NetBIOS représente Système de base d'entrée-sortie réseau. C'est un protocole logiciel qui permet aux applications, aux PC et aux ordinateurs de bureau sur un réseau local (LAN) de communiquer avec le matériel réseau et de transmettre des données sur le réseau. Les applications logicielles s'exécutant sur un réseau NetBIOS se localisent et s'identifient mutuellement via leurs noms NetBIOS. Un nom NetBIOS comporte jusqu'à 16 caractères et est généralement distinct du nom de l'ordinateur. Deux applications démarrent une session NetBIOS quand l’un (le client) envoie une commande pour «appeler» un autre client (le serveur) sur Port TCP 139.
A quoi sert le port 139?
NetBIOS sur votre réseau WAN ou sur Internet, cependant, représente un risque énorme pour la sécurité. Toutes sortes d'informations, telles que les noms de domaine, de groupe de travail et de système, ainsi que les informations de compte peuvent être obtenues via NetBIOS. Il est donc essentiel de maintenir votre NetBIOS sur le réseau préféré et de s’assurer qu’il ne quitte jamais votre réseau.
Les pare-feu, par mesure de sécurité, bloquent toujours ce port en premier, si vous l’avez ouvert. Le port 139 est utilisé pour Partage de fichiers et d'imprimantes mais se trouve être le port le plus dangereux sur Internet. En effet, le disque dur d’un utilisateur est exposé aux pirates.
Une fois qu'un attaquant a localisé un port 139 actif sur un périphérique, il peut exécuter NBSTAT un outil de diagnostic pour NetBIOS sur TCP / IP, principalement conçu pour aider à résoudre les problèmes de résolution de noms NetBIOS. Cela marque une première étape importante d'une attaque - Empreinte de pas.
Avec la commande NBSTAT, l’attaquant peut obtenir tout ou partie des informations critiques liées à
- Une liste de noms NetBIOS locaux
- Nom de l'ordinateur
- Une liste de noms résolus par WINS
- Adresses IP
- Contenu de la table de session avec les adresses IP de destination
Avec les détails ci-dessus à portée de main, l'attaquant dispose de toutes les informations importantes sur le système d'exploitation, les services et les principales applications exécutées sur le système. En plus de cela, il possède également des adresses IP privées que les ingénieurs de réseau local / réseau étendu et de sécurité ont bien essayé de dissimuler derrière le NAT. De plus, les ID d’utilisateur sont également inclus dans les listes fournies par NBSTAT en cours d’exécution.
Cela facilite l'accès des pirates informatiques au contenu des répertoires ou des lecteurs de disque dur. Ils peuvent ensuite, en mode silencieux, télécharger et exécuter les programmes de leur choix via des outils gratuits, sans que le propriétaire de l’ordinateur en soit averti.
Si vous utilisez un ordinateur multi-hébergé, désactivez NetBIOS sur chaque carte réseau ou connectez-vous sous les propriétés TCP / IP, cela ne fait pas partie de votre réseau local.
Qu'est-ce qu'un port SMB?
Alors que le port 139 est techniquement appelé «NBT over IP», le port 445 est «SMB over IP». PME signifie « Blocs de messages du serveur Server Message Block en langage moderne est également appelé Système de fichiers Internet commun. Le système fonctionne comme un protocole réseau de couche application, principalement utilisé pour offrir un accès partagé aux fichiers, imprimantes, ports série et autres types de communication entre les nœuds d’un réseau.
La plupart des utilisations de SMB implique des ordinateurs en cours Microsoft Windows, où il était connu sous le nom de «réseau Microsoft Windows» avant l’introduction ultérieure d’Active Directory. Il peut s'exécuter par le dessus des couches réseau Session (et inférieure) de plusieurs manières.
Par exemple, sous Windows, SMB peut s'exécuter directement sur TCP / IP sans avoir besoin de NetBIOS sur TCP / IP. Comme vous l'avez indiqué, le port 445 sera utilisé. Sur d'autres systèmes, vous trouverez des services et des applications utilisant le port 139. Cela signifie que SMB s'exécute avec NetBIOS sur TCP / IP..
Les pirates malveillants admettent que le port 445 est vulnérable et comporte de nombreuses insécurités. Un exemple alarmant d’abus du port 445 est l’aspect relativement silencieux de Vers NetBIOS. Lentement mais de manière bien définie, ces vers analysent Internet à la recherche d’instances du port 445, utilisent des outils tels que PsExec de se transférer dans le nouvel ordinateur victime, puis de redoubler d'efforts en matière de numérisation. C’est par cette méthode peu connue, que l’énorme “ Armées Bot “, Contenant des dizaines de milliers de machines NetBIOS compromises, sont assemblés et habitent désormais Internet.
Comment traiter avec le port 445
Compte tenu des risques susmentionnés, il est dans notre intérêt de ne pas exposer le port 445 à Internet, mais comme le port Windows 135, le port 445 est profondément intégré à Windows et il est difficile de le fermer en toute sécurité. Cela dit, sa fermeture est possible, cependant, d’autres services dépendants tels que DHCP (Dynamic Host Configuration Protocol) fréquemment utilisé pour obtenir automatiquement une adresse IP des serveurs DHCP utilisés par de nombreuses entreprises et fournisseurs de services Internet, cessera de fonctionner.
Considérant toutes les raisons de sécurité décrites ci-dessus, de nombreux FAI estiment qu'il est nécessaire de bloquer ce port pour le compte de leurs utilisateurs. Cela se produit uniquement lorsque le port 445 n'est pas protégé par un routeur NAT ou un pare-feu personnel. Dans ce cas, votre fournisseur de services Internet peut probablement empêcher le trafic du port 445 de vous atteindre.
