NetBIOS ist eine Programmierschnittstelle zur Kommunikation zwischen Programmen über ein lokales Netzwerk. NetBIOS-über-TCP/IP ist ein Netzwerkprotokoll, das es ermöglicht, auf der Programmierschnittstelle NetBIOS aufbauende Programme über das Netzwerkprotokoll TCP/IP zu verwenden. NetBIOS enthält einen Namensdienst, bei Microsoft-Windows-Betriebssystemen häufig als WINS bezeichnet. Der NetBIOS-Namensdienst verwendet Port 137/udp.

Der NetBIOS-Namensdienst wird nur in lokalen Netzwerken und mit Systemen vor Microsoft Windows 2000 benötigt, welche eine Namensauflösung über WINS erfordern. Andernfalls, insbesondere im Internet, erfolgt die Namensauflösung über DNS. Es ist daher nicht sinnvoll, einen NetBIOS-Namensdienst im Internet anzubieten.

Problem

Offen aus dem Internet erreichbare NetBIOS-Namensdienste können für DDoS-Reflection-Angriffe gegen IT-Systeme Dritter missbraucht werden. Darüber hinaus können Angreifer die Schwachstelle potenziell nutzen, um Informationen über das System bzw. Netzwerk zur Vorbereitung weiterer Angriffe auszuspähen.

Prüfung

Dieser Abschnitt beschreibt, wie Sie Ihr System auf einen offenen Dienst prüfen können. Es existieren üblicherweise mehrere Wege, dies zu testen. Das hier beschriebene Verfahren ist eines davon. Für alle hier beschriebenen Testverfahren werden Programme verwendet, die in gängigen Linux/Unix-Distributionen enthalten sind. Um zu überprüfen, ob ein Dienst offen aus dem Internet erreichbar ist, sollte die Prüfung nicht auf dem System selbst oder im lokalen Netzwerk erfolgen, sondern von einem anderen System im Internet, zum Beispiel an einem Kabel/DSL-Internetzugang. In allen Beispielen muss 192.168.45.67 durch die IP-Adresse des Systems ersetzt werden, welches geprüft werden soll.

Um zu überprüfen, ob sich unter einer IP-Adresse ein offen aus dem Internet erreichbarer NetBIOS-Namensdienst befindet, kann das Programm 'nmblookup' wie folgt verwendet werden:

$ nmblookup -A 192.168.45.67

Ein offen erreichbarer NetBIOS-Namensdienst liefert Informationen wie zum Beispiel die folgenden zurück:

Looking up status of 192.168.45.67

        HOSTNAME        <00> -         B <ACTIVE>

        WORKGROUP       <00> - <GROUP> B <ACTIVE>

        HOSTNAME        <20> -         B <ACTIVE>

        WORKGROUP       <1e> - <GROUP> B <ACTIVE>

        MAC Address = 12-34-56-78-90-AB

Ist unter der IP-Adresse kein offener NetBIOS-Namendienst erreichbar, läuft die Anfrage in einen Timeout:

Looking up status of 192.168.45.67

No reply from 192.168.45.67

Lösung

Wenn NetBIOS-über-TCP/IP nicht benötigt wird, deaktivieren Sie es. Andernfalls beschränken Sie den Zugriff auf den NetBIOS-Namensdienst auf vertrauenswürdige Clients, zum Beispiel durch die Blockierung eingehender Verbindungen auf Port 137 tcp/udp auf der Firewall. Aus Sicherheitsgründen empfielt es sich, ebenfalls den Zugriff auf die Ports 135, 138, 139 und 445 tcp/udp aus dem Internet zu blockieren.

Auf Linux/Unix-Systemen wird der NetBIOS-Namensdienst üblicherweise durch den in Samba enthaltenen Dienst 'nmbd' bereitgestellt. Wenn Sie Samba nicht benötigen, deaktivieren oder deinstallieren Sie es. Andernfalls kann NetBIOS durch den Eintrag von

disable netbios = Yes

in der Konfigurationsdatei von Samba deaktiviert werden.

Weitere Informationen

• Wikipedia: NetBIOS
• Akamai: NetBIOS, RPC Portmap and Sentinel Reflection DDoS Attacks
• GeekFlare: Disable NetBIOS over TCP/IP in Windows 8