Порт 139 все еще уязвим?

Порты не уязвимы, они - просто порты. Сервисы, которые слушают на конкретных портах, могут иметь удаленно годные для использования уязвимости или неверную конфигурацию сервисов, которые слушают на конкретных портах, может привести к непреднамеренным последствиям. Последнее удаленное использование, которое предназначалось для NetBIOS/139, было в день Windows NT/2000 в меру моего воспоминания.

Порт 139 обычно используется для совместного использования файла/принтера, включая репликацию каталогов с Active Directory, трестами, удаленным доступом журналов событий, и т.д.

Так..., если Вы просто порт блока 139 на Контроллере домена просто, потому что Вы читаете где-нибудь в Интернете, что тот порт "плох", или потому что Вы следуете некоторому универсальному стабилизирующему контрольному списку, который Вы нашли в Интернете; Вы уничтожите AD репликацию. Если Вы заблокируетесь 139 в типичной бизнес-сети, то Вы проиграете, способность сделать большую часть чего-либо на удаленном компьютере (удаленно управляют клиентами/серверами, устанавливают программное обеспечение, совместно используют принтеры, файлы...), Не хороший в управляемой среде, если Вам не нравится отправлять технического специалиста на месте каждый раз, когда необходимо сделать что-то к компьютеру. Heck, Вы могли быть СУПЕР безопасными и просто отключить сетевые платы в целом и использовать гибкие диски для перемещения битов. Вы могли отключить порт 80 на Вашем веб-сервере Apache из-за возможности уязвимостей перекрестных сценариев сайта. Вы могли заблокировать порт 1433 для сокращения экземпляров атак с использованием кода на SQL. (хорошо, я выйду теперь ;)

Ключ понимает цель, и требования сервисов включили в Вашей сети, поймите угрозы, которые стоят перед ними и понимают соответствующее смягчение.

Вы хотите взять свои Контроллеры домена и поместить их в Интернете, стоящем перед сетевым соединением, не блокируя/фильтруя доступ к порту 139 (или многим другим портам)? Вы хотите включить домашний компьютер с Windows Me, и совместное использование файла/печати включило непосредственно в Ваш кабельный модем, не имея маршрутизатора, фильтрующего соединения, или брандмауэр включил на Вашем компьютере?Конечно, нет.

Замечательная книга, которая касается большой части этой информации (включая, "Почему" позади решений безопасности, которые необходимо принять), Защищают Windows Network: От Периметра до Данных Steve Riley и Jesper Johansson.

Это могло бы быть. Проблема, никто не может сказать, ли что-то в порядке, просто что нет никакого текущего известного использования. Кто-то, возможно, нашел новый и не сообщил об этом. Можно пропускать патч на сервере. Сервер может быть настроен неправильно и открыл дыру.

Это не просто проблема NetBIOS, это для чего-либо, быть этим Apache, BIND, Sendmail, Exchange, что-либо, что это подключено к сети. Основное эмпирическое правило, не открывают порты для внешних соединений, если Вы не имеете к.

Это скорее зависит от того, что у Вас есть слушание на 139. Уязвимость данного порта зависит полностью от программного обеспечения, которого взломщик может достигнуть через тот порт.

По-видимому, этот вопрос не появляется откуда ни возьмись, таким образом, у Вас должна быть причина желания открыть этот порт. Кто-то хочет использовать его, правильно? Таким образом, необходимо узнать, какое программное обеспечение они хотят выполнить, узнать, что это - уровень установки патча, исследуйте известные уязвимости и сделайте решение.

Если Вы говорите о брандмауэре, который защищает больше чем один сервер, Вы могли также посмотреть на правила, которые только позволяют 139 трафиков определенному серверу.

(Это может уже быть покрыто. Одна ссылка на использование NESSUS для проверки этого.)

Некоторые другие ссылки на порт 139:

• Текущий БЕЗ отчета о порте 139 и недавние данные нападения
• Центр обеспечения безопасности Сети МКС

Я отговорил бы от вводного порта 139 непосредственно к Интернету. Мы получаем десятки сканирований портов на нашем брандмауэре каждый час, надеющемся видеть, является ли 139 быстро реагирующим. Если необходимо открыть его в стоящей с Интернетом системе, по крайней мере, трафик блока к нему по умолчанию и только позволить хосты, Вы доверяете и/или устанавливаете что-то как fail2ban для блокирования потенциальных атак перебором.

"Вы хотите взять свои Контроллеры домена и поместить их в Интернете, стоящем перед сетевым соединением, не блокируя/фильтруя доступ к порту 139 (или многим другим портам)? Вы хотите включить домашний компьютер с Windows Me, и совместное использование файла/печати включило непосредственно в Ваш кабельный модем, не имея маршрутизатора, фильтрующего соединения, или брандмауэр включил на Вашем компьютере? Конечно, нет".

Ответ был бы этим:

• Откройте порт в локальном интерфейсе надежной сети (если окна услуги по совместному использованию file/printer не предоставляются/применимы Вашему серверу),
• Закройте порт в интернет-интерфейсе направления (даже если позади брандмауэра)

Это предполагает, что Вы сидите на контроллере домена Windows Server, конечно, для чего-либо еще открывающего этот порт было бы смешно (для его надлежащего использования так или иначе!).

Отметьте сервис окон, который использует этот порт, только послушает на порте 139 из IP-адреса по умолчанию включенного NIC, не любой другой присвоенный IP.