Abuse: Serviço NetBIOS (137/udp) Habilitado para a Internet
Enviado: 31 Ago 2022, 09:17
O que é o serviço NetBIOS (137/udp)?
O servico NetBIOS é utilizado tipicamente por sistemas Microsoft Windows, ou sistemas Unix através do Samba, para compartilhamento de arquivos e impressoras.
Por se tratar de um serviço geralmente utilizado apenas dentro de redes locais e com sistemas anteriores ao Microsoft Windows 2000, é muito provável que não exista necessidade do serviço NetBIOS estar exposto à Internet.
Caso esteja acessível a toda a Internet via UDP, esse serviço pode ser explorado para ataques DDoS que usem amplificação.
Isto ocorre porque o atacante envia uma requisição forjando o IP da vítima e o servidor com NetBIOS retorna uma resposta muito maior que a requisição.
Por que devo me preocupar com isso?
O NetBIOS pode ser abusado para causar danos a terceiros, envolvendo sua rede em ataques a outras organizações e implicando em um consumo de banda maior.
Além dessas implicações, esse serviço pode revelar informacoes sensíveis sobre sua rede e seus dados armazenados.
Informações adicionais sobre como evitar que sua rede seja abusada para ataques DDoS podem ser encontradas aqui.
Como faço para corrigir o problema?
Em sistemas Microsoft Windows desabilite o recurso chamado NetBIOS sobre TCP/IP (ou NetBIOS over TCP/IP) se ele for desnecessário aos usuários da rede.
Caso não seja possível desabilitar esse recurso sugerimos que limite o acesso a este serviço apenas para usuários de sua rede.
Em servidores Unix reconfigure o Samba incluindo a linha abaixo no arquivo de configuração:
Se o Samba for desnecessário nesse equipamento recomendamos que o desabilite.
Onde posso obter informações adicionais sobre o abuso do protocolo NetBIOS para ataques DDoS?
Como posso ter certeza que resolvi o problema?
Você pode verificar seu servidor através do seguinte comando:
(preferencialmente execute-o a partir da Internet, ou seja, fora de uma rede interna que tenha permissão de acesso ao servidor).
A partir de sistemas Microsoft Windows:
A partir de sistemas Unix com Samba:
Onde IP_SERVIDOR é o IP do servidor NetBIOS a ser testado.
Se o teste for realizado a partir de um sistema Unix, recomendamos que antes de executar o comando acima certifique-se que você tem a ferramenta nmblookup instalada em seu computador.
Onde aprender mais sobre configuração segura de sistemas?
Práticas de Segurança para Administradores de Redes Internet: https://cert.br/docs/seg-adm-redes/
O servico NetBIOS é utilizado tipicamente por sistemas Microsoft Windows, ou sistemas Unix através do Samba, para compartilhamento de arquivos e impressoras.
Por se tratar de um serviço geralmente utilizado apenas dentro de redes locais e com sistemas anteriores ao Microsoft Windows 2000, é muito provável que não exista necessidade do serviço NetBIOS estar exposto à Internet.
Caso esteja acessível a toda a Internet via UDP, esse serviço pode ser explorado para ataques DDoS que usem amplificação.
Isto ocorre porque o atacante envia uma requisição forjando o IP da vítima e o servidor com NetBIOS retorna uma resposta muito maior que a requisição.
Por que devo me preocupar com isso?
O NetBIOS pode ser abusado para causar danos a terceiros, envolvendo sua rede em ataques a outras organizações e implicando em um consumo de banda maior.
Além dessas implicações, esse serviço pode revelar informacoes sensíveis sobre sua rede e seus dados armazenados.
Informações adicionais sobre como evitar que sua rede seja abusada para ataques DDoS podem ser encontradas aqui.
Como faço para corrigir o problema?
Em sistemas Microsoft Windows desabilite o recurso chamado NetBIOS sobre TCP/IP (ou NetBIOS over TCP/IP) se ele for desnecessário aos usuários da rede.
Caso não seja possível desabilitar esse recurso sugerimos que limite o acesso a este serviço apenas para usuários de sua rede.
Em servidores Unix reconfigure o Samba incluindo a linha abaixo no arquivo de configuração:
Código: Selecionar todos
disable netbios = yesOnde posso obter informações adicionais sobre o abuso do protocolo NetBIOS para ataques DDoS?
Como posso ter certeza que resolvi o problema?
Você pode verificar seu servidor através do seguinte comando:
(preferencialmente execute-o a partir da Internet, ou seja, fora de uma rede interna que tenha permissão de acesso ao servidor).
A partir de sistemas Microsoft Windows:
Código: Selecionar todos
$ nbtstat -A IP_SERVIDORCódigo: Selecionar todos
$ nmblookup -A IP_SERVIDORSe o teste for realizado a partir de um sistema Unix, recomendamos que antes de executar o comando acima certifique-se que você tem a ferramenta nmblookup instalada em seu computador.
Onde aprender mais sobre configuração segura de sistemas?
Práticas de Segurança para Administradores de Redes Internet: https://cert.br/docs/seg-adm-redes/