Diretrizes para bloquear portas de firewall específicas e impedir que o tráfego SMB saia do ambiente corporativo

Sumário
Usuários mal-intencionados podem usar o protocolo SMB para fins maliciosos. 

Práticas recomendadas de firewall e configurações de firewall podem aumentar a segurança da rede, ajudando a evitar que o tráfego potencialmente mal-intencionado atravesse o perímetro da empresa. 

Firewalls no perímetro da empresa devem bloquear comunicações não solicitadas (provenientes da Internet) e o tráfego de saída (para a Internet) nas seguintes portas associadas ao SMB:

137
138
139
445
Mais Informações
Essas portas podem ser usadas para iniciar uma conexão com um servidor SMB baseado na Internet potencialmente mal-intencionado. O tráfego SMB deve ficar restrito a redes privadas ou redes virtuais privadas (VPNs). 

Sugestão 

Bloquear essas portas no firewall de borda ou perímetro da empresa ajuda a proteger sistemas que estão atrás desse firewall contra tentativas de aproveitar o SMB para fins mal-intencionados. As organizações podem permitir que a porta 445 acesse intervalos de IPs específicos do Datacenter do Azure (consulte a referência a seguir) para habilitar cenários híbridos no qual os clientes no local (atrás de um firewall corporativo) usam a porta SMB para falar com o armazenamento de arquivos do Azure.

Abordagens 

Firewalls de perímetro normalmente usam as metodologias de regras de "Listagem de bloqueios" ou "Listagem aprovada" ou ambas. 

Listagem de bloqueio 
Permite o tráfego, a menos que uma regra de negação (listada como bloqueio) o impeça. 

Exemplo 1:
Permitir tudo
Negar 137 serviços de nome
Negar 138 serviços de datagrama
Negar 139 serviço de sessão
Negar 445 serviço de sessão

Listagem aprovada 
Nega o tráfego, a menos que uma regra de permissão o permita. 

Para ajudar a impedir ataques que possam utilizar outras portas, recomendamos que você bloqueie todas as comunicações não solicitadas provenientes da Internet. Sugerimos uma negação abrangente com exceções de regras de permissão (listagem aprovada). 

Observação O método de listagem aprovada nesta seção bloqueia o tráfego NetBIOS e SMB implicitamente ao não incluir uma regra de permissão. 

Exemplo 2:
Negar tudo
Permitir 53 DNS
Permitir 21 FTP
Permitir 80 HTTP
Permitir 443 HTTPS
Permitir 143 IMAP
Permitir 123 NTP
Permitir 110 POP3
Permitir 25 SMTP

A lista de portas permitidas não é exaustiva. Dependendo das necessidades corporativas, podem ser necessárias entradas de firewall adicionais.

Impacto da solução alternativa

Vários serviços do Windows utilizam as portas afetadas. Bloquear a conectividade com as portas pode impedir que vários aplicativos ou serviços funcionem. Alguns dos aplicativos ou serviços que podem ser afetados incluem os seguintes:
  • Aplicativos que usam SMB (CIFS)
  • Aplicativos que usam slots de correio ou pipes nomeados (RPC via SMB)
  • Servidor (compartilhamento de arquivos e impressão) 
  • Política de Grupo
  • Logon de rede
  • Sistema de Arquivos Distribuído (DFS)
  • Licenciamento do servidor de terminal 
  • Spooler de impressão 
  • Navegador do computador 
  • Localizador de chamadas de procedimento remoto 
  • Serviço de fax 
  • Serviço de indexação 
  • Logs e alertas de desempenho 
  • Systems Management Server
  • Serviço de registro de licenças 

Como desfazer a solução alternativa

Desbloqueie as portas no firewall. Para obter mais informações sobre portas, consulte Atribuições de portas TCP e UDP.

Referências

Aplicativos remotos do Azure https://azure.microsoft.com/en-us/documentation/articles/remoteapp-ports/

IPs de datacenter do Azure http://go.microsoft.com/fwlink/?LinkId=825637

Microsoft Office https://support.office.com/pt-br/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2
Propriedades

ID do Artigo: 3185535 - Última Revisão: 09/01/2016 14:41:00 - Revisão: 3.0

Windows 10, Windows 10 Version 1511, Windows 10 Version 1607, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2

  • kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB3185535
Comentários