NetBIOSは、Network Basic Input OutputSystemの略です。これは、ローカルエリアネットワーク(LAN)上のアプリケーション、PC、およびデスクトップがネットワークハードウェアと通信し、ネットワークを介してデータを送信できるようにするソフトウェアプロトコルです。NetBIOSネットワーク上で実行されるソフトウェアアプリケーションは、NetBIOS名を介して互いを見つけて識別します。NetBIOS名は最大16文字の長さで、通常はコンピュータ名とは別のものです。2つのアプリケーションは、一方(クライアント)がTCPポート139を介して別のクライアント(サーバー)を「呼び出す」コマンドを送信すると、NetBIOSセッションを開始します。
ポート139は何に使用されますか
ただし、WANまたはインターネット上のNetBIOSは、セキュリティ上の大きなリスクです。ドメイン、ワークグループ、システム名などのあらゆる種類の情報、およびアカウント情報は、NetBIOSを介して取得できます。したがって、優先ネットワーク上でNetBIOSを維持し、ネットワークから離れないようにすることが不可欠です。
ファイアウォールは、安全対策として、このポートを開いている場合は、常に最初にブロックします。ポート139はファイルとプリンタの共有に使用されますが、インターネット上で最も危険なポートはたまたま1つです。これは、ユーザーのハードディスクがハッカーにさらされたままになるためです。
攻撃者がデバイス上でアクティブなポート139を見つけると、主にNetBIOS名前解決の問題のトラブルシューティングに役立つように設計されたNetBIOS over TCP / IPの診断ツールであるNBSTATを実行できます。これは、攻撃の重要な最初のステップであるフットプリントです。
攻撃者はNBSTATコマンドを使用して、関連する重要な情報の一部またはすべてを入手できます。
- ローカルNetBIOS名のリスト
- コンピュータネーム
- WINSによって解決された名前のリスト
- IPアドレス
- 宛先IPアドレスを含むセッションテーブルの内容
上記の詳細が手元にあると、攻撃者は、システムで実行されているOS、サービス、および主要なアプリケーションに関するすべての重要な情報を入手できます。これらに加えて、彼はLAN / WANとセキュリティエンジニアがNATの背後に隠そうと努力したプライベートIPアドレスも持っています。さらに、ユーザーIDは、NBSTATの実行によって提供されるリストにも含まれています。
これにより、ハッカーはハードディスクのディレクトリやドライブの内容にリモートアクセスしやすくなります。その後、コンピュータの所有者が気付くことなく、フリーウェアツールを介して、選択したプログラムをサイレントにアップロードして実行できます。
マルチホームマシンを使用している場合は、すべてのネットワークカードでNetBIOSを無効にするか、ローカルネットワークの一部ではないTCP / IPプロパティでダイヤルアップ接続を無効にします。
読む:NetBIOS over TCP / IPを無効にする方法。
SMBポートとは
ポート139は技術的には「NBToverIP」として知られていますが、ポート445は「SMBoverIP」です。SMBは「サーバーメッセージブロック」の略です。現代語のサーバーメッセージブロックは、Common Internet FileSystemとも呼ばれます。このシステムは、主にファイル、プリンター、シリアルポート、およびネットワーク上のノード間のその他の種類の通信への共有アクセスを提供するために使用されるアプリケーション層ネットワークプロトコルとして動作します。
SMBのほとんどの使用法は、Microsoft Windowsを実行しているコンピューターに関係します。これは、その後ActiveDirectoryが導入される前は「MicrosoftWindowsネットワーク」と呼ばれていました。これは、複数の方法でセッション(およびそれより下の)ネットワーク層の上で実行できます。
たとえば、Windowsでは、SMBはNetBIOS over TCP / IPを必要とせずに、TCP / IPを介して直接実行できます。ご指摘のとおり、これはポート445を使用します。他のシステムでは、ポート139を使用するサービスとアプリケーションがあります。これは、SMBがNetBIOS over TCP / IPで実行されていることを意味します。
悪意のあるハッカーは、ポート445が脆弱であり、多くの不安を抱えていることを認めています。ポート445の誤用の恐ろしい例の1つは、NetBIOSワームの比較的静かな外観です。これらのワームはゆっくりですが、明確に定義された方法でインターネットをスキャンしてポート445のインスタンスを探し、PsExecなどのツールを使用して新しい被害者のコンピューターに転送し、スキャンの労力を倍増させます。このあまり知られていない方法によって、数万台のNetBIOSワームに感染したマシンを含む大規模な「ボット軍」が組み立てられ、現在インターネットに生息しています。
読む:ポートを転送する方法は?
ポート445の扱い方
上記の危険性を考慮すると、ポート445をインターネットに公開しないことが重要ですが、Windowsポート135と同様に、ポート445はWindowsに深く組み込まれており、安全に閉じるのは困難です。とはいえ、閉鎖は可能ですが、多くの企業やISPが使用するDHCPサーバーからIPアドレスを自動的に取得するために頻繁に使用されるDHCP(動的ホスト構成プロトコル)などの他の依存サービスは機能しなくなります。
上記のすべてのセキュリティ上の理由を考慮すると、多くのISPは、ユーザーに代わってこのポートをブロックする必要があると感じています。これは、ポート445がNATルーターまたはパーソナルファイアウォールによって保護されていない場合にのみ発生します。このような状況では、ISPがポート445トラフィックの到達を妨げる可能性があります。