Netbios 보안 (139 포트)
페이지 정보
작성자 차동박 이름으로 검색 댓글 0건 조회 18,398회 작성일 05-10-28 07:35본문
Netbios 보안 (139 포트)
NetBIOS(Network Basic Input/Output System)는 IBM PC를 위한 네트워크 인터페이스 체계로 네임, 세션, 데이터그램의 세가지 서비스를
제공하고 있다. 파일시스템이나 프린트를 공유하기 위해서도 NetBIOS가 필요하다. 윈도우 NT 시스템이 인터넷에 직접연결되어 있을 경우
공격자가 쉽게 파일시스템을 사용할 수 있으므로 NetBIOS 에 대한 접근통제가 필요하다.
NetBIOS 스푸핑 문제 대두 : NetBIOS Name Server Protocol Spoofing Vulnerability
윈도우 네트워크의 NetBIOS Name Service 도중 이를 원격에서 스푸핑이 가능하다는 결론이 내려져 마이크로소프트에서 패치
파일을
작성중이다. 스푸핑은 마치 자신이 특정한 컴퓨터인 양 가정하는 것으로 TCP/IP에서는 빈번히 일어나지만 NetBIOS 인터페이스는 원격에서
스푸핑이 일어날 수 없는 것으로 알려져 왔다. 하지만, 스푸핑이 실제로 원격에서 일어나는 것이 확인되었으며, 윈도우 2000에 대해서는
현재 영문판 패치가 나와 있지만, 다른 버전에 대해서는 아직 패치가 적용되지 않고 있다.
스푸핑에서 문제가 되는 서버는 윈도우 NT/2000 모두에 해당되며, 가급적 인터넷을 통해 137,139 포트를 열어 놓지 말아야한다.
네트워크 인터페이스 카드(NIC)가 설치된 컴퓨터에 Windows NT를 설치하면 NT는 설치된 모든 프로토콜을 설치한 NIC에 모두
바인딩합니다. 보이는 모든 NIC에 바인딩되어 있는 TCP/IP 이외의 프로토콜을 인터넷에 드러낼 필요는 없기 때문에 그렇게 하고 싶지 않을
수도 있습니다. NIC가 두 개인 기존의 웹 서버를 생각해 보면 이해가 빠를 것입니다. 하나는 내부 LAN에 연결되어 있고 다른 하나는
인터넷에 연결되어 있는 경우, 공유할 파일을 서버에 게시하려면 내부 LAN에서 NetBIOS를 사용할 수 있도록 하는 것이 옳지만 NetBIOS를
외부로 드러낼 이유는 없습니다.
해결방법
Windows 2000 의 경우 네트워크환경 => 해당 로컬영역 연결 => NetBios 체크항목을 없앰 => 인터넷프로토콜 Tcp / IP 에 등록정보 =>
고급버튼 클릭 => Wins 탭에서 아래 쪽에 있는 "Tcp /IP 에서 Netbios 사용안함" 항목을 체크함
바인딩이 제거되면 TCP/IP를 거치게 되는 파일 공유서비스는 제공되지 않고 당연히 인터넷에서의 공유자원에 대한 접근시도도
불가능하게 된다. 이러한 NetBIOS 서비스는 라우터를 거치지 않은 내부 네트워크에서는 여전히
가능하다.
참고
아래 사이트에서는 한글 NT 40 의 경우 포트자체를 차단하는 방법(본사이트의 4-8 항목 참고)을 설명해 놓았으나 위에 설명한
바인딩을 제거하는 방법으로도 139번 포트가 차단된다 하지만 영문 NT 의 경우 패치를 적용시키는 방법이 자세히 설명 되어
있으니 참고 하기 바란다
http://www.securekr.com/eph/e_windows_family/windows_001.html
박후준
댓글목록
등록된 댓글이 없습니다.