Richtlinien für die Sperrung bestimmter Firewall-Ports, um zu verhindern, dass SMB-Datenverkehr die Unternehmensumgebung verlässt

Zusammenfassung
Böswillige Benutzer können das Server Message Block (SMB)-Protokoll missbrauchen. 

Bewährte Methoden für die Firewall und eine korrekte Firewall-Konfiguration verbessern die Netzwerksicherheit, indem sie verhindern, dass potenziell schädlicher Datenverkehr die Unternehmensumgebung verlässt. 

Firewalls am Perimeter der Unternehmensumgebung müssen dazu unerwünschte Kommunikation (aus dem Internet) und ausgehenden Datenverkehr (in Richtung Internet) auf den folgenden, von SMB verwendeten Ports blockieren:

137
138
139
445
Weitere Informationen
Diese Ports können verwendet werden, um eine Verbindung mit einem potenziell schädlichen internetbasierten SMB-Server aufzubauen. Der SMB-Datenverkehr sollte auf private Netzwerke oder virtuelle private Netzwerke (VPNs) eingeschränkt werden. 

Empfehlung 

Sperren Sie diese Ports in der Firewall am Rand bzw. Perimeter der Unternehmensumgebung, um Systeme hinter der Firewall vor SMB-Missbrauch für bösartige Zwecke zu schützen. Unternehmen können den Zugriff über Port 445 auf bestimmte IP-Bereiche für Azure-Rechenzentren erlauben (siehe die folgende Referenz), um hybride Szenarien zu ermöglichen, bei denen lokale Clients (hinter einer Enterprise-Firewall) den SMB-Port für die Kommunikation mit Azure-Datenspeicher verwenden.

Ansätze 

Umkreisfirewalls verwenden normalerweise Sperrlisten und/oder Genehmigungslisten. 

Sperrlisten 
Sämtlicher Datenverkehr, der nicht durch eine (Sperrlisten-) Regel verboten ist, darf passieren. 

Beispiel 1
Allow all
Deny 137 name services
Deny 138 datagram services
Deny 139 session service
Deny 445 session service

Genehmigungsliste 
Sämtlicher Datenverkehr, der nicht durch eine Regel erlaubt ist, wird blockiert. 

Um sich vor Angriffen auf anderen Ports zu schützen, sollten Sie sämtliche unerwünschte Kommunikation aus dem Internet blockieren. Dazu empfehlen wir eine allgemeine Blockierregel mit Regeln für den erlaubten Datenverkehr (Genehmigungsliste). 

Hinweis: Die hier gezeigte Genehmigungsliste blockiert den NetBIOS- und SMB-Datenverkehr implizit, indem keine entsprechende Genehmigungsregel angegeben wird. 

Beispiel 2
Deny all
Allow 53 DNS
Allow 21 FTP
Allow 80 HTTP
Allow 443 HTTPS
Allow 143 IMAP
Allow 123 NTP
Allow 110 POP3
Allow 25 SMTP

Die Liste der erlaubten Ports ist nicht vollständig. Je nach Unternehmensanforderungen sind ggf. weitere Firewalleinträge erforderlich.

Auswirkungen der Problemumgehung

Verschiedene Windows-Dienste nutzen die betroffenen Ports. Die Sperrung dieser Ports kann dazu führen, dass verschiedene Anwendungen oder Dienste nicht mehr funktionieren. Es können unter anderem die folgenden Anwendungen oder Dienste betroffen sein:
  • Anwendungen, die SMB verwenden (CIFS)
  • Anwendungen, die Mailslots oder Named Pipes verwenden (RPC über SMB)
  • Server (Datei- und Druckerfreigabe) 
  • Gruppenrichtlinie
  • Netzwerkanmeldung
  • Verteiltes Dateisystem (DFS)
  • Terminal Server-Lizenzierung 
  • Druckerspooler 
  • Computerbrowser 
  • RPC-Locator 
  • Faxdienst 
  • Indexdienst 
  • Leistungsdatenprotokolle und Warnungen 
  • Systems Management Server
  • Lizenzprotokollierungsdienst 

Rückgängigmachen der Problemumgehung

Heben Sie die Sperrung der Ports in der Firewall auf. Weitere Informationen zu Ports finden Sie unter TCP- und UDP-Portzuweisungen.

Informationsquellen

Azure RemoteApps https://azure.microsoft.com/en-us/documentation/articles/remoteapp-ports/

IPs der Azure-Rechenzentren http://go.microsoft.com/fwlink/?LinkId=825637

Microsoft Office https://support.office.com/de-de/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2
Vlastnosti

ID článku: 3185535 - Poslední kontrola: 09/01/2016 14:41:00 - Revize: 3.0

Windows 10, Windows 10 Version 1511, Windows 10 Version 1607, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2

  • kbexpertiseinter kbsecurity kbsecvulnerability KB3185535
Váš názor