web-dev-qa-db-ja.com

ポート139はまだ脆弱ですか?

NetBIOS の脆弱性はかなり以前から知られており、広く普及しているため、パッチはすでにリリースされています。では、この139ポートを開いても大丈夫ですか?

6
antreality

ポートは脆弱ではなく、単なるポートです。特定のポートでリッスンするサービスには、リモートで悪用可能な脆弱性が存在する可能性があります。または、特定のポートでリッスンするサービスの設定ミスにより、意図しない結果が生じる可能性があります。 NetBIOS/139を標的とした最後のリモートエクスプロイトは、Windows NT/2000の日であり、私の記憶では最高です。

ポート139は通常、Active Directoryでのディレクトリ複製、信頼、イベントログへのリモートアクセスなど、ファイル/プリンターの共有に使用されます。

つまり、インターネット上のどこかでそのポートが「悪い」と読んだだけで、またはインターネットで見つけた一般的な強化チェックリストに従っているために、ドメインコントローラーのポート139をブロックしただけの場合。 ADレプリケーションを強制終了します。一般的なビジネスネットワークで139をブロックすると、リモートコンピューターでほとんどのことを実行できなくなります(リモートでクライアント/サーバーを管理し、ソフトウェアをインストールし、プリンター、ファイルを共有します...)管理された環境では、コンピュータに何かをする必要があるときはいつでも、技術者を現場に派遣するのが好きです。一体、あなたは超安全でネットワークカードを完全に無効にし、フロッピーディスクを使ってビットを移動することができます。クロスサイトスクリプティングの脆弱性の可能性があるため、Apache Webサーバーのポート80を無効にすることができます。ポート1433をブロックして、SQLインジェクション攻撃のインスタンスを減らすことができます。 (大丈夫、私は今やめます;)

重要なのは、ネットワークで有効になっているサービスの目的と要件を理解し、それらに直面する脅威を理解し、適切な緩和策を理解することです。

ドメインコントローラーを使用して、ポート139(または他の多くのポート)へのアクセスをブロックまたはフィルタリングせずに、インターネットに接続するネットワーク接続に配置しますか?コンピューターでルーターフィルター接続やファイアウォールを有効にせずに、Windows MEとファイル/印刷共有が有効なホームコンピューターをケーブルモデムに直接接続しますか?もちろん違います。

この情報の大部分(セキュリティの決定の背後にある「理由」を含む)を網羅したすばらしい本は、スティーブライリーとジェスパーヨハンソンによる Windowsネットワークの保護:境界からデータへ です。

20
Sean Earp

それはかもしれません。問題は、何かが大丈夫かどうか誰も言うことができないことであり、現在知られているエクスプロイトがないことだけです。誰かが新しいものを見つけ、それを報告しなかった可能性があります。サーバーにパッチがない可能性があります。サーバーが正しく構成されていない可能性があり、穴が開いています。

これは単なるNetBIOSの問題ではなく、何でも問題です Apache[〜#〜] bind [〜#〜]Sendmail =、 Exchange 、ネットワークに接続されているものすべて。基本的な経験則は、必要でない限り、外部接続へのポートを開かないことです。

6
blowdart

139で何をリッスンしているかによって異なります。特定のポートの脆弱性は、攻撃者がそのポートを介して到達できるソフトウェアに完全に依存しています。

おそらくこの質問はどこからともなく出てくるので、このポートを開きたい理由はあるはずです。誰かがそれを使いたいのですよね?したがって、彼らが実行したいソフトウェアを見つけ、それがパッチレベルであることを確認し、既知の脆弱性を調査し、判断を下す必要があります。

複数のサーバーを保護するファイアウォールについて話している場合は、特定のサーバーへの139トラフィックのみを許可するルールを確認することもできます。

3
Dominic Cronin

(これはすでにカバーされている可能性があります。 1つの参照 これをチェックするためにNESSUSを使用する。)

ポート139へのその他の参照:

1
nik

「ドメインコントローラーを使用して、ポート139(または他の多くのポート)へのアクセスをブロックまたはフィルタリングせずに、インターネット接続ネットワーク接続に配置しますか?Windows MEとファイル/プリンター共有が有効なホームコンピューターを接続しますか?コンピューターでルーターフィルタリング接続やファイアウォールを有効にせずに、ケーブルモデムに直接接続しますか?もちろんそうではありません。」

答えはこれです:

  • ローカルの信頼できるネットワークインターフェイスのポートを開きます(Windowsファイル/プリンター共有サービスが提供されていない/サーバーに適用できない場合を除く)
  • インターネットに面したインターフェースのポートを閉じます(ファイアウォールの背後にある場合でも)

もちろん、Windowsサーバーのドメインコントローラーに座っていることを前提としているため、他の場合にこのポートを開くと、とにかくばかげている(とにかくその意図した用途のために!)。

このポートを使用するWindowsサービスは、有効なNICのデフォルトIPアドレスのポート139でのみリッスンし、他の割り当てられたIPではリッスンしないことに注意してください。

1
Ayporos

ポート139を直接インターネットに開かないようにアドバイスします。ファイアウォールで毎時間数十のポートスキャンを受信し、139が応答するかどうかを確認しています。インターネットに接続しているシステムで開く必要がある場合は、少なくともデフォルトでそのシステムへのトラフィックをブロックし、信頼できるホストのみを許可するか、または fail2ban のようなものをインストールして、潜在的なブルートフォース攻撃をブロックします。

0
nedm