Recommandations relatives au blocage de ports de pare-feu spécifiques pour empêcher le trafic SMB de quitter l'environnement d'entreprise

Résumé
Les utilisateurs malveillants peuvent utiliser le protocole SMB (Server Message Block) à des fins malveillantes. 

Les pratiques recommandées du pare-feu et les configurations de pare-feu peuvent améliorer la sécurité du réseau en contribuant à empêcher le trafic potentiellement malveillant de pénétrer dans le périmètre de l'entreprise. 

Les pare-feu du périmètre de l'entreprise doivent bloquer les communications non sollicitées (provenant d'Internet) et le trafic sortant (à destination d'Internet) sur les ports SMB suivants :

137
138
139
445
Plus d'informations
Ces ports peuvent être utilisés pour établir une connexion avec un serveur SMB Internet potentiellement malveillant. Le trafic SMB doit être restreint aux réseaux privés ou aux réseaux privés virtuels (VPN). 

Suggestion 

En bloquant ces ports au niveau du pare-feu de périmètre de l'entreprise, vous contribuez à protéger les systèmes situés derrière celui-ci des tentatives d'exploitation du protocole à des fins malveillantes. Une organisation peut autoriser l'accès au port 445 à des plages IP de centre de données Azure (voir la référence suivante) pour mettre en place des scénarios hybrides dans lesquels les clients sur site (derrière un pare-feu d'entreprise) utilisent le port SMB pour communiquer avec Azure File Storage.

Approches 

Les pare-feu de périmètre utilisent généralement les méthodes de « liste de blocage » et/ou de règle de « liste approuvée ». 

Liste de blocage 
Autoriser le trafic, sauf si une règle de refus (liste de blocage) l'empêche. 

Exemple 1
Autoriser tout
Refuser 137 (services de noms)
Refuser 138 (services de datagrammes)
Refuser 139 (service de session)
Refuser 445 (service de session)

Liste approuvée 
Refuser le trafic, sauf si une règle d'autorisation l'autorise. 

Pour vous aider à empêcher les attaques pouvant utiliser d'autres ports, nous vous recommandons de bloquer toutes les communications non sollicitées provenant d'Internet. Nous suggérons d'utiliser un refus global avec des exceptions de règle d'autorisation (liste approuvée). 

Remarque La méthode de liste approuvée de cette section bloque de manière implicite le trafic NetBIOS et SMB en n'incluant pas une règle d'autorisation. 

Exemple 2
Refuser tout
Autoriser 53 DNS
Autoriser 21 FTP
Autoriser 80 HTTP
Autoriser 443 HTTPS
Autoriser 143 IMAP
Autoriser 123 NTP
Autoriser 110 POP3
Autoriser 25 SMTP

La liste de ports autorisés n'est pas exhaustive. Des entrées de pare-feu supplémentaires peuvent être nécessaires en fonction des besoins de votre entreprise.

Impact de cette solution de contournement

Plusieurs services Windows utilisent ces ports. Bloquer ces ports peut entraîner un dysfonctionnement de certaines applications ou services. Les applications ou services pouvant être concernés sont, entre autres, les suivants :
  • Applications qui utilisent SMB (CIFS)
  • Applications utilisant des mailslots ou des canaux nommés (named pipes) (RPC sur SMB)
  • Serveur (partage de fichiers et d'impression) 
  • Stratégie de groupe
  • Ouverture de session réseau (Net Logon)
  • Système de fichiers distribués (DFS)
  • Gestionnaire de licences TS 
  • Spouleur d'impression 
  • Explorateur d'ordinateurs 
  • Localisateur d'appels de procédure distante (RPC) 
  • Service de télécopie 
  • Service d'indexation 
  • Journaux et alertes de performances 
  • Systems Management Server
  • Service d'enregistrement de licence 

Procédure d'annulation de cette solution de contournement

Débloquez les ports au niveau du pare-feu. Pour plus d'informations sur les ports, consultez l'article consacré aux affectations des ports TCP et UDP (en anglais).

Références

Azure RemoteApp https://azure.microsoft.com/en-us/documentation/articles/remoteapp-ports/

IP de centre de données Azure http://go.microsoft.com/fwlink/?LinkId=825637

Microsoft Office https://support.office.com/fr-fr/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2
Propriétés

ID d'article : 3185535 - Dernière mise à jour : 09/01/2016 14:41:00 - Révision : 3.0

Windows 10, Windows 10 Version 1511, Windows 10 Version 1607, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2

  • kbexpertiseinter kbsecurity kbsecvulnerability KB3185535
Commentaires