Descrizione guida |
La condivisione files e stampanti di Microsoft è un sistema utile ma anche molto pericoloso. Per gestire bene le implicazioni di sicurezza occorre avere ben chiari quali sono i sistemi che sottendono a questa tecnologia, e quali sono le modalità di trasporto sulla rete di questi servizi. |
Autore guida |
Andrea Beggi |
Sezione guida |
Tecnologia |
La condivisione files e stampanti di Microsoft è un sistema utile ma anche molto pericoloso. Per gestire bene le implicazioni di sicurezza occorre avere ben chiari quali sono i sistemi che sottendono a questa tecnologia, e quali sono le modalità di trasporto sulla rete di questi servizi. NetBIOS. TCP/135 – RCP. Questa porta è intrinsecamente pericolosa, poiché RPC è l’acronimo di “Remote Procedure Calls”, che veicola le richieste per i servizi residenti su macchine remote. Il servizio RCP funziona da tramite tra la macchina che fa la richiesta e la macchina che la riceve. Le richieste vengono ascoltate da un “end-point mapper service” che alloca dinamicamente una porta per fornire il servizio. Il meccanismo è simile all’RCP che si trova in *NIX,e sebbene non sia tecnicamente un servizio di sharing, è legato strettamente al networking di Windows. UDP/137 – NetBIOS Name Service. Questa porta viene usata per la risoluzione dei nomi su NetBIOS. Ha la stessa funzione di DNS o di RARP. Tutti e tre i servizi ritornano un indirizzo IP: da un nome NetBIOS, da un nome DNS o da un indirizzo MAC. UDP/138 – NetBIOS Datagram Service - serve per popolare la lista delle macchine visualizzate tramite “Sfoglia la rete”. TCP/139 – NetBIOS Session Service - la porta più conosciuta, su cui vengono trasferiti i files tramite TCP. Su questa porta vengono stabilite le NULL session, e su di essa si appoggia la condivisione files e stampanti di Windows. E’ la prima porta che deve essere chiusa per mettere in sicurezza un sistema Windows. All’inizio NetBIOS non era così pericoloso, perché era bindato al protocollo NetBeui. NetBeui non è routabile, quindi non è in grado di uscire dai confini della rete locale, il che rende i problemi di sicurezza più limitati. NetBIOS over TCP/IP Condivisione File e stampanti. Per rendere sicura la macchina è sufficiente disabilitare la condivisione file e stampanti via TCP/IP sull’interfaccia di rete esposta ad Internet. Condivisione file e stampanti è una cosa completamente separata da NetBIOS o dal NetBIOS over TCP/IP. E’ possibile disabilitare questi ultimi ma continuare ad usare la condivisione. In Windows 2000/XP la condivisione dei file funziona in modo diverso. Connettendosi ad un sistema Win2000/XP che ha attivati sia NetBIOS over TCP/IP sia il “direct hosting”, utilizzando una macchina che li usa entrambi, saranno tentati entrambi i metodi. Il servizio che risponde per primo sarà quello utilizzato per lo scambio, mentre l’altra connessione sarà terminata con un TCP RST. |