros sistemas, você encontrará serviços e aplicativos usando a porta 139. Isso significa que o SMB está sendo executado com NetBIOS sobre TCP / IP .

Hackers mal-intencionados admitem que a porta 445 é vulnerável e tem muitas inseguranças. Um exemplo assustador de mau uso da porta 445 é a aparência relativamente silenciosa de worms NetBIOS . Esses worms fazem a varredura lenta, mas bem definida, da Internet em busca de instâncias da porta 445, usam ferramentas como o PsExec para se transferirem para o novo computador da vítima e redobram seus esforços de varredura. É por meio desse método não muito conhecido que enormes “ Exércitos de robôs ”, contendo dezenas de milhares de máquinas comprometidas por worm NetBIOS, são montados e agora habitam a Internet.

Leia : Como encaminhar portas?

Como lidar com a porta 445

Considerando os perigos acima, é nosso interesse não expor a porta 445 à Internet, mas, como a porta 135 do Windows, a porta 445 está profundamente embutida no Windows e é difícil de fechar com segurança. Posto isto, o seu encerramento é possível, no entanto, outros serviços dependentes como o DHCP (Dynamic Host Configuration Protocol) que é frequentemente utilizado para obter automaticamente um endereço IP dos servidores DHCP utilizados por muitas empresas e ISPs, deixarão de funcionar.

Considerando todos os motivos de segurança descritos acima, muitos ISPs consideram necessário bloquear esta porta em nome de seus usuários. Isso acontece apenas quando a porta 445 não está protegida pelo roteador NAT ou firewall pessoal. Em tal situação, seu ISP provavelmente pode impedir que o tráfego da porta 445 chegue até você.

Porta SMB 445 139