Cosa sono le porte SMB, la porta 139 e la porta 445?

Le organizzazioni stanno aumentando l'uso di varie soluzioni per affrontare le esigenze di comunicazione attraverso la loro infrastruttura. Poiché i sistemi di file sono una parte integrante della collaborazione, questo articolo esaminerà uno dei protocolli più utilizzati e necessari per molti sistemi. Impareremo di più sul protocollo SMB, Porta 139, Porta 445, come funziona, i rischi associati ad esso e le misure di rimedio per fornire un canale di comunicazione più sicuro.

Cos'è la porta SMB?

La porta SMB (Server Message Block) è una porta di rete utilizzata principalmente per la condivisione di file e risorse attraverso una rete informatica. SMB opera sulla porta TCP 445 e consente l'accesso condiviso a file, stampanti e porte seriali tra dispositivi su una rete.

Inoltre, la sua funzione principale di condivisione delle risorse, permette a SMB di essere utilizzato per i seguenti casi d'uso:

• Coinvolgendo slot di posta (meccanismi di comunicazione tra processi)
• Named pipes (un metodo per la comunicazione tra processi sulla stessa macchina o attraverso una rete).

Che cosa sono la Porta 139 e la Porta 445?

Affinché il protocollo SMB funzioni correttamente, sono necessarie porte di rete per comunicare con altri sistemi. SMB richiede che la porta 139 o la porta 445 sia una porta aperta.

Porta 139

In origine, SMB funzionava sulla porta 139 come protocollo di livello applicativo affinché i computer Windows potessero comunicare tra loro sulla stessa rete. Era eseguito su NetBIOS su TCP/IP ed è stato superato dalla porta 445 negli ambienti moderni.

Porta 445

La porta 445 è utilizzata dalle versioni più recenti di SMB poiché Windows 2000 l'ha adottata per la comunicazione diretta TCP/IP. Generalmente preferita rispetto alla porta 139, permette anche la comunicazione attraverso diverse reti per attività come la condivisione di file basata su internet.

Come funziona il protocollo SMB?

Comunicazione Client-Server

SMB è noto come un protocollo di richiesta e risposta. Utilizza l'approccio di una relazione client-server, dove il client effettua una richiesta specifica e il server risponde come richiesto. Alcuni esempi di utilizzo pratico oggi sono situazioni in cui si richiedono risorse di file o è necessario condividere stampanti. SMB è utilizzato anche per altri scopi, come slot di posta e situazioni di named pipe.

Sviluppo storico

Storicamente, SMB è stato originato da IBM ed è stato progettato nel 1983 per l'accesso ai file DOS tramite reti. Non fu fino al 1990 che Microsoft fuse il protocollo SMB con il suo prodotto LAN Manager. Da lì, la continua maturazione del protocollo SMB si è manifestata in istanze come l'introduzione di CIFS, così come miglioramenti significativi in termini di efficienza, prestazioni e sicurezza, come descritto attraverso gli aggiornamenti precedentemente menzionati di SMB 2 e SMB 3.

Dialetti del protocollo SMB

Con un crescente utilizzo delle implementazioni SMB in tutto il settore, i requisiti di rete si sono evoluti per avere diverse esigenze di SMB. Questo ha portato all'emergere di diversi dialetti del protocollo SMB per soddisfare diversi ambienti. A seconda della necessità e dell'uso, diversi dialetti potevano essere implementati per una varietà di scopi.

Variazioni del dialetto SMB

Ecco un elenco di dialetti SMB popolari insieme ai loro utilizzi:

• CIFS (Common Internet File System): era un dialetto sviluppato da Microsoft debuttato in Windows 95 che era progettato per connessioni di rete su server remoti. Questo dialetto (CIFS Port) permetteva ai client di connettersi a condivisioni remote di file e stampanti come se fossero accessibili localmente.
• Samba: Samba è un dialetto open source (porta Samba) che consente alle macchine Linux/Unix di comunicare con dispositivi Windows.
• NQ: è stato sviluppato da Visuality Systems per portare il protocollo SMB su piattaforme non-Windows. Particolarmente diffuso in dispositivi come stampanti e dispositivi di rete domesticinetwork devices.
• Tuxera SMB e MoSMB: Sono stati creati anche dialetti come metodi proprietari utilizzando il protocollo SMB per funzionalità specifiche, come la condivisione di file aziendali e l'autenticazione avanzata.

Rischi per la sicurezza associati alle porte SMB aperte

Le porte come quelle utilizzate con il protocollo SMB sono necessarie per comunicare all'interno e attraverso diverse reti. Sebbene il loro utilizzo non sia di per sé pericoloso, le porte aperte possono essere utilizzate e sfruttate per scopi malevoli.

Avere porte esposte in eccesso può portare alle seguenti vulnerabilità, come:

• Una porta Wormable
• Attacchi Man-In-The-Middle,
• Spoofing NetBIOS,

Studio di caso: WannaCry Ransomware:

Un recente evento è stato l'attacco ransomware WannaCry che ha preso di mira client Windows in esecuzione su una versione obsoleta di SMB. Un'infezione da worm è stata installata su una macchina bersaglio, criptando i file dell'utente in cambio di un riscatto. In aggiunta a ciò, il sistema infetto avrebbe iniziato anche a cercare altre macchine tramite il protocollo SMB v1, e se altri sistemi utilizzavano quelle porte aperte, sarebbero stati suscettibili all'autoinstallazione del ransomware su quella macchina e alla sua continua diffusione.

Mentre WannaCry ha creato caos e problemi per molte aziende e reti, i suoi disastrosi risultati avrebbero potuto essere molto meno impattanti se i sistemi fossero stati aggiornati con misure di sicurezza aggiornate.

Migliori pratiche per proteggere le porte SMB 139 e 445

Poiché le porte SMB possono essere prese di mira, ecco alcune delle migliori pratiche da implementare per proteggersi da vari attacchi:

Abilita Firewall e Endpoint Protection

Abilitare questi network security devices può proteggere queste porte da minacce così come fornire servizi di blacklist contro indirizzi IP noti per essere maligni.

Utilizzare le VPN

Utilizzando le VPN, il traffico di rete può essere criptato e protetto contro attori malevoli.

Crea VLAN

La creazione di Virtual LAN può essere utilizzata per isolare il traffico interno al fine di limitare la superficie di attacco.

Implementare il filtraggio degli indirizzi MAC:

Questi filtri possono impedire a sistemi sconosciuti di accedere e infiltrarsi nella tua rete interna.

Implementare modifiche alla configurazione del sistema

È possibile apportare le seguenti modifiche per rafforzare la sicurezza contro gli attacchi SMB:

Disabilita NetBIOS su TCP/IP

• Seleziona Start, vai su Impostazioni e poi seleziona Connessione di rete e Dial-up.
• Fare clic con il pulsante destro del mouse su Connessione alla rete locale e quindi selezionare Proprietà.
• Seleziona Protocollo Internet (TCP/IP) e poi scegli Proprietà.
• Seleziona Avanzate.
• Seleziona la scheda WINS e poi seleziona Disabilita NetBIOS su TCP/IP.

Comandi per monitorare lo stato della porta

Per determinare se NetBIOS è abilitato su un computer Windows, eseguire un comando net config redirector o net config server per vedere se un dispositivo ‘NetBT_Tcpip’ è collegato all'adattatore di rete.

Conclusione

Il protocollo SMB si è dimostrato un metodo prezioso e vitale per accedere a diverse risorse di rete. Sebbene abbia reso possibili cose come la condivisione di file e la connettività, si dovrebbero adottare misure di sicurezza per garantire l'accesso autorizzato all'interno della rete. Assicurare le porte e aggiornarsi con i protocolli sono un paio di esempi su come aumentare il proprio profilo di sicurezza nella rete moderna.

In collaborazione con la sicurezza della rete, Netwrix può soddisfare il vostro piano di sicurezza a livello di dati. Con le Netwrix solutions, possiamo aiutare la vostra organizzazione a vedere chi ha accesso ai vostri dati e l'attività che li circonda. Il monitoraggio è una parte critica del rilevamento degli attacchi e della protezione contro le violazioni.