Directrices para el bloqueo de los puertos de firewall específicos para evitar que el tráfico SMB deje el entorno corporativo

Se aplica a: Windows 10Windows 10 Version 1511Windows 10 Version 1607

Resumen


Los usuarios malintencionados pueden utilizar el protocolo bloque de mensajes de servidor (SMB) con fines malintencionados.

Las prácticas recomendadas y las configuraciones de firewall pueden mejorar la seguridad de red al ayudar a evitar que el tráfico potencialmente malintencionado atraviese el perímetro de la empresa.

Los firewalls perimetrales de Enterprise deben bloquear la comunicación no solicitada (de Internet) y el tráfico saliente (a Internet) a los puertos asociados de SMB siguientes:

137
138
139
445

Más información


Estos puertos pueden utilizarse para iniciar una conexión con un servidor SMB basado en Internet potencialmente malintencionado. Tráfico SMB debe estar restringido a redes privadas o redes privadas virtuales (VPN).

Sugerencia

El bloqueo de estos puertos en el firewall de perímetro o el extremo empresarial ayuda a proteger los sistemas situados detrás de dicho firewall de intentos para aprovechar SMB con fines malintencionados. Las organizaciones pueden permitir el acceso de puerto 445 a determinados intervalos de IP de Datacenter de Azure (vea la siguiente referencia) para habilitar escenarios híbrido donde los clientes locales (detrás de un firewall corporativo) utilizan el puerto SMB para hablar con el almacenamiento de archivos de Azure.

Enfoques

Los firewalls perimetrales suelen utilizan "Bloquear anuncios" o "Listado" aprobado"regla de metodologías, o ambos.

Listas de bloqueo
Permitir el tráfico a menos que una lista de denegación (lista de bloqueo) lo impida.

Ejemplo 1
Permitir todo
Denegar servicios de nombre 137
Denegar servicios de datagrama 138
Denegar servicio de sesión 139
Denegar servicio de sesión 445

Lista de elementos aprobados
Denegar el tráfico a menos que una regla de aprobación lo permita.

Para ayudar a impedir ataques que puedan utilizar otros puertos, le recomendamos que bloquee toda comunicación no solicitada de Internet. Se sugiere un rechazo global, con excepciones de regla de aprobación (lista de elementos aprobados).

Nota El método de listas de elementos aprobados de esta sección bloquea implícitamente el tráfico SMB y NetBIOS al no incluir una regla de elementos permitidos.

Ejemplo 2
Denegar todo
Permitir 53 DNS
Permitir 21 FTP
Permitir 80 HTTP
Permitir 443 HTTPS
Permitir entrada IMAP 143
Permitir NTP 123
Permitir entrada POP3 110
Permitir 25 SMTP

Permitir a la lista de puertos no es exhaustiva. Función corporativa necesita firewall adicional de entradas pueden ser necesaria.

Consecuencias de la solución

Varios servicios de Windows usan los puertos afectados. Bloqueando la conectividad a los puertos puede impedir que varias aplicaciones o servicios funcionen. Algunas de las aplicaciones o servicios que podrían verse afectados son los siguientes:
  • Aplicaciones que usan SMB (CIFS)
  • Aplicaciones que usan procesadores de mensajes o canalizaciones (RPC sobre SMB)
  • Servidor (compartir archivos e impresoras)
  • Directiva de grupo
  • Net Logon
  • Sistema de archivos distribuido (DFS)
  • Licencias de Terminal server
  • Cola de impresión
  • Examinador de equipos
  • Ubicador de llamada a procedimiento remoto
  • Servicio de fax
  • Servicio de Index Server
  • Alertas y registros de rendimiento
  • Systems Management Server
  • Servicio registro de licencias

Cómo deshacer la solución provisional

Desbloquear los puertos en el firewall. Para obtener más información acerca de puertos, vea asignaciones de puertos TCP y UDP.

Referencias

Aplicaciones remotas Azure https://azure.microsoft.com/en-us/documentation/articles/remoteapp-ports/

Datacenter Azure IPs http://go.microsoft.com/fwlink/?LinkId=825637

Microsoft Office https://support.office.com/en-us/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2