Directrices para el bloqueo de los puertos de firewall específicos para evitar que el tráfico SMB deje el entorno corporativo

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 3185535
Resumen
Los usuarios malintencionados pueden utilizar el protocolo bloque de mensajes de servidor (SMB) con fines malintencionados.

Las prácticas recomendadas y las configuraciones de firewall pueden mejorar la seguridad de red al ayudar a evitar que el tráfico potencialmente malintencionado atraviese el perímetro de la empresa.

Los firewalls perimetrales de empresa deben bloquear la comunicación no solicitada (de Internet) y outgoingtraffic (en Internet) a los puertos asociados de SMB siguientes:

137
138
139
445
Más información
Estos puertos pueden utilizarse para iniciar una conexión con un servidor SMB basado en Internet potencialmente malintencionado. Tráfico SMB debe estar restringido a redes privadas o redes privadas virtuales (VPN).

Sugerencia

Bloquear estos puertos en el firewall de perímetro o arista enterprise ayuda a proteger los sistemas situados detrás de dicho firewall de intentos para aprovechar que SMB para purposes.Organizations malintencionado puede permitir el acceso del puerto 445 a determinados intervalos de IP de Datacenter de Azure (vea la siguiente referencia) para habilitar escenarios híbrido donde los clientes locales (detrás de un firewall corporativo) utilizan el puerto SMB para hablar conAlmacenamiento de archivos de Azure.

Enfoques

Los firewalls perimetrales suelen utilizan "Bloquear anuncios" o "Listado" aprobado"regla de metodologías, o ambos.

Listas de bloqueo
Permitir el tráfico a menos que una lista de denegación (lista de bloqueo) lo impida.

Ejemplo 1
Permitir todo
Denegar servicios de nombre 137
Denegar servicios de datagrama 138
Denegar servicio de sesión 139
Denegar servicio de sesión 445

Lista de elementos aprobados
Denegar el tráfico a menos que una regla de aprobación lo permita.

Para ayudar a impedir ataques que puedan utilizar otros puertos, le recomendamos que bloquee toda comunicación no solicitada de Internet. Se sugiere un rechazo global, con excepciones de regla de aprobación (lista de elementos aprobados).

Nota: El método de listas de elementos aprobados de esta sección bloquea implícitamente el tráfico SMB y NetBIOS al no incluir una regla de elementos permitidos.

Ejemplo 2
Denegar todo
Permitir 53 DNS
Permitir 21 FTP
Permitir 80 HTTP
Permitir 443 HTTPS
Permitir entrada IMAP 143
Permitir NTP 123
Permitir entrada POP3 110
Permitir 25 SMTP

Permitir a la lista de puertos no es exhaustiva. Función corporativa necesita firewall adicional de entradas pueden ser necesaria.

Consecuencias de la solución

Varios servicios de Windows usan los puertos afectados. Bloqueando la conectividad a los puertos puede impedir que varias aplicaciones o servicios funcionen. Algunas de las aplicaciones o servicios que podrían verse afectados son los siguientes:
  • Aplicaciones que usan SMB (CIFS)
  • Aplicaciones que usan procesadores de mensajes o canalizaciones (RPC sobre SMB)
  • Servidor (compartir archivos e impresoras)
  • Directiva de grupo
  • Net Logon
  • Sistema de archivos distribuido (DFS)
  • Licencias de Terminal server
  • Cola de impresión
  • Examinador de equipos
  • Ubicador de llamada a procedimiento remoto
  • Servicio de fax
  • Servicio de Index Server
  • Alertas y registros de rendimiento
  • Systems Management Server
  • Servicio registro de licencias

Cómo deshacer la solución provisional

Desbloquear los puertos en el firewall. Para obtener más información acerca de puertos, consulte Asignaciones de puertos TCP y UDP.

Referencias

Aplicaciones remotas Azure https://Azure.Microsoft.com/en-us/Documentation/articles/RemoteApp-Ports/

Datacenter Azure IPs http://go.Microsoft.com/fwlink/?LinkId=825637

Microsoft Officehttps://support.Office.com/en-us/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 3185535 - Última revisión: 09/18/2016 06:04:00 - Revisión: 3.0

Windows 10, Windows 10 Version 1511, Windows 10 Version 1607, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2

  • kbexpertiseinter kbsecurity kbsecvulnerability kbmt KB3185535 KbMtes
Comentarios