Perché il nostro firewall di rete rilascia pacchetti netbios-ns?

Naviga le tue risposte
3

Nel nostro ambiente di dominio locale, usiamo Sophos UTM per proteggere la nostra rete.

Quando controllo i log del firewall, posso vedere che un enorme numero di pacchetti abbandonati dal firewall sono trasmissioni netbios-ns (UDP 137). Il controllo di ulteriori dettagli rivela che questi pacchetti bloccati sono stati tutti generati da uno dei controller di dominio.

Le mie domande sono:

  • Come gestirlo?

  • Perché tutti sono generati da uno solo dei nostri server DNS e non gli altri due (abbiamo 3 server DNS)?

Mi piacerebbe davvero sapere se è possibile disabilitare NetBIOS in modo sicuro poiché DNS dovrebbe servire allo scopo.

    
posta R. Blueryan 10.05.2016 - 06:58
fonte

3 risposte

2

Generalmente è una buona idea disabilitare bot NBNS e LLMNR. Ciò è dovuto al fatto che entrambi i protocolli eseguono la risoluzione dei nomi tramite broadcast (NBNS) o multicast (LLMNR) che non è sicuro.

Per un utente malintenzionato è possibile eseguire un MitM Attack usando le risposte spoofed. Quando hai WPAD disabilitato c'è una superficie d'attacco più ampia. WPAD è il protocollo di individuazione automatica del proxy Web che viene utilizzato da Chrome e Internet Explorer per ricevere automaticamente una configurazione proxy. Questo può essere utilizzato per MitM tutto il traffico web da utenti di Chrome e Internet Explorer. Quando si tratta di Internet Explorer c'è un particolare problema critico. Internet Explorer invierà le credenziali via NTLMv2 all'autore dell'attacco se il servizio WPAD che sta fornendo sta cercando di farlo. C'è uno strumento ben implementato per eseguire questi attacchi che si chiama Responder .

In un ambiente moderno puoi disabilitare entrambi senza affrontare alcun problema. Quando si hanno client Mac, si dovrebbe anche disabilitare MDNS che è equivalente a mele di LLMNR.

    
risposta data 10.05.2016 - 09:31
fonte
1

Probabilmente per impedire NBNS-Spoofing . Chiunque può rispondere alle richieste NBNS e l'host richiedente accetterà qualsiasi risposta. Questo abilita gli attacchi MitM. Hai ragione che DNS fornisce lo stesso servizio in modo più sicuro e, a meno che tu non abbia alcuni sistemi legacy nella tua rete, dovrebbe essere sicuro disabilitare NetBIOS.

Nel peggiore dei casi, l'attivazione di NBNS può portare a un account di amministratore di dominio che viene compromesso da un utente malintenzionato non autenticato (se l'account viene utilizzato in modo improprio e ha una password debole - nulla di cui non si è sentito parlare prima).

Suppongo che a differenza degli altri due controller di dominio uno dei controller di dominio sia configurato per utilizzare NBNS sopra DNS. Per quanto ne so, i client imitano il comportamento dei controller in questo caso per impostazione predefinita.

    
risposta data 10.05.2016 - 09:11
fonte
0

Non devi occuparti di nulla. Il comportamento è normale per un firewall.

Qualsiasi firewall decente dovrebbe avere regole per negare implicitamente NetBIOS a Internet. Non farlo può causare situazioni come il ben noto attacco di Wannacry.

Per quanto riguarda i server DNS, uno di questi potrebbe avere ruoli aggiuntivi installati (come i servizi di aggiornamento client) che potrebbero utilizzare NetBIOS, ma dovrebbe farlo solo all'interno della rete.

La disattivazione completa di NetBIOS può essere presa in considerazione solo dopo aver verificato che tutti i servizi che utilizzi nella rete non lo richiedono.

    
risposta data 22.02.2018 - 12:34
fonte

Leggi altre domande sui tag

È una buona idea autorizzare la posta in arrivo usando un hash sull'indirizzo? (Simile a BATV, ma con DKIM) Foro di sicurezza durante il collegamento dell'interfaccia di tocco OpenVPN con la stessa interfaccia Ethernet utilizzata per connettersi a Internet