Como bloquear portas de firewall e impedir tráfegos SMB em ambientes corporativos

Usuários mal-intencionados podem usar o protocolo SMB para fins maliciosos. 
Práticas recomendadas de firewall e configurações de firewall podem aumentar a segurança da rede, ajudando a evitar que o tráfego potencialmente mal-intencionado atravesse o perímetro da empresa. 

Firewalls no perímetro da empresa devem bloquear comunicações não solicitadas (provenientes da Internet) e o tráfego de saída (para a Internet) nas seguintes portas associadas ao SMB:

  • 137
  • 138
  • 139
  • 445

Usuários mal-intencionados podem usar o protocolo SMB para fins maliciosos. 
Práticas recomendadas de firewall e configurações de firewall podem aumentar a segurança da rede, ajudando a evitar que o tráfego potencialmente mal-intencionado atravesse o perímetro da empresa. 

Firewalls no perímetro da empresa devem bloquear comunicações não solicitadas (provenientes da Internet) e o tráfego de saída (para a Internet) nas seguintes portas associadas ao SMB:

  • 137
  • 138
  • 139

Essas portas podem ser usadas para iniciar uma conexão com um servidor SMB baseado na Internet potencialmente mal-intencionado. O tráfego SMB deve ficar restrito a redes privadas ou redes virtuais privadas (VPNs). 

Sugestão
Bloquear essas portas no firewall de borda ou perímetro da empresa ajuda a proteger sistemas que estão atrás desse firewall contra tentativas de aproveitar o SMB para fins mal-intencionados. As organizações podem permitir que a porta 445 acesse intervalos de IPs específicos do Datacenter do Azure (consulte a referência a seguir) para habilitar cenários híbridos no qual os clientes no local (atrás de um firewall corporativo) usam a porta SMB para falar com o armazenamento de arquivos do Azure. 

Abordagens 
Firewalls de perímetro normalmente usam as metodologias de regras de "Listagem de bloqueios" ou "Listagem aprovada" ou ambas. 

Listagem de bloqueio
Permite o tráfego, a menos que uma regra de negação (listada como bloqueio) o impeça. 
Exemplo 1:
Permitir tudo
Negar 137 serviços de nome
Negar 138 serviços de datagrama
Negar 139 serviço de sessão
Negar 445 serviço de sessão

Listagem aprovada
Nega o tráfego, a menos que uma regra de permissão o permita. 
Para ajudar a impedir ataques que possam utilizar outras portas, recomendamos que você bloqueie todas as comunicações não solicitadas provenientes da Internet. Sugerimos uma negação abrangente com exceções de regras de permissão (listagem aprovada). 

Observação O método de listagem aprovada nesta seção bloqueia o tráfego NetBIOS e SMB implicitamente ao não incluir uma regra de permissão. 

Exemplo 2:
Negar tudo
Permitir 53 DNS
Permitir 21 FTP
Permitir 80 HTTP
Permitir 443 HTTPS
Permitir 143 IMAP
Permitir 123 NTP
Permitir 110 POP3
Permitir 25 SMTP

A lista de portas permitidas não é exaustiva. Dependendo das necessidades corporativas, podem ser necessárias entradas de firewall adicionais. 
Impacto da solução alternativa

Vários serviços do Windows utilizam as portas afetadas. Bloquear a conectividade com as portas pode impedir que vários aplicativos ou serviços funcionem. Alguns dos aplicativos ou serviços que podem ser afetados incluem os seguintes:
Aplicativos que usam SMB (CIFS)

Aplicativos que usam slots de correio ou pipes nomeados (RPC via SMB)
Servidor (compartilhamento de arquivos e impressão) 
Política de Grupo
Logon de rede
Sistema de Arquivos Distribuído (DFS)
Licenciamento do servidor de terminal 
Spooler de impressão 
Navegador do computador 

Localizador de chamadas de procedimento remoto 
Serviço de fax 
Serviço de indexação 
Logs e alertas de desempenho
Systems Management Server
Serviço de registro de licenças 
Como desfazer a solução alternativa
Desbloqueie as portas no firewall. Para obter mais informações sobre portas, consulte Atribuições de portas TCP e UDP.

Referências
Aplicativos remotos do Azure https://azure.microsoft.com/en-us/documentation/articles/remoteapp-ports/
IPs de datacenter do Azure http://go.microsoft.com/fwlink/?LinkId=825637
Microsoft Office https://support.office.com/pt-br/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2

  • 0 Usuários acharam útil
Esta resposta lhe foi útil?

Related Articles

Controle de Acesso HTTP (CORS)

Compartilhamento de recursos de origens cruzadas é um mecanismo que usa cabeçalhos HTTP...

Como posso ter o monitoramento 24x7 para meus servidor ou hospedagem?

Nós disponibilizamos um script para monitoramento de websites em servidores da HostCuritiba,...

Como verificar MD5, SHA1 e SHA256 Checksum

Se você precisar verificar rapidamente e facilmente a soma de hash, ou checksum, de um software...

Como proteger seus dados e da sua empresa contra Ransomware

1. Backup de SegurançaPara não ficar nas mãos de hackers que sequestram dados ou compilam seus...

Como restringir acesso usando .htaccess

O .htaccess é um arquivo de configuração utilizado em servidores web Apache. Infelizmente, muitos...