Trao đổi với tôi

http://www.buidao.com

11/15/09

[Hacking] Vulnerability of port 445

Trong số các port mới được sử dụng trên các hệ thống Windows XP và Windows Server 2003, thì port 445 TCP dùng cho dịch vụ SMB truyền qua TCP.Giao thức SMB (Server Message Block) được sử dụng cho các mục đích chia sẽ File trên các hệ thống Windows NT/2000/XP/2003. Trên các hệ thống Windows NT cũ nó vận hành ở lớp cao của giao thức NetBT (viết tắt: NetBIOS over TCP/IP), sử dụng các port thông dụng như port: 137, 138 (UDP) và 139 (TCP).





Trên các hệ thống sau này: Windows 2000/XP/2003, Microsoft hỗ trợ khả năng vận hành trực tiếp SMB qua TCP/IP, không cần phải thông qua các lớp hỗ trợ của NetBT. Vì điều này chúng ta có được kết quả giao dịch chia sẽ File thực hiện qua TCP port 445.


Chia sẽ File qua Mạng qua giao thức NetBIOS là một nhu cầu rất cơ bản , tuy nhiên đó lại là những mối nguy hiểm tiềm tàng khi hệ thống của bạn kết nối vào LAN, WAN hay Internet. Tất cả những thông tin về Domain, Workgroup và cả tên Computer của bạn có thể được nhận dạng dễ dàng qua NetBIOS và Port này cũng là trung tâm nơi tần số tấn công xuất hiện cao nhất (theo báo cáo của SANS.Org, thông tin chi tiết: http://isc.sans.org/port_details.php?port=445).


Điều quan tâm thực sự của các Network Admin ở đây là chỉ nên cho phép các giao dịch chia sẽ File được thực hiện trong phạm vi Mạng nội bộ -LAN.





Nếu bạn đang sử dụng một Router làm Internet gateway, cần đảm bảo rằng không cho phép các truy cập từ trong Mạng ra ngoài - outbound traffic và các truy cập từ Ngoài vào trong Mạng nội bộ - inbound traffic, qua các TCP ports từ 135-139.


Nếu bạn đang sử dụng một Firewall, dúng chức năng port block, tiến hành chặn các truy cập qua qua cùng TCP ports từ 135-139.


Nếu bạn đang sử dụng Computer gắn nhiều NIC card -multi-homed machine (ví dụ Computer gắn trên 1 Network card), hãy tiến hành disable hoạt động của NetBIOS trên mỗi Network card, hoặc modem quay số kết nối Internet -Dial-Up Connection .Tiến hành disable bằng cách can thiệp vào TCP/IP properties của những Network card nào không thuộc Mạng nội bộ -LAN.


Tiến hành disable NetBIOS qua TCP/IP như thế nào?


Trên Windows 2000/XP/2003 tiến hành disable NetBIOS over TCP/IP như sau


Right-click vào biểu tượng My Network Places tại Desktop sau đó chọn Properties. Tiếp tục Right-click vào biểu tượng Network Card mà bạn quan tâm (Local Area Connection), chọn Properties.




Kế tiếp, click vào Internet Protocol (TCP/IP)Properties.




Bây giờ click vào Advanced, và chọn WINS tab.




Tại đây bạn có thể enable hoặc disable NetBIOS over TCP/IP.




Những thay đổi có hiệu lực ngay, không cần phải khởi động lại hệ thống.

Lúc này nhật ký ghi nhận các sự kiện trên Computer của bạn (events log) sẽ ghi nhận một event (nên nhớ rằng không nên disable dịch vụ có tên là: TCP/IP NetBIOS Helper Service , vì nếu tắt đi events log sẽ không ghi nhận được sự kiện này. Có thể kiểm tra dịch vụ này có đang chạy hay không, bằng cách nhập lệnh Services.msc tại Run để mở bảng quản lý các dịch vụ trên hệ thống, nếu thanh trạng thái status thông báo Started là dịch vụ đã vận hành). Xem hình để xác định dịch vụ đang chạy trên hệ thống.




Chú ý: Các Computer đang chạy các hệ điều hành cũ trước Windows 2000 sẽ không thể định vị, tìm kiếm hoặc thiết lập các kết nối chia sẽ File và in ấn đến các hệ thống Computer Windows 2000/XP/2003 khi NetBIOS đã bị disable.

Làm thế nào để disable port 445?

Bạn có thể dễ dàng disable port 445 trên Computer của mình. Thực hiện theo các hướng dẫn sau:
1.Mở chương trình biên tập Registry -Registry Editor
2.Tại Run dùng lệnh Regedit.exe.
3.Tìm đến khóa sau trong Registry:
HKLM/SystemCurrentControlSet/Services/NetBT/Parameters




3.Tại cửa sổ Window bên phải chọn một tùy chọn có tên là TransportBindName.

4.Double click vào tùy chọn, sau đó xóa giá trị mặc định -default value, và do vậy khung chứa giá trị được để trống -blank value.




5.Đóng Registry editor.
6.Khởi động lại Computer. Sau khi khởi động và log-on vào Computer, tại Run, điền lệnh cmd và đưa vào lệnh sau:
netstat -an
Nhận thấy rằng Computer không còn lắng nghe ở port 445.




So với trước khi tiến hành Disable port 445, hình bên dưới




Cách sử dụng port trên Client/Server

Khi nào Windows 2000/XP/2003 sử dụng port 445, và khi nào nó dùng 139?
Để giải thích đơn giản tôi dùng hai thuật ngữ "client" để chỉ Computer truy xuất các nguồn tài nguyên mạng như ổ đĩa và các file đượ chia sẽ, kế đến là "server" Computer với nguồn tài nguyên có sẵn chia sẽ cho Client. Và để đơn giản cho việc hình dung, các bạn ghi nhớ cụm từ NetBIOS over TCP/IP , đơn giản chỉ là NetBT.



Nếu client có NetBT được enable, nó sẽ luôn thử kết nối đến server tại cả hai port 139 và 445 đồng thời. Nếu nhận được phản hồi từ port 445, nó sẽ gửi một phản hồi RST đến port 139, và tiếp tục phiên giao tiếp SMB chỉ với port 445. Nếu như không nhận được phản hồi từ port 445, nó sẽ tiếp tục giao tiếp SMB chỉ với port 139, nếu nhận được thông tin phản hồi từ port này. Nếu không nhận được bất cứ phản hồi nào từ hai port trên, kết nối dự định khởi tạo sẽ kết thúc (failed).



Nếu client có NetBT bị disable, nó sẽ luôn kết nối đến server tại port 445. Nếu server trả lời trên port 445, kết nối sẽ được thiết lập và duy trì trên port này. Nếu không nhận được trả lời kết nối kết thúc. Đây chính là trường hợp mà chúng ta đã đề cập khi server chạy các hệ điều hành cũ như Windows NT 4.0 về trước chẳng hạn.



Nếu server có NetBT được enable, nó sẽ lắng nghe trên UDP ports 137, 138, và trên TCP ports 139, 445. Nếu NetBT bị disable, server chỉ lắng nghe trên TCP port 445.
Security
Link: http://uitstudent.com/hack-security/7040-vulnerability-port-445-a.html