Nieuws
image

"Windows-gebruiker moet NetBIOS dumpen"

woensdag 25 januari 2012, 11:49 door Redactie, 16 reacties

Het NetBIOS-protocol mag dan al bijna 30 jaar oud zijn, zelf in Windows 7 staat het nog steeds standaard ingeschakeld. NetBIOS is de afkorting voor Network Basic Input Output System en is een protocol waarmee systemen in een LAN kunnen communiceren. Door de jaren heen zijn verschillende kwetsbaarheden in het protocol ontdekt en ook misbruikt, waaronder spoofing-aanvallen. "Hoewel ik zeker was dat de oude NetBIOS spoofing-aanvallen niet meer zouden werken, was ik verbaasd dat zelfs Windows 7 nog steeds standaard NetBIOS over TCP/IP inschakelt", aldus Bojan Zdrnja van het Internet Storm Center.

Dit kan ernstige gevolgen voor de veiligheid van netwerken hebben, aangezien gebruikers van het ene naar het andere (draadloze) netwerk springen. Volgens Zdrnja is het dan ook de hoogste tijd om NetBIOS te dumpen. Via NetBIOS zou een aanvaller op het netwerk inloggegevens kunnen onderscheppen of de inhoud van het webverkeer kunnen bekijken.

Windows XP
"De gevolgen van deze kwetsbaarheden zijn zeer ernstig", merkt Zdrnja op. Zeker in het geval van Windows XP, waarbij LANMAN (LM) hashes die wachtwoorden bevatten, eenvoudig zijn te kraken. Gebruikers van Windows XP en Server 2003 krijgen dan ook het advies om LANMAN hashes uit te schakelen. Verder raadt Zdrnja alle Windows-gebruikers aan om NetBIOS over TCP/IP uit te schakelen. "Ik denk dat niemand het meer gebruikt."

Reacties (16)
25-01-2012, 11:58 door Anoniem
Ja, en emailgebruikers moeten SMTP dumpen.
25-01-2012, 12:08 door SirDice
Verder raadt Zdrnja alle Windows-gebruikers aan om NetBIOS over TCP/IP uit te schakelen. "Ik denk dat niemand het meer gebruikt."
Erm. Bestands- en printer delen? Dat gebruikt niemand meer?
25-01-2012, 12:32 door Spiff has left the building
Door SirDice:
Verder raadt Zdrnja alle Windows-gebruikers aan om NetBIOS over TCP/IP uit te schakelen. "Ik denk dat niemand het meer gebruikt."
Erm. Bestands- en printer delen? Dat gebruikt niemand meer?
Goeie opmerking, SirDice.

Voor wie NetBIOS over TCP/IP toch wil uitschakelen:
http://www.schoonepc.nl/instal/netwerk.html
Scroll naar het kadertje NETBIOS VIA TCP/IP UITSCHAKELEN.
Daarin wordt tevens netjes aangegeven:
"LET OP: Het is nu niet meer mogelijk computers in het netwerk op hun computernaam te benaderen, zoals bij het delen van bestanden wordt gedaan (het benaderen van de computers in het netwerk is nog wel mogelijk via het IP-adres)."

(Overigens, de informatie die Menno Schoone biedt wordt vast ook wel ergens door Microsoft aangeboden, maar die vind ik zo gauw niet.)
25-01-2012, 15:28 door d9ping
Het is bijna altijd raadzaam de administrative shares uit te zetten met netbios, zeker op een draadloos netwerk.

Hier is hoe dat kan, uitvoer van instructie op eigen risico.
Op opdrachtregel:
net share ADMIN$ /delete
net share C$ /delete
net share D$ /delete
enz. voor iedere gebruikte stations letter.

En met registry editor, de REG_DWORD key:
SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoShareWks
op waarde 0 zetten.
25-01-2012, 15:37 door Anoniem
Sorry Sir Dice maar als je nieuw xp installed vergeten velen dit soort dingen te doen dus deze herhaling van Tips en adviezen helemaal geen verkeerde zaak .En Ja ik was het vergeten dus er zullen er nog wel meer zijn .
25-01-2012, 15:54 door Anoniem
Door Spiff:
Door SirDice:
Verder raadt Zdrnja alle Windows-gebruikers aan om NetBIOS over TCP/IP uit te schakelen. "Ik denk dat niemand het meer gebruikt."
Erm. Bestands- en printer delen? Dat gebruikt niemand meer?
Goeie opmerking, SirDice.

Voor wie NetBIOS over TCP/IP toch wil uitschakelen:
http://www.schoonepc.nl/instal/netwerk.html
Scroll naar het kadertje NETBIOS VIA TCP/IP UITSCHAKELEN.
Daarin wordt tevens netjes aangegeven:
"LET OP: Het is nu niet meer mogelijk computers in het netwerk op hun computernaam te benaderen, zoals bij het delen van bestanden wordt gedaan (het benaderen van de computers in het netwerk is nog wel mogelijk via het IP-adres)."

(Overigens, de informatie die Menno Schoone biedt wordt vast ook wel ergens door Microsoft aangeboden, maar die vind ik zo gauw niet.)



is er dan een veiligere manier om bestanden te delen in het netwerk, hier in huis is zowat iedere pc gekoppelt aan het thuisnetwerk met aantal gedeelde mappen. niet dat hier persoonlijke bestanden in staan ( muziek en films etc)
25-01-2012, 16:23 door SirDice
Door Anoniem: Sorry Sir Dice maar als je nieuw xp installed vergeten velen dit soort dingen te doen dus deze herhaling van Tips en adviezen helemaal geen verkeerde zaak .En Ja ik was het vergeten dus er zullen er nog wel meer zijn .
De firewall staat standaard aan dus er kan toch niemand een connectie maken.
25-01-2012, 16:44 door Dennixx
Windows gebruikt vanaf (ik dacht) Windows 2000 ook SMB (poort 445) naast NETBIOS (poort 139). Behalve als je nog een windows 95/98/NT systeem hebt kan je probleemloos NETBIOS uitzetten, en gewoon nog shares benaderen (mits de systemen in DNS te vinden zijn)
25-01-2012, 16:50 door d9ping
De firewall staat standaard aan dus er kan toch niemand een connectie maken.
Wel profiel "Openbaar netwerk" kiezen onder windows vista / windows 7 die blokkeert netbios verkeer standaard, de andere 2 profielen doen dat standaard niet.
25-01-2012, 16:57 door SirDice
Door Dennixx: Windows gebruikt vanaf (ik dacht) Windows 2000 ook SMB (poort 445) naast NETBIOS (poort 139).
Niet helemaal. De 'oude' NetBIOS gebruikte poorten 137, 138 en 139. De 'nieuwe' variant, vanaf Windows 2000 inderdaad, gaat volledig over poort 445.

Behalve als je nog een windows 95/98/NT systeem hebt kan je probleemloos NETBIOS uitzetten, en gewoon nog shares benaderen (mits de systemen in DNS te vinden zijn)
Jij doelt hier waarschijnlijk op NetBEIU (wat eigenlijk NBF heet).

Alle drie de varianten kunnen gebruikt worden voor SMB/CIFS aka file and printer sharing.
25-01-2012, 17:31 door Dennixx
Door SirDice:
Door Dennixx: Windows gebruikt vanaf (ik dacht) Windows 2000 ook SMB (poort 445) naast NETBIOS (poort 139).
Niet helemaal. De 'oude' NetBIOS gebruikte poorten 137, 138 en 139. De 'nieuwe' variant, vanaf Windows 2000 inderdaad, gaat volledig over poort 445.

Dit heet dan SMB (over IP), en geen NETBIOS.
Overigens is poort 137 voor namelookups naar WINS.

Behalve als je nog een windows 95/98/NT systeem hebt kan je probleemloos NETBIOS uitzetten, en gewoon nog shares benaderen (mits de systemen in DNS te vinden zijn)
Jij doelt hier waarschijnlijk op NetBEIU (wat eigenlijk NBF heet).

Nope, netbeui is een netwerk protocol dat naast TCP/IP kan draaien (net als IPX/SPX).
Als je filesharing/shares koppelen in windows 95/98/nt doet (met alleen TCP/IP enabled) is dat NETBIOS over poort 139.
25-01-2012, 18:09 door SirDice
Door Dennixx: Dit heet dan SMB (over IP), en geen NETBIOS.
SMB kan direct over TCP/IP (poort 445) maar kan ook over NetBIOS over TCP/IP (NBT; poort 137,138 en 139), of NetBIOS over IPX/SPX (NBX), of over NetBEIU (NBF).

Het vervelende is dat iedereen alles NetBIOS noemt. Daarom had ik het over het 'oude' NetBIOS en het 'nieuwe'.

Note: SMB, an upper layer, is a service that runs on top of the Session Service and the Datagram service, and is not to be confused as a necessary and integral part of NetBIOS itself. It can now run atop TCP with a small adaptation layer that adds a packet length to each SMB message; this is necessary because TCP only provides a byte-stream service with no notion of packet boundaries.
http://en.wikipedia.org/wiki/NetBIOS
26-01-2012, 00:25 door Anoniem
Even voor de duidelijkheid omdat Netbios al jaren lang ten onrechte als protocol wordt aangemerkt, Netbios is een interface, geen protocol. Het is Netbios over TCP/IP of over welk protocol je maar wilt.
26-01-2012, 00:32 door Anoniem
Note: The Netbios interface is provided on versions of Windows prior to Windows Vista primarily for existing legacy applications that use IBM NetBIOS 3.0 and need to be ported to Windows. New applications and applications not requiring compatibility with NetBIOS should use other interfaces, such as mailslots, named pipes, RPC, sockets, or distributed COM to accomplish tasks similar to those supported by NetBIOS. These interfaces are more flexible and portable than NetBIOS.
26-01-2012, 07:40 door Anoniem
"Windows-gebruiker moet NetBIOS dumpen"? Zijn we weer in 2002?
26-01-2012, 10:23 door spatieman
computer uitlaten, is nog veiliger.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure