¿Qué es un puerto SMB? ¿Para qué se utilizan los puertos 445 y 139?

NetBIOS son las siglas de Network Basic Input Output System . Es un protocolo de software que permite que las aplicaciones, las PC y los escritorios de una red de área local (LAN) se comuniquen con el hardware de la red y transmitan datos a través de la red. Las aplicaciones de software que se ejecutan en una red NetBIOS se ubican e identifican entre sí mediante sus nombres NetBIOS. Un nombre NetBIOS tiene hasta 16 caracteres y, por lo general, está separado del nombre de la computadora. Dos aplicaciones inician una sesión NetBIOS cuando una (el cliente) envía un comando para "llamar" a otro cliente (el servidor) a través del puerto TCP 139 .

Puerto SMB 445139

¿Para qué se utiliza el puerto 139?

NetBIOS en su WAN o en Internet, sin embargo, representa un enorme riesgo de seguridad. Todo tipo de información, como su dominio, grupo de trabajo y nombres de sistema, así como información de cuenta, se puede obtener a través de NetBIOS. Por lo tanto, es esencial mantener su NetBIOS en la red preferida y asegurarse de que nunca abandone su red.

Los firewalls, como medida de seguridad, siempre bloquean este puerto primero, si lo tiene abierto. El puerto 139 se utiliza para compartir archivos e impresoras, pero resulta ser el puerto más peligroso de Internet. Esto es así porque deja el disco duro de un usuario expuesto a los piratas informáticos.

Una vez que un atacante ha localizado un puerto activo 139 en un dispositivo, puede ejecutar NBSTAT, una herramienta de diagnóstico para NetBIOS sobre TCP / IP, diseñada principalmente para ayudar a solucionar problemas de resolución de nombres NetBIOS. Esto marca un primer paso importante de un ataque: la huella .

Usando el comando NBSTAT, el atacante puede obtener parte o toda la información crítica relacionada con

  1. Una lista de nombres NetBIOS locales
  2. Nombre del ordenador
  3. Una lista de nombres resueltos por WINS
  4. Direcciones IP
  5. Contenido de la tabla de sesiones con las direcciones IP de destino

Con los detalles anteriores a mano, el atacante tiene toda la información importante sobre el sistema operativo, los servicios y las principales aplicaciones que se ejecutan en el sistema. Además de estas, también tiene direcciones IP privadas que los ingenieros de seguridad y LAN / WAN han tratado de ocultar detrás de NAT. Además, las ID de usuario también se incluyen en las listas proporcionadas al ejecutar NBSTAT.

Esto facilita que los piratas informáticos obtengan acceso remoto al contenido de los directorios o unidades del disco duro. Luego, pueden cargar y ejecutar silenciosamente cualquier programa de su elección a través de algunas herramientas gratuitas sin que el propietario de la computadora se dé cuenta.

Si está utilizando una máquina con múltiples hosts, desactive NetBIOS en cada tarjeta de red o Conexión de acceso telefónico en las propiedades de TCP / IP, que no es parte de su red local.

Leer : Cómo deshabilitar NetBIOS sobre TCP / IP.

¿Qué es un puerto SMB?

Mientras que el puerto 139 se conoce técnicamente como 'NBT sobre IP', el puerto 445 es 'SMB sobre IP'. SMB son las siglas de ' Server Message Blocks '. Server Message Block en lenguaje moderno también se conoce como Common Internet File System . El sistema funciona como un protocolo de red de nivel de aplicación que se utiliza principalmente para ofrecer acceso compartido a archivos, impresoras, puertos serie y otros tipos de comunicaciones entre nodos de una red.

La mayor parte del uso de SMB implica computadoras que ejecutan Microsoft Windows , donde se conocía como 'Red de Microsoft Windows' antes de la introducción posterior de Active Directory. Puede ejecutarse sobre las capas de red de la sesión (e inferiores) de varias formas.

Por ejemplo, en Windows, SMB puede ejecutarse directamente sobre TCP / IP sin necesidad de NetBIOS sobre TCP / IP. Esto utilizará, como señala, el puerto 445. En otros sistemas, encontrará servicios y aplicaciones que utilizan el puerto 139. Esto significa que SMB se ejecuta con NetBIOS sobre TCP / IP .

Los hackers maliciosos admiten que el puerto 445 es vulnerable y tiene muchas inseguridades. Un ejemplo escalofriante del mal uso del puerto 445 es la apariencia relativamente silenciosa de los gusanos NetBIOS . Estos gusanos escanean lentamente pero de una manera bien definida en Internet en busca de instancias del puerto 445, usan herramientas como PsExec para transferirse a la nueva computadora víctima y luego redoblan sus esfuerzos de escaneo. Es a través de este método no muy conocido que se ensamblan enormes “ ejércitos de bots ”, que contienen decenas de miles de máquinas comprometidas con gusanos NetBIOS, que ahora habitan Internet.

Leer : ¿Cómo reenviar puertos?

Cómo lidiar con el puerto 445

Teniendo en cuenta los peligros anteriores, nos conviene no exponer el puerto 445 a Internet, pero al igual que el puerto 135 de Windows, el puerto 445 está profundamente integrado en Windows y es difícil de cerrar de forma segura. Dicho esto, su cierre es posible, sin embargo, otros servicios dependientes como DHCP (Protocolo de configuración dinámica de host) que se utiliza con frecuencia para obtener automáticamente una dirección IP de los servidores DHCP utilizados por muchas corporaciones e ISP, dejarán de funcionar.

Teniendo en cuenta todas las razones de seguridad descritas anteriormente, muchos ISP consideran necesario bloquear este puerto en nombre de sus usuarios. Esto sucede solo cuando el puerto 445 no está protegido por un enrutador NAT o un firewall personal. En tal situación, su ISP probablemente evitará que el tráfico del puerto 445 llegue a usted.

Puerto SMB 445139