این مطلب رو به این صورت شروع می کنم که باز نگه داشتن پورت TCP 445 و سایر پورت های مربوط به SMB برای به اشتراک گذاری منابع در شبکه ضروری است، اما به هر حال این مسئله می تواند یک هدف آسان برای مهاجمان باشد تا به شبکه های ما آسیب برسانند.

زمانیکه در مورد پورت ها بحث می شود بیشتر تمرکز بر روی پورت های وب معروف 80 و 443 می باشد. اما خب همانطور که مدیران و کارشناسان شبکه می دانند پورت های بسیار دیگری در دنیای شبکه مشغول به کار می باشند. یکی از پورت هایی که بسیار مورد توجه قرار گرفت پورت شماره 445 بود که مورد حمله باج افزارهای WannaCry و NotPetya قرار گرفت.

در اینجا بیایید به همراه یکدیگر ببینیم که پورت 445 چیست؟ چرا می تواند برای شبکه های ما خطر ایجاد کند و چگونه می توانیم حملات بر علیه این پورت را شناسایی کنیم و در نهایت چطور می توانیم یک راهکار امن برای به اشتراک گذاری فایل ها و منابع داشته باشیم.

پورت 445 چیست و چه کاربردی دارد؟

پورت 445 یکی از پورت های قدیمی مایکروسافت است که در گذشته با سرویس NetBIOS پیوند داشت. امروزه از پورت 445 در مایکروسافت اکتیور دایرکتوری و برای پروتکل SMB از طریق TCP/IP استفاده می شود. ترافیک SMB برای شبکه مهم است، اما نه فقط برای اینکه امکان به اشتراک گذاری فایل ها و پرینتر ها و دیگر منابع را ممکن می سازد، بلکه به این دلیل که در عملکرد اکتیو دایرکتوری نیز مهم است.

پروتکل SMBv1 در سال 1984 معرفی شد. این پروتکل بارها بروز شد و اخرین نسخه آن SMBv3.1.1 است که در سال 2020 معرفی شد. از آنجاییکه در شبکه های کامپیوتری به اشتراک گذاری منابع یکی از اصلی ترین موارد می باشد، برای سازمان ها و شبکه هایی که از سیستم عامل های ویندوزی استفاده می کنند قطعا این پورت باز بوده و در هر دو سمت کلاینت و سرور مورد استفاده قرار می گیرد.

پروتکل SMB بطور مستقیم از طریق TCP و پورت 445 در دسترس است. پورت های دیگری نیز وجود دارند مانند 137 و 138 که اینها UDP و مربوط به NetBIOS می باشند. ساختار RPC مایکروسافت یعنی Remote Procedure Call برای برقراری ارتباطات خود نیز یا از طریق پورت 135 عمل می کند و یا بیشتر اوقات از 445 SMB استفاده می کند.

نمونه هایی از اکسپلویت های RPC و SMB

همانطور که میدانیم برای به اشتراک گذاری منابع و ارتباطات، پورت ها باید باز و قابل دسترسی باشند. یعنی اینکه ما انها برای استفاده های قانونی و درست باز میگذاریم اما می توانند به هدفی برای هکرها و مهاجمان تبدیل شوند. حملات RPC و SMB متعدد می باشند و معروفترین این حملات WannaCry و NotPetya بود که بر روی SMBv1 انجام شد و هم اکنون نیز هر سیتمی که از این نسخه از SMB استفاده کند می تواند آسیب پذیر باشد.

مورد دیگر EternalBlue می باشد. این مورد هم به عنوان بردار اولیه حمله و هم بعنوان یک راهکار برای نفوذ به شبکه استفاده شده است. این اکسپلویت زمانی کار میکند که هکرها و مهاجمان بسته های دستکاری شده را به سیستمی که از SMBv1 استفاده می کند، ارسال می کنند. با انجام این کار آنها می توانند از راه دور بر روی آن سیستم باج افزار و موارد دیگر خود را به اجرا بگذارند.

نحوه شناسایی حملات بر روی پورت 445

اولین گامی که مهاجمان برای حملات خود برمیدارند انجام Port Scanning بر روی مقاصد خود می باشد. اسکن پورت مشخص می کند که بر روی مقصد کدام پورت ها و سرویس ها باز یا بسته می باشند. اسکن پورت لزوما نشان دهنده حمله نیست، اما نظارت بر این عملیات و شناسایی رفتارهای مشکوک که ممکن است در نهایت منجر به سو استفاده از سیستم شود، مهم می باشد. بعنوان مثال مشاهده چندین درخواست برای انجام اسکن پورت نشان دهنده حملات brute-force می باشد. امروزه بسیاری از فناوری های موجود در دنیای شبکه می توانند تشخصی دهند که آیا پورت 445 یا هر پورت دیگری مورد سو استفاده قرار گرفته یا خیر. مانند سیستم های تشخیص نفوذ و جلوگیری از نفوذ، سیستم های فایروالی و یا نرم افزارهای آنتی بدافزار برای شناسایی موارد احتمالی.

نحوه دفاع در برابر اکسپلویت های پورت 445

برای شروع، بهترین دفاع و بهبود امنیت غیرفال کردن SMBv1 و بروزرسانی به آخرین پچ های امنیتی نسخه SMB می باشد. در بالا آسیب پذیری هایی که ذکر شد بر روی SMBv1 اتفاق می افتد. توجه داشته باشید که مایکروسافت SMBv1 را در ویندوز 10 غیرفعال کرده است. در نتیجه ارتقا به نسخه های بالاتر ویندوز نیز پیشنهاد می شود.

راه حل دیگر غیرفعال کردن SMB بستن پورت 445 می باشد. البته خب این در بسیاری از سازمان ها و شرکت ها امکان پذیر نمی باشد چرا که سرویس ها و به اشتراک گذاری های متعددی بر روی این پورت صورت گرفته است. بستن پورت 445 و غیرفعال کردن SMB می تواند بسیاری از سرویس ها سازمان و شرکت را مختل کند. پس بهتر است قبل از انجام این کار تجزیه و تحلیل دقیق  و عمیقی  داشته باشید.

اقداماتی که می توان برای بهبود امنیت در حین اجرای SMB انجام داد شامل موارد زیر است:

• مسدود کردن پورت 445 فقط در صورتیکه سرویس های حیاتی شبکه قطع نشوند.
• استفاده از کلمات عبور قوی در سطح اکتیودایرکتوری و همینطور حساب های کاربری لوکال در ویندوز.
• انجام مانیتورینگ سیستم و اقدامات پیشگیرانه بویژه برای سیستم عامل ویندوز.
• پیاده سازی قوانین فایروالی که فقط به آدرس های IP مجاز و قابل اعتماد اجازه استفاده از پورت SMB داده شود.
• انجام بروزرسانی ها و پچ ها بر روی سیستم عامل ها.

فرهاد شریفیان – مدیر، مشاور و مدرس شبکه های کامپیوتری

استفاده از این مطلب با ذکر منبع بلامانع می باشد.