¿Qué son los puertos SMB, Puerto 139 y Puerto 445?

Las organizaciones están incrementando el uso de diversas soluciones para atender las necesidades de comunicación a través de su infraestructura. Dado que los sistemas de archivos son una parte integral de la colaboración, este artículo profundizará en uno de los protocolos más utilizados y necesarios para muchos sistemas. Aprenderemos más sobre el protocolo SMB, Puerto 139, Puerto 445, cómo funciona, los riesgos asociados con él y los pasos de remediación para proporcionar un canal de comunicación más seguro.

¿Qué es el puerto SMB?

El puerto SMB (Server Message Block) es un puerto de red utilizado principalmente para compartir archivos y recursos a través de una red informática. SMB opera sobre el puerto TCP 445 y permite el acceso compartido a archivos, impresoras y puertos serie entre dispositivos en una red.

Además, su función principal de compartir recursos permite que SMB se utilice para los siguientes casos de uso:

• Involucrando ranuras de correo (mecanismos de comunicación entre procesos)
• Tuberías con nombre (un método para que los procesos se comuniquen ya sea en la misma máquina o a través de una red).

¿Qué son el Puerto 139 y el Puerto 445?

Para que el protocolo SMB funcione correctamente, se requieren puertos de red para comunicarse con otros sistemas. SMB necesita que el puerto 139 o el puerto 445 sea un puerto abierto.

Puerto 139

Originalmente, SMB se ejecutaba en el puerto 139 como un protocolo de capa de aplicación para que las computadoras Windows se comunicaran entre sí en la misma red. Se ejecutaba sobre NetBIOS a través de TCP/IP y está siendo reemplazado por el puerto 445 en entornos modernos.

Puerto 445

El puerto 445 es utilizado por las versiones más recientes de SMB ya que Windows 2000 lo adoptó para su uso en comunicación directa TCP/IP. Generalmente preferido sobre el puerto 139, también permite la comunicación a través de diferentes redes para cosas como el intercambio de archivos basado en internet.

¿Cómo funciona el protocolo SMB?

Comunicación Cliente-Servidor

SMB es conocido como un protocolo de petición-respuesta. Utiliza el enfoque de una relación cliente-servidor, donde el cliente realiza una petición específica y el servidor responde según lo solicitado. Algunos ejemplos de uso práctico hoy en día son situaciones en las que se solicitan recursos de archivos o se necesita compartir impresoras. SMB también se utiliza para otros fines, como buzones de correo y situaciones de tuberías con nombre.

Desarrollo histórico

Históricamente, SMB se originó con IBM y fue diseñado en 1983 para el acceso a archivos DOS a través de redes. No fue hasta 1990 que Microsoft fusionó el protocolo SMB con su producto LAN Manager. A partir de ahí, la maduración continua del protocolo SMB se manifestó en instancias como la introducción de CIFS, así como mejoras significativas en eficiencia, rendimiento y seguridad, como se describe a través de las mejoras mencionadas de SMB 2 y SMB 3.

Dialectos del protocolo SMB

Con una presencia creciente de implementaciones de SMB en la industria, los requisitos de la red evolucionaron para tener diferentes demandas de SMB. Esto llevó a la aparición de diferentes dialectos del protocolo SMB para atender a diferentes entornos. Dependiendo de la necesidad y el uso, se podrían implementar diferentes dialectos para una variedad de propósitos.

Variaciones del dialecto SMB

Aquí hay una lista de dialectos SMB populares junto con sus usos:

• CIFS (Sistema de Archivos de Internet Común): fue un dialecto desarrollado por Microsoft que debutó en Windows 95 y estaba diseñado para conexiones de red sobre servidores remotos. Este dialecto (Puerto CIFS) permitía a los clientes conectarse a recursos compartidos de archivos e impresoras remotos como si fueran accedidos localmente.
• Samba: Samba es un dialecto de código abierto (puerto Samba) que permite que las máquinas Linux/Unix se comuniquen con dispositivos Windows.
• NQ: fue desarrollado por Visuality Systems que trae el protocolo SMB a plataformas que no son Windows. Especialmente prevalente en dispositivos como impresoras y dispositivos de network devices del hogar.
• Tuxera SMB y MoSMB: Se crearon también dialectos como métodos propietarios utilizando el protocolo SMB para características específicas, como el uso compartido de archivos empresariales y la autenticación avanzada.

Riesgos de seguridad asociados con puertos SMB abiertos

Los puertos como los que se utilizan con el protocolo SMB son necesarios para comunicarse desde dentro y a través de diferentes redes. Aunque su uso no es peligroso en sí mismo, los puertos abiertos pueden ser utilizados y explotados con fines maliciosos.

Tener puertos excesivamente expuestos puede llevar a las siguientes vulnerabilidades, tales como:

• Un puerto con capacidad de propagación automática
• Ataques de Man-In-The-Middle,
• Suplantación de NetBIOS,

Estudio de caso: WannaCry Ransomware:

Un acontecimiento reciente fue el ataque del ransomware WannaCry que se dirigió a clientes de Windows que ejecutaban una versión desactualizada de SMB. Se instaló una infección de gusano en la máquina objetivo, cifrando los archivos del usuario a cambio de un rescate. Además de eso, el sistema infectado también comenzaría a buscar otras máquinas a través del protocolo SMB v1, y si otros sistemas estaban utilizando esos puertos abiertos, serían susceptibles de autoinstalar el ransomware en esa máquina y continuar su propagación.

Mientras que WannaCry creó estragos y dolor para muchas empresas y redes, sus desastrosos resultados podrían haber sido mucho menos impactantes si los sistemas hubieran sido actualizados con medidas de seguridad al día.

Mejores prácticas para asegurar los puertos SMB 139 y 445

Dado que los puertos SMB pueden ser objetivos, aquí hay algunas mejores prácticas a implementar para protegerse contra varios ataques:

Habilite Firewall y Endpoint Protection

Habilitar estos dispositivos de seguridad de red puede proteger estos puertos de amenazas, así como proporcionar servicios de lista negra contra direcciones IP maliciosas conocidas.

Utilice VPNs

Al utilizar VPNs, el tráfico de red puede ser encriptado y protegido contra actores maliciosos.

Crear VLANs

Crear VLANs virtuales puede utilizarse para aislar el tráfico interno y limitar la superficie de ataque.

Implemente el filtrado de direcciones MAC:

Estos filtros pueden evitar que sistemas desconocidos accedan e infiltren su red interna.

Implementar cambios en la configuración del sistema

Se pueden realizar los siguientes cambios para fortalecer su seguridad contra ataques SMB:

Deshabilitar NetBIOS sobre TCP/IP

• Seleccione Inicio, apunte a Configuración y luego seleccione Conexión de red y marcado.
• Haga clic derecho en Conexión de área local y luego seleccione Propiedades.
• Seleccione Protocolo de Internet (TCP/IP) y luego seleccione Propiedades.
• Seleccione Avanzado.
• Seleccione la pestaña WINS y luego seleccione Deshabilitar NetBIOS sobre TCP/IP.

Comandos para monitorear el estado del puerto

Para determinar si NetBIOS está habilitado en una computadora con Windows, ejecute un comando net config redirector o net config server para ver si algún dispositivo ‘NetBT_Tcpip’ está vinculado al adaptador de red.

Conclusión

El protocolo SMB ha demostrado ser un método valioso e indispensable para acceder a diferentes recursos de la red. Aunque ha permitido cosas como la compartición de archivos y la conectividad, se deben tomar medidas de seguridad para garantizar el acceso autorizado dentro de la red. Asegurar los puertos y mantenerse actualizado con los protocolos son un par de ejemplos de cómo aumentar su perfil de seguridad en la red moderna.

En conjunto con la seguridad de la red, Netwrix puede cumplir con su plan de seguridad en la capa de datos. Con Netwrix solutions, podemos ayudar a su organización a ver quién tiene acceso a sus datos y la actividad que los rodea. La monitorización es una parte crítica para detectar ataques y protegerse contra violaciones.