Trong số các port mới được sử dụng trên các hệ thống Windows 2000, Windows XP và Windows Server 2003, thì port 445 TCP dùng cho dịch vụ SMB truyền qua TCP.. Giao thức SMB Server Message
Trang 1Nguy hiểm rình rập trên Port 445 của Windows
2000/XP/2003
Trang 2Trong số các port mới được sử dụng trên các hệ thống Windows 2000, Windows XP và Windows Server 2003, thì port 445 TCP dùng cho dịch
vụ SMB truyền qua TCP
Giao thức SMB (Server Message Block) được sử dụng cho các mục đích chia sẽ File trên các hệ thống Windows NT/2000/XP/2003 Trên các hệ thống Windows NT cũ nó vận hành ở lớp cao của giao thức NetBT (viết tắt: NetBIOS over TCP/IP), sử dụng các port thông dụng như port: 137,
138 (UDP) và 139 (TCP)
Trên các hệ thống sau này: Windows 2000/XP/2003, Microsoft hỗ trợ khả năng vận hành trực tiếp SMB qua TCP/IP, không cần phải thông qua các lớp
Trang 3hỗ trợ của NetBT Vì điều này chúng ta có được kết quả giao dịch chia sẽ File thực hiện qua TCP port 445
Chia sẽ File qua Mạng qua giao thức NetBIOS là một nhu cầu rất cơ bản , tuy nhiên đó lại là những mối nguy hiểm tiềm tàng khi hệ thống của bạn kết nối vào LAN, WAN hay Internet Tất cả những thông tin về Domain, Workgroup
và cả tên Computer của bạn có thể được nhận dạng dễ dàng qua NetBIOS và Port này cũng là trung tâm nơi tần số tấn công xuất hiện cao nhất (theo báo cáo của SANS.Org, thông tin chi tiết:
http://isc.sans.org/port_details.php?port=445)
Điều quan tâm thực sự của các Network Admin ở đây là chỉ nên cho phép các giao dịch chia sẽ File được thực hiện trong phạm vi Mạng nội bộ -LAN
Trang 4
Nếu bạn đang sử dụng một Router làm Internet gateway, cần đảm bảo rằng không cho phép các truy cập từ trong Mạng ra ngoài - outbound traffic và các truy cập từ Ngoài vào trong Mạng nội bộ - inbound traffic, qua các TCP ports
từ 135-139
Nếu bạn đang sử dụng một Firewall, dúng chức năng port block, tiến hành chặn các truy cập qua qua cùng TCP ports từ 135-139
Nếu bạn đang sử dụng Computer gắn nhiều NIC card -multi-homed machine (ví dụ Computer gắn trên 1 Network card), hãy tiến hành disable hoạt động của NetBIOS trên mỗi Network card, hoặc modem quay số kết nối Internet -Dial-Up Connection Tiến hành disable bằng cách can thiệp vào TCP/IP
properties của những Network card nào không thuộc Mạng nội bộ -LAN
Trang 5Tiến hành disable NetBIOS qua TCP/IP như thế nào?
Trên Windows 2000/XP/2003 tiến hành disable NetBIOS over TCP/IP
như sau
Right-click vào biểu tượng My Network Places tại Desktop sau đó chọn Properties Tiếp tục Right-click vào biểu tượng Network Card mà bạn quan tâm (Local Area Connection), chọn Properties
Trang 6Kế tiếp, click vào Internet Protocol (TCP/IP) và Properties
Trang 7Bây giờ click vào Advanced, và chọn WINS tab
Trang 8Tại đây bạn có thể enable hoặc disable NetBIOS over TCP/IP
Trang 9Những thay đổi có hiệu lực ngay, không cần phải khởi động lại hệ thống
Lúc này nhật ký ghi nhận các sự kiện trên Computer của bạn (events log)
sẽ ghi nhận một event (nên nhớ rằng không nên disable dịch vụ có tên là: TCP/IP NetBIOS Helper Service , vì nếu tắt đi events log sẽ không ghi nhận được sự kiện này Có thể kiểm tra dịch vụ này có đang chạy hay không, bằng cách nhập lệnh Services.msc tại Run để mở bảng quản lý các dịch vụ trên hệ thống, nếu thanh trạng thái status thông báo Started là
Trang 10dịch vụ đã vận hành) Xem hình để xác định dịch vụ đang chạy trên hệ thống
Chú ý: Các Computer đang chạy các hệ điều hành cũ trước Windows
2000 sẽ không thể định vị, tìm kiếm hoặc thiết lập các kết nối chia sẽ File
và in ấn đến các hệ thống Computer Windows 2000/XP/2003 khi
NetBIOS đã bị disable
Trang 11Làm thế nào để disable port 445?
Bạn có thể dễ dàng disable port 445 trên Computer của mình Thực hiện theo các hướng dẫn sau:
1 Mở chương trình biên tập Registry -Registry Editor
2 Tại Run dùng lệnh Regedit.exe
3 Tìm đến khóa sau trong Registry:
HKLMSystemCurrentControlSetServicesNetBTParameters
Trang 123 Tại cửa sổ Window bên phải chọn một tùy chọn có tên là
TransportBindName
4 Double click vào tùy chọn, sau đó xóa giá trị mặc định -default
value, và do vậy khung chứa giá trị được để trống -blank value
Trang 135 Đóng Registry editor
6 Khởi động lại Computer
Sau khi khởi động và log-on vào Computer, tại Run, điền lệnh cmd và đưa vào lệnh sau:
netstat -an
Nhận thấy rằng Computer không còn lắng nghe ở port 445
So với trước khi tiến hành Disable port 445, hình bên dưới
Trang 14Cách sử dụng port trên Client/Server
Khi nào Windows 2000/XP/2003 sử dụng port 445, và khi nào nó dùng
139?
Để giải thích đơn giản tôi dùng hai thuật ngữ "client" để chỉ Computer
truy xuất các nguồn tài nguyên mạng như ổ đĩa và các file đượ chia sẽ, kế
đến là "server" Computer với nguồn tài nguyên có sẵn chia sẽ cho Client
Và để đơn giản cho việc hình dung, các bạn ghi nhớ cụm từ NetBIOS
over TCP/IP , đơn giản chỉ là NetBT
Trang 15Nếu client có NetBT được enable, nó sẽ luôn thử kết nối đến server tại cả hai port 139 và 445 đồng thời Nếu nhận được phản hồi từ port 445, nó
sẽ gửi một phản hồi RST đến port 139, và tiếp tục phiên giao tiếp SMB chỉ với port 445 Nếu như không nhận được phản hồi từ port 445, nó sẽ tiếp tục giao tiếp SMB chỉ với port 139, nếu nhận được thông tin phản hồi
từ port này Nếu không nhận được bất cứ phản hồi nào từ hai port trên, kết nối dự định khởi tạo sẽ kết thúc (failed)
Nếu client có NetBT bị disable, nó sẽ luôn kết nối đến server tại port 445 Nếu server trả lời trên port 445, kết nối sẽ được thiết lập và duy trì trên port này Nếu không nhận được trả lời kết nối kết thúc Đây chính là
trường hợp mà chúng ta đã đề cập khi server chạy các hệ điều hành cũ như Windows NT 4.0 về trước chẳng hạn
Nếu server có NetBT được enable, nó sẽ lắng nghe trên UDP ports 137,
138, và trên TCP ports 139, 445 Nếu NetBT bị disable, server chỉ lắng nghe trên TCP port 445
