none
Alternativa ao Netbios RRS feed

  • Pergunta

  • Fala galera!

    Estou com uma situação aqui na empresa e gostaria de uma ajuda do pessoal. Por motivos de segurança solicitadas por um cliente, tivemos que bloquear no firewall as portas 135,137,138 139.

    Pesquisei aqui sobre o protocolo alternativo ao Netbios e vi que o DirectSMB faz este papel. O problema é que ao tentar logar em uma estação, a mesma leva 12 min para autenticar. Percebemos no firewall o drop de pacotes na porta 135 e muito tempo depois o mesmo pacote passa na 445, ai acontece o logon.

    Existe uma forma de forçar no windows para que toda comunicação passe pela porta do DirectSMB e evite essa demora no logon?

    sexta-feira, 24 de junho de 2016 20:04

Respostas

  • Deixa eu ver se eu estendi bem... Você fez o bloqueio das portas 135, 137, 138 e 139 diretamente no Firewall, mas não marcou a opção Disable NetBIOS Over TCP/IP nas interfaces de rede dos computadores e servidores membros, correto?

    Direct hosting of SMB over TCP/IP

    E como o pedido foi feito por um cliente que pode não ter a menor idéia do que isso significa... Do I need NetBIOS?

    • Marcado como Resposta Thales F Quintas segunda-feira, 27 de junho de 2016 12:37
    sábado, 25 de junho de 2016 03:50
  • O que você pode fazer. liberar o tréfego NetBIOS para sua rede não ficar indisponivel, e homologar a aplicação desse Baseline de Segurança em um ambiente apartado para chegar ao ponto que deseja.

    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.

    • Marcado como Resposta desfrage quarta-feira, 6 de julho de 2016 13:04
    segunda-feira, 4 de julho de 2016 21:42
    Moderador

Todas as Respostas

  • Deixa eu ver se eu estendi bem... Você fez o bloqueio das portas 135, 137, 138 e 139 diretamente no Firewall, mas não marcou a opção Disable NetBIOS Over TCP/IP nas interfaces de rede dos computadores e servidores membros, correto?

    Direct hosting of SMB over TCP/IP

    E como o pedido foi feito por um cliente que pode não ter a menor idéia do que isso significa... Do I need NetBIOS?

    • Marcado como Resposta Thales F Quintas segunda-feira, 27 de junho de 2016 12:37
    sábado, 25 de junho de 2016 03:50
  • O cliente é uma instituição financeira e possui uma equipe de segurança dedicada a montar um Baseline de segurança extremamente rigoroso sobre os ambientes que lhes servem. Uma empresa terceira faz a coleta das informações e configurações do ambiente e avalia o grau de risco que pode afetar a segurança do Banco.

    Eles estão bem servidos de informações sobre a segurança e o que lhes afeta ou nao. Uma das coisas que podem os afetar é a questão do NetBios, que foi desabilitado, porem me causando a lentidão no logon do usuário.

    Alguma sugestão?

    terça-feira, 28 de junho de 2016 11:30
  • Eu vou refazer a pergunta pela segunda e ultima vez ja que nao deve ter ficado muito clara...

    Você fez o bloqueio das portas 135, 137, 138 e 139 diretamente no Firewall, mas não marcou a opção Disable NetBIOS Over TCP/IP nas interfaces de rede dos computadores e servidores membros, correto?


    terça-feira, 28 de junho de 2016 12:52
  • Sim, foi bloqueado as portas 135, 137, 138 e 139 no firewall e a opção de desabilitar o NB sobre TCP/IP ainda não estava desativada no servidor em questão, somente no DC. Mesmo desativando na ponta, o logon demora uns 12 min. Ao liberar as portas e habilitar o NB sobre TCP, o logon volta ao normal (35seg) para logar.
    terça-feira, 28 de junho de 2016 18:20
  • Você validou como está definido o tráfego nas interfaces do servidor como mostrado no primeiro artigo informado anteriormente? Se você desativou a opção nas interfaces de rede, o sistema operacional não deveria usar as portas do NetBIOS.
    terça-feira, 28 de junho de 2016 21:03
  • Sim, validei. De ponta a ponta esta desabilitado. Conseguimos realizar o logon, mas leva cerca de 10 a 12 min.

    Verifiquei os logs do Windows em busca de informações ou erros, mas nada.

    quarta-feira, 29 de junho de 2016 12:31
  • Já rodou um tcpdump no Firewall (Linux) ? ou algum tipo de monitoramento que o seu firewall, para identificar o que ocorre quando o client tenta logar ? Algum evento no windows de erro ou aviso ? talvez não liberaram todas as portas e protocolos necessários, conforme o link repassado pelo Anderson.

    https://support.microsoft.com/en-us/kb/204279

    Direct hosted "NetBIOS-less" SMB traffic uses port 445 (TCP and UDP). In this situation, a four-byte header precedes the SMB traffic. The first byte of this header is always 0x00, and the next three bytes are the length of the remaining data.


    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.

    quarta-feira, 29 de junho de 2016 14:40
    Moderador
  • Fala pessoal. Verifiquei aqui e as portas do netbios estavam bloqueadas e somente a 445 estava permitindo o trafego. O problema ainda persiste. Percebe-se que a requisição passa um bom tempo solicitando acesso a porta bloqueada para só então, depois de muitas tentativas, direcionar para a porta 445 e neste caso passa.

    Atrelado a isso, me veio um outro problema com o File Server que parou de reconhecer o namespace DFS e parou todo compartilhamento da rede. 

    Ja nao sei o que fazer.

    segunda-feira, 4 de julho de 2016 15:31
  • O que você pode fazer. liberar o tréfego NetBIOS para sua rede não ficar indisponivel, e homologar a aplicação desse Baseline de Segurança em um ambiente apartado para chegar ao ponto que deseja.

    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.

    • Marcado como Resposta desfrage quarta-feira, 6 de julho de 2016 13:04
    segunda-feira, 4 de julho de 2016 21:42
    Moderador
  • Pois e Felipe, infelizmente não consegui encontrar uma solução e terei que ir homologando por partes.

    De qualquer forma, valeu pela atenção pessoal.

    quarta-feira, 6 de julho de 2016 13:06