O que são portas SMB, Porta 139 e Porta 445?

As organizações estão aumentando o uso de várias soluções para atender às necessidades de comunicação em toda a sua infraestrutura. Como os sistemas de arquivos são uma parte integrante da colaboração, este artigo vai explorar um dos protocolos mais utilizados e necessários para muitos sistemas. Vamos aprender mais sobre o protocolo SMB, Porta 139, Porta 445, como funciona, os riscos associados a ele e as etapas de remediação para fornecer um canal de comunicação mais seguro.

O que é a porta SMB?

A porta SMB (Server Message Block) é uma porta de rede usada principalmente para compartilhamento de arquivos e recursos em uma rede de computadores. O SMB opera sobre a porta TCP 445 e permite o acesso compartilhado a arquivos, impressoras e portas seriais entre dispositivos em uma rede.

Além disso, sua função principal de compartilhamento de recursos permite que o SMB seja utilizado para os seguintes casos de uso:

• Envolvendo slots de correio (mecanismos de comunicação entre processos)
• Pipes nomeados (um método para processos se comunicarem tanto na mesma máquina quanto em uma rede).

O que são a Porta 139 e a Porta 445?

Para o protocolo SMB funcionar corretamente, são necessárias portas de rede para se comunicar com outros sistemas. O SMB requer que a porta 139 ou a porta 445 esteja aberta.

Porta 139

Originalmente, o SMB era executado na porta 139 como um protocolo da camada de aplicação para computadores Windows se comunicarem entre si na mesma rede. Era executado sobre NetBIOS sobre TCP/IP e está sendo substituído pela porta 445 em ambientes modernos.

Porta 445

A porta 445 é utilizada pelas versões mais recentes do SMB, pois o Windows 2000 a adotou para uso em comunicação direta TCP/IP. Geralmente preferida em relação à porta 139, ela também permite a comunicação entre diferentes redes para coisas como compartilhamento de arquivos baseado na internet.

Como funciona o protocolo SMB?

Comunicação Cliente-Servidor

O SMB é conhecido como um protocolo de solicitação e resposta. Utiliza a abordagem de uma relação cliente-servidor, onde o cliente faz uma solicitação específica e o servidor responde conforme solicitado. Alguns exemplos de uso prático hoje são situações em que recursos de arquivos são solicitados ou impressoras precisam ser compartilhadas. O SMB também é usado para outros fins, como slots de correio e situações de tubulação nomeada.

Desenvolvimento Histórico

Historicamente, o SMB foi criado pela IBM e projetado em 1983 para acesso a arquivos DOS através de redes. Somente em 1990 que a Microsoft integrou o protocolo SMB ao seu produto LAN Manager. A partir daí, a maturação contínua do protocolo SMB se manifestou em instâncias como a introdução do CIFS, bem como melhorias significativas em eficiência, desempenho e segurança, conforme descrito através dos upgrades mencionados do SMB 2 e SMB 3.

Dialeto do Protocolo SMB

Com o aumento da presença de implementações SMB em toda a indústria, os requisitos de rede evoluíram para ter diferentes demandas de SMB. Isso levou ao surgimento de diferentes dialetos do protocolo SMB para atender a diferentes ambientes. Dependendo da necessidade e do uso, diferentes dialetos poderiam ser implementados para uma variedade de propósitos.

Variações do Dialeto SMB

Aqui está uma lista de dialetos SMB populares junto com seus usos:

• CIFS (Sistema de Arquivos Comum da Internet): foi um dialeto desenvolvido pela Microsoft que estreou no Windows 95, projetado para conexões de rede em servidores remotos. Esse dialeto (Porta CIFS) permitia que os clientes se conectassem a compartilhamentos remotos de arquivos e impressoras como se fossem acessados localmente.
• Samba: Samba é um dialeto de código aberto (porta Samba) que permite a comunicação de máquinas Linux/Unix com dispositivos Windows.
• NQ: foi desenvolvido pela Visuality Systems que traz o protocolo SMB para plataformas que não são Windows. Especialmente prevalente em dispositivos como impressoras e dispositivos de network devices domésticos.
• Tuxera SMB e MoSMB: Dialetos também foram criados como métodos proprietários usando o protocolo SMB para recursos específicos, como compartilhamento de arquivos empresariais e autenticação avançada.

Riscos de Segurança Associados a Portas SMB Abertas

Portas como as usadas com o protocolo SMB são necessárias para a comunicação dentro e entre diferentes redes. Embora o uso delas não seja perigoso por si só, portas abertas podem ser utilizadas e exploradas para fins maliciosos.

Ter portas excessivamente expostas pode levar às seguintes vulnerabilidades, como:

• Uma porta Wormable
• Ataques Man-In-The-Middle,
• NetBIOS spoofing,

Case Study: WannaCry Ransomware:

Once recent occurrence was the WannaCry ransomware attack that targeted Windows clients running an outdated version of SMB. A worm infection was installed on a target machine, encrypting the user’s files in exchange for ransom. In addition to that, the infected system would also start searching for other machines via the SMB v1 protocol, and if other systems were using those open ports, they would be susceptible to the ransomware self-install on that machine and continue its spread.

While WannaCry created havoc and pain for many companies and networks, its disastrous results could have been much less impactful had systems been patched with up-to-date security measures.

Best Practices to Secure SMB Ports 139 and 445

Since SMB ports can be targeted, here are some best practices to implement to protect against various attacks:

Enable Firewall and Endpoint Protection

Enabling these network security devices can protect these ports from threats as well provide blacklisting services against known malicious IP addresses.

Utilize VPNs

By utilizing VPNs, network traffic can be encrypted and protected against malicious actors.

Create VLANs

Creating Virtual LANs can be utilized to isolate internal traffic to limit attack surface.

Implement MAC Address Filtering:

These filters can keep unknown systems from accessing and infiltrating your internal network.

Implement System Configuration Changes

Following changes can be made to harden your security against SMB attacks:

Disable NetBIOS over TCP/IP

• Select Start, point to Settings, and then select Network and Dial-up Connection.
• Right-click Local Area Connection, and then select Properties.
• Select Internet Protocol (TCP/IP), and then select Properties.
• Select Advanced.
• Select the WINS tab, and then select Disable NetBIOS over TCP/IP.

Commands to monitor port status

To determine if NetBIOS is enabled on a Windows computer, run a net config redirector or net config server command to see if if any ‘NetBT_Tcpip’ device is bound to the network adapter.

Conclusion

The SMB protocol has proved to be a valuable and vital method of accessing different network resources. While it has enabled things like file sharing and connectivity, security measures should be taken to ensure authorized access within the network. Securing ports and keeping up to date with protocols are a couple of examples of how to heighten your security profile in modern-day networking.

In conjunction with network security, Netwrix can fulfill your security plan at the data layer. With Netwrix solutions, we can help your organization see who has access to your data and the activity that surrounds it. Monitoring is a critical part of detecting attacks and protecting against breaches.