Eakrin - stock.adobe.com

Antwort

Wie kann man Port 139 vor SMB-Angriffen schützen?

Ist der Port 139 offen, kann dies ein ganz erhebliches Sicherheitsrisiko darstellen. Sollte dies erforderlich sein, müssen unbedingt Schutzmaßnahmen angewendet werden.

Michael Cobb
von
Zuletzt aktualisiert:18 Dez. 2024

Offene Ports ermöglichen die Übertragung von Daten in ein und aus einem Netzwerk. Sie sind für die Kommunikation und die gemeinsame Nutzung von Ressourcen durch die Benutzer unerlässlich. Bleiben sie jedoch ungeschützt und ungepatched, können sie zu Sicherheitsrisiken werden.

Dedizierte Ports für Server Message Block (SMB), ein Client-Server-Kommunikationsprotokoll für die gemeinsame Nutzung von Ressourcen, gerieten nach den EternalBlue-Zero-Day-Angriffen 2017 ins Visier. Der Exploit, der auf anfällige Legacy-Versionen des SMB-Protokolls abzielt, wurde bei den berüchtigten WannaCry-Ransomware-Angriffen verwendet.

Ein weiterer SMB-Port, 139, wird ebenfalls häufig kritisiert. Sehen wir uns die Ports und insbesondere Port 139 genauer an, einschließlich seiner Sicherheitsrisiken und wie man ihn vor Angriffen schützen kann.

Was ist ein Port?

Computerports sind softwaredefinierte Werte, die einen Endpunkt der Netzwerkkommunikation identifizieren. Sie spielen eine wesentliche Rolle bei der Kommunikation zwischen Computern.

Alle Verbindungen, die in einem Netz wie dem Internet oder einem lokalen Netzwerk hergestellt werden, verwenden Quell- und Ziel-IP-Adressen, um den Absender und den Empfänger eindeutig zu identifizieren, sowie Quell- und Zielports, um den Dienst zu finden, für den die Nachricht bestimmt ist.

Ein Port ist offen, wenn er auf eingehende Anfragen wartet und lauscht. Wenn ein Anschluss Verbindungsanfragen ablehnt oder alle Pakete ignoriert, ist er geschlossen.

Was sind Portnummern?

Portnummern identifizieren jeden Port eindeutig. Übliche Portnummern für bekannte Internetdienste sind die Nummern 0 bis 1023. Dazu gehören die folgenden:

  • Webserver lauschen auf Port 443.
  • DNS-Server lauschen auf Port 53.
  • E-Mail-Server müssen die Ports 25 und 110 für SMTP- und POP-Nachrichten öffnen.

Jedes Kommunikationspaket enthält den Ziel- und den Quellport. Ein Client kann daher mit mehreren Diensten desselben Servers kommunizieren, da die Portnummern sicherstellen, dass jede Sitzung unabhängig bleibt.

Was hat es mit Port 139 auf sich?

Port 139 ist der spezielle Port für SMB über NetBIOS. Er wird in erster Linie verwendet, um Anwendungen und Geräten in einem Windows-basierten LAN den Zugriff auf gemeinsam genutzte Ressourcen wie Dateien und Drucker zu ermöglichen.

Versionen von SMB nach Windows 2000 verwenden Port 445 und TCP, damit SMB über das Internet funktionieren kann.

Welche Sicherheitsrisiken birgt der offene Port 139?

Offene Ports, die nicht ordnungsgemäß konfiguriert und geschützt sind, bieten ein Einfallstor in ein Gerät und das Netzwerk, in dem es sich befindet.

Ein offener Port 139, der eingehenden Verkehr von allen externen IP-Adressen zulässt, ist außerordentlich gefährlich. Alle gemeinsam genutzten Ressourcen sind dem öffentlichen Internet ausgesetzt. Ein Angreifer könnte auch das NetBIOS-Diagnosetool Nbtstat ausführen, um Informationen zu erhalten, die ihm helfen, einen Fußabdruck eines Systems zu erstellen, das er angreifen möchte.

Wie man Port 139 vor Angriffen schützt

Um lauschende Ports auf einem Computer zu finden, führen Sie den Befehl netstat -aon auf einem Windows-Rechner oder netstat -tunpl auf einer Linux-Variante aus. Kostenlose Port-Scan-Tools wie Nmap und Netcat können ebenfalls offene Ports aufspüren.

Es ist völlig normal, dass Port 139 geöffnet ist, um dieses Protokoll in Windows-basierten Netzwerken mit NetBIOS zu aktivieren, oder Port 445 unter Windows 2000 und höher.

Wenn ein Unternehmen jedoch kein NetBIOS verwendet oder keine Datei- und Druckerfreigabefunktionen benötigt, gibt es keinen Grund, die Ports 139 und 445 offen zu halten. Deaktivieren Sie entweder den Dienst, so dass er nicht mehr lauscht, oder erstellen Sie eine Firewall-Regel, um alle eingehenden Verbindungen zu einer bestimmten Portnummer zu unterbinden, die nicht ausdrücklich zugelassen ist. Die Schritte zum Ausführen dieser Aufgaben hängen vom Betriebssystem des Computers ab. Beachten Sie auch die folgenden Punkte:

In Netzwerken, die NetBIOS verwenden und mit dem Internet verbunden sind, sollte eine Firewall eingesetzt werden, die unbekannten eingehenden Datenverkehr an den Ports 139 und 445 blockiert. Dadurch wird sichergestellt, dass der gesamte NetBIOS-Verkehr aus dem eigenen Netzwerk oder von bekannten und vertrauenswürdigen Internet-Geräten stammt.

Microsoft Defender verfügt über integrierte Firewall- und Antivirenfunktionen, die das Gerät automatisch vor externen Angriffen schützen.

Die von den Internetanbietern bereitgestellten Router verfügen über eine Firewall oder einen Endpunktschutz, um offene Ports vor Angreifern zu schützen.

Vergewissern Sie sich, dass Sie die Auswirkungen dieser Maßnahmen vollständig verstehen, bevor Sie sie umsetzen. Beachten Sie, dass es normalerweise nicht notwendig ist, die Standardeinstellungen dieser Sicherheitskontrollen zu ändern. IT-Teams sollten dies nur tun, wenn sie sich der Konsequenzen bewusst sind.

Handelt es sich bei dem System einer Organisation um einen Server und müssen Ports geschlossen werden, sind diese Anweisungen spezifisch für die Art des verwendeten Systems. Wenn Ports geöffnet werden müssen, damit Mitarbeiter und Dritte auf gemeinsame Ressourcen zugreifen können, sollten sie mit Firewalls und Zugriffskontrolllisten (ACL) geschützt werden, die unerwünschte Verbindungsversuche blockieren können.

Befolgen Sie auch andere bewährte Sicherheitspraktiken, wie beispielsweise das Einspielen von Patches und die Verwendung aktueller Antivirensoftware, um die Ausnutzung bekannter Schwachstellen und Cyberangriffe zu vermeiden.

Erfahren Sie mehr über Netzwerksicherheit