NetBIOS , Ağ Temel Giriş Çıkış Sistemi anlamına gelir . Yerel alan ağındaki (LAN) uygulamaların, PC'lerin ve Masaüstlerinin ağ donanımıyla iletişim kurmasına ve ağ üzerinden veri aktarmasına olanak tanıyan bir yazılım protokolüdür. Bir NetBIOS ağında çalışan yazılım uygulamaları, NetBIOS adları aracılığıyla birbirlerini bulur ve tanımlar. Bir NetBIOS adı en çok 16 karakter uzunluğundadır ve genellikle bilgisayar adından ayrıdır. İki uygulama, biri (istemci) TCP Bağlantı Noktası 139 üzerinden başka bir istemciyi (sunucuyu) "aramak" için bir komut gönderdiğinde bir NetBIOS oturumu başlatır .
139 numaralı bağlantı noktası ne için kullanılır
Bununla birlikte, WAN'nızdaki veya İnternet üzerindeki NetBIOS , çok büyük bir güvenlik riskidir. Etki alanınız, çalışma grubunuz ve sistem adlarınız gibi her türlü bilgi ve hesap bilgileri NetBIOS aracılığıyla elde edilebilir. Bu nedenle, NetBIOS'unuzu tercih edilen ağda tutmak ve ağınızdan asla ayrılmadığından emin olmak çok önemlidir.
Güvenlik duvarları, güvenlik önlemi olarak her zaman önce bu bağlantı noktasını açmışsanız engelleyin. 139 numaralı bağlantı noktası Dosya ve Yazıcı Paylaşımı için kullanılır, ancak İnternet'teki en tehlikeli tek Bağlantı Noktasıdır. Bunun nedeni, bir kullanıcının sabit diskini bilgisayar korsanlarına maruz bırakmasıdır.
Saldırgan, bir aygıtta etkin bir Bağlantı Noktası 139 bulduğunda , öncelikle NetBIOS ad çözümleme sorunlarını gidermeye yardımcı olmak üzere tasarlanmış, TCP / IP üzerinden NetBIOS için bir tanı aracı olan NBSTAT'ı çalıştırabilir . Bu, bir saldırının önemli bir ilk adımını işaret ediyor - Ayak İzi .
Saldırgan, NBSTAT komutunu kullanarak aşağıdakilerle ilgili kritik bilgilerin bir kısmını veya tamamını elde edebilir:
- Yerel NetBIOS adlarının listesi
- Bilgisayar adı
- WINS tarafından çözülen isimlerin listesi
- IP adresleri
- Hedef IP adresleriyle birlikte oturum tablosunun içeriği
Yukarıdaki ayrıntılar el altında olduğunda, saldırgan işletim sistemi, hizmetler ve sistemde çalışan ana uygulamalar hakkında tüm önemli bilgilere sahiptir. Bunların yanı sıra, LAN / WAN ve güvenlik mühendislerinin NAT arkasına saklanmaya çalıştıkları özel IP adresleri de var. Ayrıca, Kullanıcı Kimlikleri de NBSTAT çalıştırılarak sağlanan listelere dahil edilmiştir.
Bu, bilgisayar korsanlarının sabit disk dizinlerinin veya sürücülerinin içeriğine uzaktan erişim sağlamasını kolaylaştırır. Daha sonra, bilgisayar sahibi farkında olmadan bazı ücretsiz araçlar aracılığıyla istedikleri programları sessizce yükleyebilir ve çalıştırabilirler.
Çok bağlantılı bir makine kullanıyorsanız, yerel ağınızın parçası olmayan her ağ kartında NetBIOS'u veya TCP / IP özellikleri altındaki Çevirmeli Bağlantıyı devre dışı bırakın.
Okuyun : TCP / IP üzerinden NetBIOS nasıl devre dışı bırakılır.
SMB Bağlantı Noktası nedir
Bağlantı Noktası 139 teknik olarak "IP üzerinden NBT" olarak bilinirken, Bağlantı Noktası 445 "IP üzerinden SMB" dir. SMB , ' Sunucu Mesaj Blokları ' anlamına gelir . Modern dilde Sunucu Mesaj Bloğu, Ortak İnternet Dosya Sistemi olarak da bilinir . Sistem, öncelikle dosyalara, yazıcılara, seri bağlantı noktalarına ve bir ağdaki düğümler arasında diğer iletişim türlerine paylaşılan erişim sağlamak için kullanılan bir uygulama katmanı ağ protokolü olarak çalışır.
SMB'nin çoğu kullanımı , Active Directory'nin sonraki tanıtımından önce 'Microsoft Windows Ağı' olarak bilinen Microsoft Windows çalıştıran bilgisayarları içerir . Oturumun üstünde (ve daha düşük) ağ katmanlarında çeşitli şekillerde çalışabilir.
Örneğin, Windows'ta SMB, TCP / IP üzerinden NetBIOS'a gerek kalmadan doğrudan TCP / IP üzerinden çalışabilir. Bu, sizin de belirttiğiniz gibi 445 numaralı bağlantı noktasını kullanacaktır. Diğer sistemlerde, hizmet ve uygulamaları 139 numaralı bağlantı noktasını kullanarak bulacaksınız. Bu, SMB'nin TCP / IP üzerinden NetBIOS ile çalıştığı anlamına gelir .
Kötü niyetli bilgisayar korsanları, Port 445'in savunmasız olduğunu ve birçok güvensizliğe sahip olduğunu kabul ediyor. 445 numaralı bağlantı noktasının yanlış kullanımına ilişkin tüyler ürpertici bir örnek, NetBIOS solucanlarının nispeten sessiz görünümüdür . Bu solucanlar yavaş ama iyi tanımlanmış bir şekilde İnternet'te 445 numaralı bağlantı noktasının örneklerini tarar, kendilerini yeni kurban bilgisayara aktarmak için PsExec gibi araçlar kullanır , ardından tarama çabalarını iki katına çıkarır . Bu pek bilinmeyen yöntem sayesinde, on binlerce NetBIOS solucanı ele geçirilmiş makineyi içeren devasa " Bot Orduları " bir araya getiriliyor ve şimdi İnternette yaşıyor.
Okuyun : Bağlantı Noktaları Nasıl Yönlendirilir?
445 numaralı bağlantı noktasıyla nasıl başa çıkılır
Yukarıdaki tehlikeleri göz önünde bulundurarak, 445 numaralı Bağlantı Noktasını İnternete maruz bırakmamak bizim çıkarımıza olacaktır, ancak Windows Bağlantı Noktası 135 gibi, Bağlantı Noktası 445, Windows'a derinlemesine gömülüdür ve güvenli bir şekilde kapatılması zordur. Bununla birlikte, kapatılması mümkündür, ancak birçok kurum ve ISS tarafından kullanılan DHCP sunucularından otomatik olarak bir IP adresi almak için sıklıkla kullanılan DHCP (Dinamik Ana Bilgisayar Yapılandırma Protokolü) gibi diğer bağımlı hizmetler çalışmayı durduracaktır.
Yukarıda açıklanan tüm güvenlik nedenlerini göz önünde bulundurarak birçok ISS, kullanıcıları adına bu Bağlantı Noktasını bloke etmeyi gerekli görmektedir. Bu, yalnızca 445 numaralı bağlantı noktasının NAT yönlendirici veya kişisel güvenlik duvarı tarafından korunduğu tespit edilmediğinde gerçekleşir. Böyle bir durumda, ISS'niz muhtemelen 445 numaralı bağlantı noktası trafiğinin size ulaşmasını engelleyebilir.