SMBプロトコルは、プロセス間通信を可能にします。 このプロトコルにより、ネットワークシステム上のサービスとアプリケーションが相互に対話できるようになります。
言い換えれば、SMBは相互に通信するために使用される一般的な言語システムのXNUMXつであると言えます。 これがSMBポートファイアウォールに関するすべてです。
このSMBプロトコルはどのように機能しますか?
以前のWindowsバージョンでは、SMBは最上位のNetBIOSネットワークアーキテクチャで実行されていました。 Microsoftは、専用のIPポートを採用しているいくつかのトップTCPで動作するようにWindows 2000のSMBを修正しました。 最近のWindowsバージョンでは、同じポートが引き続き使用されます。
マイクロソフトは、セキュリティとパフォーマンスを向上させるために、SMBをさらに進化させました。 SMB2を使用すると、プロトコルの冗長性全体が減少します。
一方、SMB3は、仮想化された環境の拡張機能とパフォーマンス、およびエンドツーエンドの強力な暗号化のサポートで構成されています。
SMBプロトコルの方言
他の言語と同様に、コンピュータープログラマーは、さまざまな目的のためにさまざまなSMB方言を作成してきました。 たとえば、CIFS(Common Internet File System)は、ファイル共有を可能にする特定のSMB実装です。
ほとんどの人は、CIFSをSMBではなく別のプロトコルと見なしています。実際、どちらも同様の基本アーキテクチャを使用しています。
重要なSMB実装の一部は次のとおりです。
- サンバ:Microsoft Active Directoryのオープンソース実装を指します。 この実装により、Windows以外のシステムがWindowsシステムと対話できるようになります。
- CIFS:これは、Windowsサーバーが使用する一般的なファイル共有プロトコルです。 CIFSはNASデバイスとも互換性があります。
- MoSMB: この実装は、によって導入された独自のSMBです。 リュッシ・テクノロジーズ.
- NQ:ファイルを共有するための別のポータブルSMB実装です。 視覚システム このSMB実装を開発しました。
- 同様に:これは、ファイルを共有するためのID対応のマルチプロトコルネットワークプロトコルです。 EMC 2012年にこのプロトコルを購入しました。
- タキシード SMB:これは別の独自のSMB実装であり、ユーザースペースまたはカーネルのいずれかで実行されます。
これで、SMBポートファイアウォールやSMBポートに関するその他のことを知ることができます。 SMBポート445および139について話しましょう。
また、こちらをクリックして詳細をご覧ください Mikrotik Firewallルール.
SMBポート445および139とはどういう意味ですか?
SMBは、ファイルを共有するためのネットワークプロトコルです。 他のシステムとの通信を可能にするには、サーバーまたはコンピューターにSMBネットワークポートが必要です。 このために、ポート445または139のいずれかのSMBポートを使用します。
- ポート139:元々、SMBはポート139を使用してNetBIOS上で実行されていました。ここで、NetBIOSは、Windowsシステムが相互に対話し、同様のネットワークを共有できるようにする古いトランスポート層を指します。
- ポート445:Windows 2000以降のSMBバージョンは、最上位のTCKスタックでIPポート445の使用を開始しました。 TCPを使用すると、SMBがインターネット経由で動作できるようになります。
IPポート139は技術的には'と呼ばれますNBT over IPIPアドレス445は「SMB オーバー IP'。 ここで、SMBは「サーバーメッセージブロック」 現代の言語では、SMBは「一般的なインターネットファイルシステム。 '
これは、アプリケーション層型ネットワークプロトコルとして機能し、主に、ネットワーク上のノード間でプリンター、ファイル、シリアルポート、またはその他の種類の通信への共有アクセスを提供するために使用されます。
ほとんどのSMB使用には、Microsoft Windowsで実行されているシステムが含まれていました。 ここでは、このネットワークは「Microsoft Windowsネットワーク'結果として生じるActiveDirectoryの導入前。 これは、セッションの最上位のネットワーク層でさまざまな方法で実行されます。
たとえば、SMBは、NetBIOS over IP / TCPを必要とせずに、Windows上のIP/TCP上で直接実行されます。 その場合、IPポート445を使用します。他のコンピューターでは、IPポート139を使用するアプリケーションやサービスに出くわします。これは、SMBポートファイアウォールがNetBIOS over IP/TCPで実行されることを意味します。
NetBIOS ネットワーク基本入出力システムを指します。 このソフトウェアプロトコルにより、LAN(ローカルエリアネットワーク)上のデスクトップ、アプリケーション、およびPCは、相互に、またはネットワークハードウェアと対話できます。
それは彼らがネットワークを介してデータを送信することさえ可能にします。 たとえば、NetBIOSネットワーク上で実行されるソフトウェアアプリケーションは、NetBIOSユーザー名を介して相互に識別および検索します。
NetBIOS名の長さは最大16文字で、通常はシステム名とは異なります。 クライアントがもう一方(サーバー)を呼び出すコマンドを送信すると、139つのアプリケーションがTCPポートXNUMXを介してNetBIOS会議を開始します。
悪意のある攻撃者は、IPポート445が影響を受けやすく、さまざまな不安を抱えていることを認めています。 SMBポートの誤用の例は、比較的静かです。 NetBIOSワーム' 外観。
ゆっくりと、これらのワームは、ポートが次のようなツールを使用している間、礼儀正しい方法でインターネットをスキャンします PsExecは 新しい犠牲者システムに自分自身を移すために。
この後、ワームはスキャンの労力を倍増させます。 このなじみのない方法で、何千ものNetBIOSワームがマシンを許可した巨大な「ボット軍」が組み立てられ、インターネット上に常駐します。
PS:作成方法の詳細を読む Raspberry Piファイアウォール 及び ファイアウォールをオフにする方法.
ユーザーがSMBポート139を必要とするのはなぜですか?
NetBIOS インターネット上またはWAV上では、セキュリティのリスクが高くなります。 NetBIOSを介して、ワークグループ、システム、ドメイン名などのあらゆる種類の情報に、アカウントの詳細とともにアクセスできます。
したがって、優先ネットワーク上でNetBIOSを保持し、ネットワークから離れないようにすることが重要です。
SMBポートファイアウォールは、ユーザーがポートを開いた場合の安全対策として、最初から常にこのポートを制限します。 このポート139は、ファイルとプリンタの共有に使用されます。
ただし、インターネット上で最も危険なポートのようです。 これは、ポートがユーザーのハードディスクをサイバー犯罪者にさらされたままにするためです。
サイバー犯罪者は、任意のデバイスでアクティブなIPポート139を見つけると、実行します NBSTAT これは、NetBIOS over IP/TCPの診断プログラムです。
このアプリケーションは、主にNetBIOSに関連する名前解決の問題のトラブルシューティングに役立つように設計されています。 それはと呼ばれる発生の重要な一歩を踏み出します フットプリント.
攻撃者はNBSTATコマンドを使用して、以下に関連する重要なデータのすべてまたは一部にアクセスできます。
- システム名
- IPアドレス
- ローカルNetBIOSユーザー名の記録
- WINSによって修正された名前リスト
- セッションテーブルの内容とIPアドレスの宛先
これらの詳細に加えて、サイバー犯罪者は、コンピューター上で実行されるサービス、OS、および主要なアプリケーションに関するすべての重要な情報を取得します。
これらとは別に、攻撃者はWAN/LANがNATの背後に保持しようと懸命に努力しているプライベートIPアドレスを監視します。 さらに、ユーザーIDは、NBSTATの実行によって提供されるリストにも含まれています。
攻撃者がハードディスクのドライブまたはディレクトリのコンテンツへのリモートアクセスを容易に行えるようにします。 この後、システム所有者の知らないうちに、一部のフリーウェアプログラムを介して優先プログラムをサイレントにアップロードして実行します。
マルチホームシステムを使用するユーザーは、すべてのネットワークカードで、またはローカルネットワークの単位ではないIP / TCPプロパティのダイヤルアップ接続でNetBIOSを無効にできます。
ユーザーはIPポート445をどのように処理できますか?
上記の危険性を考慮して、ユーザーがポート445をインターネットに公開しないことが最善です。 ただし、ポート445は、ポート135と同様に、Windowsに深く定着しています。そのため、ポートXNUMXを安全に閉じることが困難になります。
そうは言っても、それを閉じることはかなり可能です。 ただし、DHCPサーバーからIPアドレスを自動的に取得するためによく使用される動的ホスト構成プロトコル(DHCP)など、他のさまざまな依存ツールやサービスは、ほとんどのISPで使用されており、企業は運用を停止します。
ちなみに、ここをクリックして完全な プロキシとファイアウォール 比較。
SMBポートをセキュリティで保護するさまざまな方法
アプリケーションを動作させるためにネットワークSMBポートを開いたままにしておくと、セキュリティ上のリスクが伴います。 そのため、ユーザーは、ネットワークを保護し、アプリケーションの動作を維持する方法について考えている可能性があります。
ここでは、最も重要で人気のあるXNUMXつのSMBポートファイアウォールを保護するのに役立ついくつかのオプションを考え出しました。
- ネットワークトラフィックを保護および暗号化するためのVPNをダウンロードします。
- サイバー犯罪者からポートを保護するために、エンドポイント保護またはSMBポートファイアウォールを許可します。 多くのソリューションには、使い慣れたIPアドレスの攻撃者からの接続を防ぐためのブラックリストが含まれています。
- 内部ネットワークトラフィックを分離するためのVLANを実装します。
- MACアドレスフィルターを使用して、不明なシステムがネットワークにアクセスしないようにします。 ただし、リストを常に維持するには、かなりの管理が必要です。
上記のこれらの特定のネットワーク保護とは別に、ユーザーは、SMBファイル共有に保存されているデータである最も重要なリソースを保護するためのデータ中心のセキュリティ戦略を実装することもできます。
誰がSMB共有を介して機密データにアクセスできるかを理解することは、非常に大きな課題です。 Varonisはデータとアクセス権を追跡します。
SMB共有に存在する機密データも検出します。 進行性の攻撃を検出するには、データを監視することが不可欠です。 さらに、データを侵害から保護することが重要です。
Varonisは、SMBポートのデータが安全でない場所を示します。 これらのSMB共有を監視して、不規則なアクセスや差し迫ったサイバー攻撃を検出します。
SMBポートファイアウォールを使用する前に、データを安全に保つために、VaronisがEMC、NetApp、Samba共有、およびWindowsでCIFSを追跡する方法を確認するためのデモを確認することをお勧めします。
