Peter Mortensen Asked: 2009-06-20 23:11:31 +0800 CST2009-06-20 23:11:31 +0800 CST 2009-06-20 23:11:31 +0800 CST 端口 139 仍然容易受到攻击吗? 772 由于NetBIOS漏洞在很久以前就已广为人知并广为流行,因此已经发布了补丁。那么,现在打开这个 139 端口可以吗? networking security netbios 6 个回答 Voted Sean Earp 2009-06-21T07:55:09+08:002009-06-21T07:55:09+08:00 端口不是易受攻击的,它们只是端口。侦听特定端口的服务可能具有可远程利用的漏洞,或者侦听特定端口的服务配置错误可能会导致意想不到的后果。据我所知,最近一次针对 NetBIOS/139 的远程攻击是在 Windows NT/2000 时代。 端口 139 通常用于文件/打印机共享,包括使用 Active Directory 复制目录、信任、远程访问事件日志等。 所以......如果您只是因为您在互联网上某处读到该端口“坏”,或者因为您正在遵循您在互联网上找到的一些通用强化清单而阻止域控制器上的端口 139;您将终止 AD 复制。如果您在典型的商业网络中阻止 139,您将失去在远程计算机上执行大部分操作的能力(远程管理客户端/服务器、安装软件、共享打印机、文件......)在托管环境中不好,除非您喜欢在需要对计算机做某事的任何时候派技术人员到现场。哎呀,你可以超级安全,完全禁用网卡,并使用软盘移动位。由于可能存在跨站点脚本漏洞,您可以禁用 Apache Web 服务器上的端口 80。您可以阻止端口 1433 以减少 SQL 注入攻击的实例。(好吧,我现在就退出;) 关键是了解网络上启用的服务的目的和要求,了解它们面临的威胁,并了解适当的缓解措施。 您是否想将您的域控制器放在面向 Internet 的网络连接上,而不阻止/过滤对端口 139(或许多其他端口)的访问?您是否想将启用了 Windows ME 和文件/打印共享的家用计算机直接插入电缆调制解调器,而无需在计算机上启用路由器过滤连接或防火墙?当然不是。 一本涵盖大部分此类信息(包括您必须做出的安全决策背后的“原因”)的好书是Steve Riley 和 Jesper Johansson 所著的Protect Your Windows Network: From Perimeter to Data。 Peter Mortensen 2009-06-20T23:17:49+08:002009-06-20T23:17:49+08:00 可能是。问题是没有人可以说某事是否正常,只是目前没有已知的漏洞利用。可能有人发现了一个新的但没有报告。您可能缺少服务器上的补丁。服务器可能配置不正确并打开了一个洞。 这不仅仅是 NetBIOS 问题,它适用于任何东西,无论是Apache、BIND、Sendmail、Exchange,还是任何连接到网络的东西。基本的经验法则是不要打开外部连接的端口,除非你必须这样做。 Dominic Cronin 2009-06-21T00:21:16+08:002009-06-21T00:21:16+08:00 这取决于您在 139 上监听的内容。给定端口的漏洞完全取决于攻击者可以通过该端口访问的软件。 想必这个问题不是凭空冒出来的,所以你想打开这个端口肯定是有原因的。有人想用它,对吧?所以你需要找出他们想要运行的软件,找出它的补丁级别,调查已知的漏洞并做出判断。 如果您谈论的是保护多个服务器的防火墙,您还可以查看仅允许 139 流量到特定服务器的规则。 Peter Mortensen 2009-06-20T23:28:31+08:002009-06-20T23:28:31+08:00 (这可能已经被覆盖了。使用 NESSUS 进行检查的一个参考。) 对端口 139 的其他一些引用: 当前关于 139 端口的 SANS 报告和最近的攻击数据 ISS 网络安全中心 Ayporos 2011-05-29T20:34:27+08:002011-05-29T20:34:27+08:00 “你想把你的域控制器放在面向互联网的网络连接上,而不阻止/过滤对端口 139(或许多其他端口)的访问吗?你想插入一台启用了 Windows ME 和文件/打印共享的家用计算机直接进入您的电缆调制解调器,而无需在您的计算机上启用路由器过滤连接或防火墙?当然不是。 答案是这样的: 在本地受信任的网络接口上打开端口(除非 Windows 文件/打印机共享服务未提供/适用于您的服务器) 关闭面向互联网的接口上的端口(即使在防火墙后面) 当然,这是假设您坐在 Windows 服务器域控制器上,因为打开此端口的其他任何事情都是荒谬的(无论如何都是为了它的预期用途!)。 请注意,使用此端口的 Windows 服务将仅侦听已启用 NIC 的默认 IP 地址的端口 139,而不是任何其他分配的 IP。 nedm 2009-06-21T23:13:52+08:002009-06-21T23:13:52+08:00 我建议不要直接向 Internet 开放端口 139。我们每小时都会在防火墙上收到数十个端口扫描,以查看 139 是否响应。如果您必须在面向 Internet 的系统上打开它,请至少在默认情况下阻止到它的流量,并且只允许您信任的主机,和/或安装类似fail2ban的东西来阻止潜在的暴力攻击。
端口不是易受攻击的,它们只是端口。侦听特定端口的服务可能具有可远程利用的漏洞,或者侦听特定端口的服务配置错误可能会导致意想不到的后果。据我所知,最近一次针对 NetBIOS/139 的远程攻击是在 Windows NT/2000 时代。
端口 139 通常用于文件/打印机共享,包括使用 Active Directory 复制目录、信任、远程访问事件日志等。
所以......如果您只是因为您在互联网上某处读到该端口“坏”,或者因为您正在遵循您在互联网上找到的一些通用强化清单而阻止域控制器上的端口 139;您将终止 AD 复制。如果您在典型的商业网络中阻止 139,您将失去在远程计算机上执行大部分操作的能力(远程管理客户端/服务器、安装软件、共享打印机、文件......)在托管环境中不好,除非您喜欢在需要对计算机做某事的任何时候派技术人员到现场。哎呀,你可以超级安全,完全禁用网卡,并使用软盘移动位。由于可能存在跨站点脚本漏洞,您可以禁用 Apache Web 服务器上的端口 80。您可以阻止端口 1433 以减少 SQL 注入攻击的实例。(好吧,我现在就退出;)
关键是了解网络上启用的服务的目的和要求,了解它们面临的威胁,并了解适当的缓解措施。
您是否想将您的域控制器放在面向 Internet 的网络连接上,而不阻止/过滤对端口 139(或许多其他端口)的访问?您是否想将启用了 Windows ME 和文件/打印共享的家用计算机直接插入电缆调制解调器,而无需在计算机上启用路由器过滤连接或防火墙?当然不是。
一本涵盖大部分此类信息(包括您必须做出的安全决策背后的“原因”)的好书是Steve Riley 和 Jesper Johansson 所著的Protect Your Windows Network: From Perimeter to Data。
可能是。问题是没有人可以说某事是否正常,只是目前没有已知的漏洞利用。可能有人发现了一个新的但没有报告。您可能缺少服务器上的补丁。服务器可能配置不正确并打开了一个洞。
这不仅仅是 NetBIOS 问题,它适用于任何东西,无论是Apache、BIND、Sendmail、Exchange,还是任何连接到网络的东西。基本的经验法则是不要打开外部连接的端口,除非你必须这样做。
这取决于您在 139 上监听的内容。给定端口的漏洞完全取决于攻击者可以通过该端口访问的软件。
想必这个问题不是凭空冒出来的,所以你想打开这个端口肯定是有原因的。有人想用它,对吧?所以你需要找出他们想要运行的软件,找出它的补丁级别,调查已知的漏洞并做出判断。
如果您谈论的是保护多个服务器的防火墙,您还可以查看仅允许 139 流量到特定服务器的规则。
(这可能已经被覆盖了。使用 NESSUS 进行检查的一个参考。)
对端口 139 的其他一些引用:
“你想把你的域控制器放在面向互联网的网络连接上,而不阻止/过滤对端口 139(或许多其他端口)的访问吗?你想插入一台启用了 Windows ME 和文件/打印共享的家用计算机直接进入您的电缆调制解调器,而无需在您的计算机上启用路由器过滤连接或防火墙?当然不是。
答案是这样的:
当然,这是假设您坐在 Windows 服务器域控制器上,因为打开此端口的其他任何事情都是荒谬的(无论如何都是为了它的预期用途!)。
请注意,使用此端口的 Windows 服务将仅侦听已启用 NIC 的默认 IP 地址的端口 139,而不是任何其他分配的 IP。
我建议不要直接向 Internet 开放端口 139。我们每小时都会在防火墙上收到数十个端口扫描,以查看 139 是否响应。如果您必须在面向 Internet 的系统上打开它,请至少在默认情况下阻止到它的流量,并且只允许您信任的主机,和/或安装类似fail2ban的东西来阻止潜在的暴力攻击。