בלוג אבטחת מידע: הסבר מפורט על SMB,NetBIOS,WINS ומה שביניהם

שלום חברים,

מי לא מכיר את הפורטים הידועים לשימצה 445,137-139...
היום אני אנסה לגעת בפרטים נוספים ולעשות קצת סדר בצורת הגישה וההבנה שלהם.

פורט 445- פרוטוקול SMB:
פועל בשכבת היישום העליונה במודל ה OSI ומשמש לגישה משותפת לקבצים,מדפסות ועוד...
ידוע גם במערכות ההפעלה של מיקרוסופט כ"שכנים ברשת".
חשוב לדעת שיש להבדיל בין פרוטוקול ה SMB עצמו,שירותי הSMB הפועלים מעל הפרוטוקול, NetBIOS ובין "שכנים ברשת" הפרוטוקולים אשר בעיקר אך לא רק הם שירותי Datagram ישירות על תעבורת NetBios.

בשנת 1996 שינתה מיקרוסופט את שמו של הפרוטוקול ל־CIFS ‏(Common Internet File System), והוסיפה עוד תכונות, כולל תמיכה בקישורים סימבוליים וקישורים קשיחים (ריבוי מיקומים לקובץ), הגדילה את גודל הקובץ המקסימלי, וכן הוסיפה ניסיון ראשוני לתמוך בקישוריות ישירה על יציאת TCP מספר 445 בלי כל התוספות של NetBIOS. משתמש ב-DNS (אם קיים) לצורך התאמת שמות לכתובות IP.

אבטחה:
בעוד שפורטים 137-139 ידועים בהגה המקצועית כ "NBT over IP", פורט 445 ידוע כ "SMB over IP".
( SMB ידוע גם כ " Samba" ומשמש עבור "Server Message Blocks" ).
זה קשה לדמיין שמיקרוסופט יכולה לעשות משהו גרוע יותר מפורטים 137-139 ... אבל הם עשו!
אחת הפגיעות הגדולות ביותר מבחינת אבטחה הייתה שהאקרים יכלו לקבל גישה מרחוק לתכנים בספריית הדיסק הקשיח או בכוננים. החשיפה כברירת מחדל של פורט 445 אל האינטרנט בעידן Windows2000 (שבו גם הופיעה לראשונה היציאה 445) אפשרה להאקרים להתחבר למחשבים של משתמשים תמימים דרך האינטרנט ועם שימוש בכמה כלים חכמים ופשוטים שזמינים לכל כמו: PsExec מSysinternals הם יכלו להפעיל תוכניות לפי בחירתם בלי שבעל המחשב היה מודע לכך.
לאט לאט עקב בעיות האבטחה החמורות התאספו והחלו לאכלס את כל רחבי הרשת תולעי NetBIOS .

התמודדות עם פורט 445:
מיותר לציין שלא תרצו לחשוף את פורט 445 אל האינטרנט (ממש כמו יציאה 135 שבזה נדון בפעם אחרת).
היציאה 445 טבועה וחרוטה עמוק במערכות Windows וזה יכול להיות קשה ואפילו בלתי אפשרי לסגור אותו ברחבי ה LAN . כמובן ששירותי אחרים תלויים ביציאה 445 .
מהסיבות הבטחוניות שצויינו לעיל, יציאה 445 גורמת לבעיות רבות כל כך שספקי האינטרנט לוקחים את העניינים לידיים וחוסמים עבור המשתמשים את היציאה החוצה אל האינטרנט.

NetBIOS פורטים 137-139:

Network Basic Input/Output System

1. NETBIOS המקורי(ידוע גם כ- NetBEUI) - זהו פרוטקול שכלל אינו קשור ל-TCP/IP (הוא בכלל לא פרוטוקול תקשורת) ורץ ישירות על כרטיס הרשת. כבר המון זמן (החל מ-WIN98...) הוא אינו מותקן בברירת המחדל. הפרוטוקול הזה אינו ניתן לניתוב ואינו יעיל לרשתות של מעל 10 מחשבים.

2. NETBIOS OVER TCP/IP - התאמה של הפרוטוקול לסביבה מודרנית יותר, משתמש בשרת WINS (אם קיים) לצורך התאמת שמות לכתובות IP.
3. CIFS - פרוטוקול חדש שהופיע ב-WINDOWS 2000 כדי להפטר מהבלגאן של NETBIOS ולהחליף אותו כליל. משתמש ב-DNS (אם קיים) לצורך התאמת שמות לכתובות IP.

:To disable NetBIOS over TCP/IP support

From the Network and Dial-up Connections icon in Control Panel , select Local Area Connection and right-click Properties .

On the General tab, click Internet Protocol (TCP/IP) in the list of components, and click the Properties button.

Click the Advanced button.

Click the WINS tab. Click Disable NetBIOS over TCP/IP .

מערכות Windows 2000 ולאחריהן המשיכו לתמוך ביציאת NetBIOS המקורית אך מיקרוסופט העבירה את ה
NetBIOS services לפורט 445 ובאופן לא מפתיע יצרה את בעיות האבטחה של הדור הבא.
NetBios מסתמך על כמה פרוטוקולים כדי שיוכל לפעול כהלכה והם:
1. SMB
2. RPC

3. NETBIOS

ההבדלים בין קובץ HOSTS לקובץ LMHOSTS:

ראשית עלינו לדעת ש2 הקבצים הנ"ל משמשים לקשר בין כתובת IP לכתובת שמית .
ה HOSTS נועד לשימוש בכלים של ( PING, FTP, and TELNET ) בעוד שקובץ ה- LMHOSTS נועד לשימוש ניהול ה-LAN.
אם אתה לא מצליח לשוח PING לשם מחשב אז אתה צריך לבדוק את קובץ ה HOSTS במחשב
ואם אתה לא מצליח להגיע מחשב עם NET VIEW לכתובת IP אז אתה צריך לבדוק את קובץ ה LMHOSTS.
ההבדל הגדול הוא ש LMHOSTS לא יודע לתרגם IP של מחשב שנמצא ב Subnet אחר.

מהו שרת WINS?
התיאור הכי טוב לשאלה הזאת הוא: WINS is to NetBIOS names what DNS is to domain names.

WINS תומך Network clients של מערכות Windows .

הוא משתמש ב distributed database שמתעדכן אוטומטית עם שמות המחשבים המעודכנים ועם כתובות ה IP שמשויכות להן .

DNS היא מערכת אלטרנטיבית שמתיימרת להחליף את WINS, אבל אם אנחנו לא מעוניינים להיכנס issues מורכבים אז עדיף להשאיר את ה'INS פעיל ב50 השנים הקרובות.