netbios مشکلات امنیتی NetBIOS و نحوه غیرفعال کردن آن در ویندوز

[saeed 4]

NetBIOS یا Network Basic Input/Output System در اوایل دهه 1980 ایجاد شد، ولی هنوز هم در بسیاری در شبکه ها کامپیوتری از آن استفاده می شود. ویندوز هنوز از آن(در صورتی که DNS در دسترس نباشد یا کلا DNS Server ای وجود نداشته باشد) برای فرآیند name resolution استفاده می کند. انعطاف پذیری شبکه و دسترسی به منابع واقعا چیز خوبی است اما به همین دلیل، فعال نگه داشتن Netbios کار خوبی نیست. نگرانی های امنیتی زیادی در رابطه با NetBIOS وجود دارد؛ و غیر فعال کردن پشتیبانی آن، در شبکه و در سیستم ها به شدت توصیه می شود. غیرفعال کردن Netbios توانایی حمله کننده ها را در زمینه های جعل در پاسخ، کسب credentials کاربر، بررسی ترافیک وب و بسیاری موارد دیگر ... را کاهش می دهد.

 

لازم به ذکر است که Netbios بیشتر یک API است تا یک پروتکلی که در شبکه فعالیت می کند. با این حال، در شبکه های مدرن، NetBIOS در بستر TCP/IP و از طریق پروتکل NBT اجرا می شود. بنابراین عملکردهای legacy و قدیمی هنوز هم در شبکه ساپورت می شوند. پیشتر هم گفتیم که NetBIOS برای تحلیل نام یا name resolution و ارتباطات در شبکه local مورد استفاده قرار میگیرد.
NetBIOS سه سرویس کاملا ازهم متمایز را فراهم می کند که با هم آنها می بینیم:

Name Services

که از پورت 137 هم TCP و UDP استفاده می کند. این سرویس برای name registration و همینطور name resolution است.

Datagram Services

در بستر UDP و از پورت 138 استفاده می کند. برای ارتباطات connectionless در شبکه مانند گزارش خطا اسن. از این سرویس برای پیغام های broadcasts برای همه کامپیوترهای یک شبکه استفاده می شود.

Session Services

در بستر TCP و از پورت 139 استفاده می کند. آغاز گر ارتباط بین دو کامپیوتر است.


بررسی ارتباطات Connection Oriented و Connectionless 

رایج ترین استفاده از NetBIOS over TCP/IP یا NBT، در صورتی که DNS وجود نداشته باشد و یا کلا در دسترس نباشد، به منظور تحلیل نام است. بسیار کم هستند برنامه ها یا کلا دیوایس هایی که از DNS پشتیبانی نکنند. برای غیرفعال کردن NBT در شبکه راه های مختلفی وجود دارد که به انها در ادامه خواهیم پرداخت.
از آنجا که NBT، یک پروتکل unauthenticated است پس در برابر حملات poisoning attacks ها آسیب پذیر و حساس است. به این معنی که مهاجم در شبکه ای، هویت یا شناسه یک Resource را جعل(جعل هویت) کند و ترافیک قربانی را اشتباه هدایت می کند. در همین لحظه جعل انجام شده، مهاجم می تواند NTLM hash اعتبار کاربر را به دست بیاورد. این hash را می توان از طریق مکانیزمhash cracking به دست آورد و به عینه پسورد کاربر را مشاهده نمود. این نوع حمله در یک شبکه Local می تواند خطرناک باشد و در یک شبکه بی سیم عمومی یا access point برای جا زدن یا تقلید یک شبکه دیگر می تواند بکار گرفته شود.
حمله مشابه دیگر برای آسیب پذیر NBT، جعل Web Proxy Auto-Discovery Protocol یا WPAD است. WPAD توسط مرورگرهای وب برای تنظیم proxy است که از طریق آن به منابع وب دسترسی پیدا کنند. مهاجم می تواند آدرس آی پی WPAD را جعل کند، فایل wpad.dat را تغییر داده و سپس تمام ترافیک مرورگر را از کامپیوتر قربانی مشاهده کند.

CAUTION!!! DANGER!!!

برای مدیر شبکه مهم است که NBT در شبکه استفاده شود یا خیر. از این بایت موضوع را مطرح کردیم که غیرفعال کردن NBT ممکن است عملکرد برخی نرم افزارها که اکثرا قدیمی هم هستن را مختل کند. نرم افزارهایی که از FQDN پشیبانی نمی کنند و فقط با استفاده از NBT کار می کنند. پس شما که Administrator شبکه هستید کاملا باید در جریان اینکار باشید که احیانا با غیرفعال کردن NBT، آیا نرم افزاری در شبکه تان وجود دارد که عملکرد آن مختل شود.
یک استراتژی دفاعی خوب برای محافظت از شبکه در برابر مهاجم که بدانید که مهاجم چه چیزی میداند و از چه چیزی استفاده می کند. بسیاری از ابزارها مانند Wireshark و همچنین ماژول های مختلف Metasploit در دسترس هستند که اجازه می دهد که مهاجم را کشف و استفاده از NBT چه منابعی را در شبکه شما به مخاطره خواهد انداخت. حتما برای ادمین ها توصیه می شود که کار با این نرم افزار یا این تیپ نرم افزارها را فرا بگیرند. شما با شنود ترافیک ها با پورت 137 که مربوط به Name service است از فعال یا غیرفعال بودن ترافیک Netbios می توانید اطمینان خاطر کسب کنید.

غیرفعال کردن پشتیبانی از NetBIOS در کلاینت هم به طریق زیر می تواند انجام شود:
Run را باز کنید و دستور ncpa.cpl را وارد و Enter کنید.
سپس از لیست Ipv4 را انتخاب کرده و دکمه propertis را کلیک کنید.
حال در فرم باز شده دکمه proties را کلیک کنید.
در فرم جدید باز شده، به تب Wins بروید و گزینه Disable NetBIOS over TCP/IP را فعال و ok کنید و سپس سیستم را ریستارت کنید.



شایان ذکر است که این تنظیمات فوق برای هر کارت شبکه است و چناچه سیستم بیش از یک کارت شبکه دارد باید برای تک تک کارت شبکه ها همین تنظیم را انجام دهید.