Поскольку NetBIOS уязвимость довольно давно известна и широко популяризируется, уже выпущены патчи. Итак, теперь нормально открыть этот порт 139?
Порты не уязвимы, это просто порты. Службы, которые прослушивают определенные порты, могут иметь уязвимости, которые можно использовать удаленно, или неправильная конфигурация служб, которые прослушивают определенные порты, может привести к непредвиденным последствиям. Насколько я помню, последние удаленные эксплойты, нацеленные на NetBIOS / 139, были еще во времена Windows NT / 2000.
Порт 139 обычно используется для совместного использования файлов / принтеров, включая репликацию каталогов с Active Directory, доверительные отношения, удаленный доступ к журналам событий и т. Д.
Итак ... если вы просто заблокируете порт 139 на Контроллере домена только потому, что где-то в Интернете прочитали, что этот порт "плохой", или потому, что вы следуете некоторому общему контрольному списку повышения безопасности, который вы нашли в Интернете; убьешь репликацию AD. Если вы заблокируете 139 в типичной бизнес-сети, вы потеряете возможность делать большую часть чего-либо на удаленном компьютере (удаленно управлять клиентами / серверами, устанавливать программное обеспечение, совместно использовать принтеры, файлы ...). Не годится в управляемой среде, если только вам нравится отправлять техника на место в любое время, когда вам нужно что-то сделать с компьютером. Черт возьми, вы могли бы быть СУПЕР безопасным и просто отключить сетевые карты и использовать дискеты для перемещения битов. Вы можете отключить порт 80 на своем веб-сервере Apache из-за возможности уязвимостей межсайтового скриптинга. Вы можете заблокировать порт 1433, чтобы уменьшить количество атак с использованием SQL-инъекций. (ладно, сейчас уйду;)
Ключевым моментом является понимание цели и требований служб, включенных в вашей сети, понимание угроз, с которыми они сталкиваются, и понимание соответствующих мер по их снижению.
Вы хотите взять контроллеры домена и подключить их к сетевому соединению с выходом в Интернет без блокировки / фильтрации доступа к порту 139 (или многим другим портам)? Вы хотите подключить домашний компьютер с Windows ME и разрешить общий доступ к файлам / принтерам непосредственно к кабельному модему без включения маршрутизатора, фильтрующего соединения или брандмауэра на вашем компьютере? Конечно нет.
Отличная книга, которая охватывает большую часть этой информации (в том числе «Почему», стоящие за решениями безопасности, которые вы должны принять) - Защитите свою сеть Windows: от периметра к данным Стива Райли и Джеспера Йоханссона.
Это возможно. Проблема в том, что никто не может сказать, в порядке ли что-то, просто нет известных на данный момент эксплойтов. Кто-то мог найти новую и не сообщил об этом. Возможно, на вашем сервере отсутствует патч. Сервер может быть настроен неправильно и открыла дыру.
Это не просто проблема NetBIOS, это ни к чему, будь то Apache, BIND, Отправить почту, Обмен, все, что подключено к сети. Основное эмпирическое правило - не открывать порты для внешних подключений без необходимости.
Это скорее зависит от того, что вы слушаете на 139. Уязвимость данного порта полностью зависит от программного обеспечения, к которому злоумышленник может получить доступ через этот порт.
По-видимому, этот вопрос не возникает ниоткуда, поэтому у вас должна быть причина, по которой вы хотите открыть этот порт. Кто-то хочет его использовать, верно? Поэтому вам нужно выяснить, какое программное обеспечение они хотят запускать, узнать уровень исправления, исследовать известные уязвимости и вынести решение.
Если вы говорите о брандмауэре, который защищает более одного сервера, вы также можете посмотреть правила, которые разрешают только 139 трафика к определенному серверу.
(Это может быть уже покрыто. Одна ссылка использовать NESSUS для проверки этого.)
Некоторые другие ссылки на порт 139:
«Вы хотите взять контроллеры домена и подключить их к сетевому подключению с выходом в Интернет без блокировки / фильтрации доступа к порту 139 (или многим другим портам)? Хотите подключить домашний компьютер с Windows ME и включенным общим доступом к файлам / принтерам прямо в кабельный модем без включения маршрутизатора, фильтрующего соединения или брандмауэра на вашем компьютере? Конечно, нет ».
Ответ будет такой:
Это при условии, что вы, конечно, сидите на контроллере домена Windows Server, потому что все остальное открытие этого порта было бы нелепым (в любом случае для его предполагаемого использования!).
Обратите внимание, что служба Windows, которая использует этот порт, будет прослушивать только порт 139 IP-адреса по умолчанию включенной сетевой карты, а не любой другой назначенный IP-адрес.
Я бы посоветовал не открывать порт 139 напрямую в Интернет. Каждый час мы получаем десятки сканирований портов на нашем брандмауэре, чтобы убедиться, что 139 отвечает. Если вам необходимо открыть его в системе с выходом в Интернет, по крайней мере, заблокируйте трафик к нему по умолчанию и разрешите только те хосты, которым вы доверяете, и / или установите что-то вроде fail2ban чтобы заблокировать потенциальные атаки методом перебора.