¿Por qué nuestro firewall de red elimina los paquetes netbios-ns?

3

En nuestro entorno de dominio local, usamos Sophos UTM para proteger nuestra red.

Cuando reviso los registros del cortafuegos, puedo ver que una gran cantidad de paquetes que el cortafuegos ha eliminado son transmisiones de netbios-ns (UDP 137). La comprobación de más detalles revela que todos estos paquetes bloqueados fueron generados por uno de los controladores de dominio.

Mis preguntas son:

  • ¿Cómo lidiar con esto?

  • ¿Por qué todos son generados por uno solo de nuestros servidores DNS y no los otros dos (tenemos 3 servidores DNS)?

Realmente me gustaría saber si es seguro deshabilitar NetBIOS ya que se supone que el DNS sirve para este propósito.

    
pregunta R. Blueryan 10.05.2016 - 06:58
fuente

3 respuestas

2

En general, es una buena idea desactivar el bot NBNS y LLMNR. Esto se debe al hecho de que ambos protocolos realizan la resolución de nombres a través de difusión (NBNS) o multidifusión (LLMNR) que no es seguro.

Para un atacante es posible realizar un Ataque MitM utilizando respuestas falsas. Cuando tienes WPAD deshabilitado hay una superficie de ataque más amplia. WPAD es el protocolo de detección automática de proxy web que utiliza Chrome e Internet Explorer para recibir automáticamente una configuración de proxy. Esto se puede usar para mitmar todo el tráfico basado en web de los usuarios de Chrome e Internet Explorer. Cuando se trata de Internet Explorer hay un problema crítico en particular. Internet Explorer enviará sus credenciales a través del NTLMv2 al atacante si el servicio WPAD que está proporcionando lo está pidiendo. Hay una herramienta bien implementada para realizar estos ataques que se llama Responder .

En un entorno moderno, puede desactivar ambos sin tener que enfrentar ningún problema. Cuando tenga clientes mac, también debe deshabilitar MDNS que es equivalente en manzanas a LLMNR.

    
respondido por el davidb 10.05.2016 - 09:31
fuente
1

Probablemente para evitar NBNS-Spoofing . Cualquiera puede responder a las solicitudes de NBNS y el anfitrión que realiza la solicitud aceptará cualquier respuesta. Esto habilita los ataques MitM. Tiene razón en que DNS proporciona el mismo servicio de forma más segura y, a menos que tenga algunos sistemas heredados en su red, debería ser seguro desactivar NetBIOS.

En el peor de los casos, tener NBNS habilitado puede hacer que una cuenta de administrador de dominio se vea comprometida por un atacante no autenticado (si la cuenta se usa de manera incorrecta y tiene una contraseña débil, nada que no se haya escuchado antes).

Supongo que, a diferencia de los otros dos DC, uno de sus DC está configurado para usar NBNS sobre DNS. Que yo sepa, los clientes imitan el comportamiento de los controladores de dominio en este caso de forma predeterminada.

    
respondido por el Volker 10.05.2016 - 09:11
fuente
0

No necesitas lidiar con nada. El comportamiento es normal para un firewall.

Cualquier firewall decente debería tener reglas para denegar implícitamente NetBIOS hacia Internet. No hacerlo puede dar lugar a situaciones como el conocido ataque de Wannacry.

Con respecto a los servidores DNS, uno de ellos puede tener roles adicionales instalados (como los servicios de actualización de clientes) que pueden usar NetBIOS, pero debería hacerlo solo dentro de su red.

Se puede considerar la desactivación total de NetBIOS solo después de verificar que todos los servicios que utiliza en su red no lo requieren.

    
respondido por el Overmind 22.02.2018 - 12:34
fuente

Lea otras preguntas en las etiquetas