Что такое порт SMB? Для чего используются порт 445 и 139?

NetBIOS означает Базовая сетевая система ввода-вывода . Это программный протокол, который позволяет приложениям, ПК и настольным компьютерам в локальной сети (LAN) обмениваться данными с сетевым оборудованием и передавать данные по сети. Программные приложения, работающие в сети NetBIOS, обнаруживают и идентифицируют друг друга по именам NetBIOS. Имя NetBIOS имеет длину до 16 символов и обычно отделено от имени компьютера. Два приложения запускают сеанс NetBIOS, когда одно (клиент) отправляет команду «вызвать» другого клиента (сервер) через TCP-порт 139 .

Для чего используется порт 139

Однако NetBIOS в вашей глобальной сети или через Интернет представляет собой огромный риск для безопасности. Все виды информации, такие как ваш домен, имена рабочих групп и систем, а также информация об учетной записи могут быть получены через NetBIOS. Поэтому важно поддерживать NetBIOS в предпочтительной сети и следить за тем, чтобы он никогда не покидал вашу сеть.

Брандмауэры, в качестве меры безопасности, всегда сначала блокируют этот порт, если он у вас открыт. Порт 139 используется для общего доступа к файлам и принтерам , но оказывается самым опасным портом в Интернете. Это так, потому что он оставляет жесткий диск пользователя уязвимым для хакеров.

После того, как злоумышленник обнаружит активный порт 139 на устройстве, он может запустить NBSTAT диагностический инструмент для NetBIOS через TCP/IP, в первую очередь предназначенный для устранения неполадок с разрешением имен NetBIOS. Это знаменует собой важный первый шаг атаки – Footprinting .

Используя команду NBSTAT, злоумышленник может получить некоторую или всю критическую информацию, связанную с

1. Список локальных имен NetBIOS
2. Имя компьютера
3. Список имен, разрешенных WINS
4. IP-адреса
5. Содержимое сеансовой таблицы с IP-адресами назначения

Имея вышеупомянутые подробности, злоумышленник имеет всю важную информацию об ОС, службах и основных приложениях, работающих в системе. Помимо этого, у него также есть частные IP-адреса, которые LAN/WAN и инженеры по безопасности старались скрыть за NAT. Кроме того, идентификаторы пользователей также включены в списки, предоставляемые запуском NBSTAT.

Это позволяет хакерам получить удаленный доступ к содержимому каталогов или дисков жесткого диска. Затем они могут автоматически загружать и запускать любые программы по своему выбору с помощью некоторых бесплатных инструментов, даже если владелец компьютера не узнает об этом.

Если вы используете компьютер с несколькими компьютерами, отключите NetBIOS на каждой сетевой карте или Dial-Up Connection в свойствах TCP/IP, которые не являются частью вашей локальной сети.

Что такое порт SMB

Хотя порт 139 технически известен как «NBT через IP», порт 445 – «SMB через IP». SMB означает Блоки сообщений сервера ’. Блок сообщений сервера на современном языке также известен как Общая интернет-файловая система . Система работает как сетевой протокол прикладного уровня, в основном используемый для предоставления общего доступа к файлам, принтерам, последовательным портам и другим видам связи между узлами в сети.

Большая часть использования SMB связана с компьютерами под управлением Microsoft Windows , где он был известен как «Сеть Microsoft Windows» до последующего внедрения Active Directory. Он может работать поверх сеансовых (и нижних) сетевых уровней несколькими способами.

Например, в Windows SMB может работать напрямую через TCP/IP без необходимости использования NetBIOS через TCP/IP. Он будет использовать, как вы указали, порт 445. В других системах вы найдете службы и приложения, использующие порт 139. Это означает, что SMB работает с NetBIOS через TCP/IP .

Злобные хакеры признают, что порт 445 уязвим и имеет много опасностей. Одним из замечательных примеров неправильного использования порта 445 является относительно тихое появление червей NetBIOS . Эти черви медленно, но четко определенным образом сканируют Интернет на наличие портов 445, используют такие инструменты, как PsExec , чтобы перенести себя на новый компьютер-жертву, а затем удвоить усилия по сканированию. Именно с помощью этого малоизвестного метода собираются огромные « Бот-армии », содержащие десятки тысяч зараженных червем компьютеров NetBIOS, и теперь они обитают в Интернете.

Как бороться с портом 445

Учитывая вышеперечисленные опасности, в наших интересах не предоставлять порт 445 Интернету, но, как и порт Windows 135, порт 445 глубоко встроен в Windows и его трудно безопасно закрыть.Тем не менее, его закрытие возможно, однако, другие зависимые сервисы, такие как DHCP (протокол динамической конфигурации хоста), который часто используется для автоматического получения IP-адреса от серверов DHCP, используемых многими корпорациями и интернет-провайдерами, перестанет функционировать.

Принимая во внимание все причины безопасности, описанные выше, многие интернет-провайдеры считают необходимым блокировать этот порт от имени своих пользователей. Это происходит только в том случае, если порт 445 не защищен маршрутизатором NAT или персональным межсетевым экраном. В такой ситуации ваш интернет-провайдер, возможно, не позволит трафику порта 445 достичь вас.

Как настроить общий доступ к подключению Интернета в Windows

Еще с 90ых годов, в операционных системах Windows присутствует возможность предоставления доступа к интернету другим компьютерам. Называется данное решение «Возможность совместного подключения к Интернету» (англ. Internet Connection Sharing или ICS), и было введено в Windows 98 SE. В данной статье мы не будем рассматривать столь старую операционную систему, и попробуем изучить её использование на более современных вариантах Windows — а именно Windows Vista, Windows 7, Windows 8 и Windows 10 — которые в этом плане имеют абсолютно одинаковые настройки.

Настройка шлюза

В данном разделе мы рассмотрим настройку компьютера, который будет выступать в роли шлюза «раздачи интернета». Единственное требование к этому компьютеру — наличие двух и более сетевых интерфейсов, один из которых должен быть иметь доступ к интернету, а другой — к локальной сети. Например:

• Первый интерфейс — VPN соединение, обеспечивающее доступ к интернету, второй интерфейс — подключение к локальной сети, без доступа к интернету;
• Первый интерфейс — Ethernet подключение к сети, с доступом в интернет, второй интерфейс — Ethernet подключение к локальной сети, без доступа к интернету.

Как видно из примеров выше, использовать одно и то же Ethernet подключение для получения и раздачи интернета не получится. Если в компьютере отсутствует вторая сетевая карта, то придется её купить, благо стоят они не дорого.

Давайте рассмотрим самый минимум настроек, который необходимо сделать для предоставления интернет-соединения компьютером-шлюзом.

1. Для включения раздачи интернета, нужно открыть список сетевых подключений — нажимаем поочередно клавиши Win + R и набираем там команду ncpa.cpl после чего нажимаем кнопку «ОК».
   
2. Откроются сетевые подключения, среди которых нужно найти то, которое имеет доступ к интернету — вычислив такое подключение, нажимаем на нем правой кнопкой мыши, и выбираем пункт контекстного меню «Свойства».
   
3. В окне свойств необходимо перейти на вкладку «Доступ» и отметить галочкой пункт «Разрешить другим пользователям сети управление общим доступом к подключению к Интернету». В поле «Подключение к домашней сети» нужно выбрать подключение к локальной сети, из которой планируется открыть доступ к интернету.

На этом базовая настройка компьютера-шлюза закончена. Дальше нужно перейти к компьютеру, которому нужен доступ в интернет, и настроить его.

Настройка клиента

Фактически, в роли клиента может выступить любое устройство, подключенное к локальной сети — но в данном примере мы рассмотрим компьютер под управлением операционной системы Windows. Для настройки возможности подключения к интернету со стороны компьютера-клиента, на нем необходимо выполнить следующие действия:

1. Открываем сетевые подключения, нажав поочередно клавиши Win + R , и введя там команду ncpa.cpl . Нажимаем ОК, после чего откроются Сетевые подключения.
   
2. Находим подключение к локальной сети, нажимаем на нем правой кнопкой мыши и выбираем пункт «Свойства».
   
3. В свойствах сети ищем пункт «IP версии 4 (TCP/IPv4), выбираем его, после чего нажимаем на кнопку «Свойства».
   
4. В свойствах данного протокола убеждаемся, что выбраны пункты «Получать IP-адрес автоматически» и «Получить адрес DNS-сервера автоматически».
   

После этого, на данном компьютере должно появится соединение с интернетом, что легко проверить, к примеру через браузер.

Дополнительная настройка

Проброс портов

В Windows так же можно реализовать проброс портов, с интерфейса, который «смотрит в мир» на компьютеры внутри локальной сети — делается это в настройках сетевого интерфейса, с доступом в интернет. Для этого, открываем свойства данного подключения, и переходим на вкладку «Доступ». Там в самом низу будет находится кнопка «Настройка», которую необходимо нажать.

Откроется окно с настройками проброса портов. В нем будет присутствовать уже некоторое количество готовых вариантов, имена которых по каким-то причинам отображается в виде цифровых значений. Посмотреть, что за службы/порты скрываются за этими цифрами, можно открыв каждую из них, или же посмотреть на готовый список ниже:

• 1700 — FTP — порт TCP 21
• 1701 — Telnet — порт TCP 23
• 1702 — SMTP — порт TCP 25
• 1703 — POP3 — порт TCP 110
• 1704 — IMAP3 — порт 220
• 1705 — IMAP — порт 143
• 1706 — HTTP — порт 80
• 1707 — HTTPS — порт 443
• 1708 — RDP — порт 3389

Для добавления своего варианта нужно нажать кнопку «Добавить».

Заполняется окно с пробросом порта следующим образом:

• Описание службы — любое имя, которое поможет идентифицировать в дальнейшем, что за порт и зачем он был проброшен.
• Имя или IP-адрес компьютера вашей сети, на котором располагается эта служба — IP адрес компьютера, на который нужно пробросить порт.
• Номер внешнего порта службы — порт, который доступен извне.
• Номер внутреннего порта службы — порт, на который нужно выполнить проброс — может отличаться от внешнего.
• Так же рядом присутствует выбор протокола — TCP или UDP.

Пример настройки проброса для игрового сервера Quake 3 можно увидеть на картинке ниже.

После нажатия на кнопку «ОК», данный порт появится в списке служб локальной сети, которым предоставлен доступ из интернета.

Использование статических адресов

Если Вам не по душе использование встроенного в Windows DHCP сервера, то Вы можете задать свои собственные уникальные сетевые адреса из диапазона 192.168.0.2 – 192.168.0.254 — к сожалению, сам DHCP сервер не отключить, и диапазон адресов не поменять. Сетевой маской будет 255.255.255.0, а сетевым шлюзом — 192.168.0.1. В качестве DNS-сервера так же следует прописать 192.168.0.1. Пример таких сетевых настроек можно увидеть на скриншоте ниже.

Возможные проблемы

В ряде случаев, возможно, что интернет не появится на стороне компьютера-клиента, не смотря на то, что все выше перечисленные настройки были сделаны правильно. В таком случае, следует проверить ряд настроек.

SMB: необходимо открыть порты для совместного использования файлов и принтеров SMB: File and printer sharing ports should be open

Обновлено: 2 февраля 2011 г. Updated: February 2, 2011

Область применения: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012, Windows Server 2008 R2 Applies To: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012, Windows Server 2008 R2

Этот раздел предназначен для устранения определенной проблемы, обнаруженной анализатор соответствия рекомендациям сканированием. Сведения, приведенные в этом разделе, следует применять только к компьютерам, на которых были запущены файловые службы анализатор соответствия рекомендациям и которые столкнулись с проблемой, описанной в этом разделе. Дополнительные сведения о рекомендациях и проверках см. в разделе анализатор соответствия рекомендациям. This topic is intended to address a specific issue identified by a Best Practices Analyzer scan. You should apply the information in this topic only to computers that have had the File Services Best Practices Analyzer run against them and are experiencing the issue addressed by this topic. For more information about best practices and scans, see Best Practices Analyzer.

Операционная система Operating System

Windows Server Windows Server

Продукт или компонент Product/Feature

Файловые службы File Services

Уровень серьезности Severity

Категория Category

Проблема Issue

Порты брандмауэра, необходимые для общего доступа к файлам и принтерам, не открыты (порты 445 и 139). The firewall ports necessary for file and printer sharing are not open (ports 445 and 139).

Влияние Impact

Компьютеры не смогут получить доступ к общим папкам и другим сетевым службам на основе SMB на этом сервере. Computers will not be able to access shared folders and other Server Message Block (SMB)-based network services on this server.

Решение Resolution

Включите общий доступ к файлам и принтерам для обмена данными через брандмауэр компьютера. Enable File and Printer Sharing to communicate through the computer’s firewall.

Для выполнения этой процедуры как минимум необходимо быть участником группы Администраторы (либо аналогичной). Membership in the Administrators group, or equivalent, is the minimum required to complete this procedure.

Открытие портов брандмауэра для включения общего доступа к файлам и принтерам To open the firewall ports to enable file and printer sharing

Откройте панель управления, щелкните система и безопасность, а затем щелкните Брандмауэр Windows. Open Control Panel, click System and Security, and then click Windows Firewall.

В левой области щелкните Дополнительные параметры, а затем в дереве консоли щелкните правила для входящих подключений. In the left pane, click Advanced settings, and in the console tree, click Inbound Rules.

В разделе правила для входящих подключений выберите файлы правил и общий доступ к принтерам (сеансы с расширением NetBIOS) и общий доступ к ФАЙЛАМ и принтерам (SMB-in). Under Inbound Rules, locate the rules File and Printer Sharing (NB-Session-In) and File and Printer Sharing (SMB-In).

Щелкните правой кнопкой мыши на каждом правиле и нажмите Включить правило. For each rule, right-click the rule, and then click Enable Rule.