Bloqueo efectivo de conexiones SMB en AsusWRT

Question

Bloqueo efectivo de conexiones SMB en AsusWRT

#1 de DKNUCKLES (2 votos)

2

Hace poco un cryptolocker me atacó (no estoy seguro de si es WannaCry) y ahora estoy revisando mis políticas de red. Para alcanzar este objetivo, quiero desactivar toda la actividad SMB para PC infectada. Sorprendentemente, incluso haciendo todo de acuerdo con > pautas , mi tráfico SMB no está bloqueado de todos modos.

Bloqueé los puertos 137,138 (UDP) y 139, 445 (TCP) en el nivel del enrutador (AsusWRT), pero todavía puedo acceder a los recursos compartidos de PC objetivo. ¿Por qué? La única medida que ayudó fue detener el servicio Servidor en la PC de destino. Aquí está mi tabla de reglas de firewall concerniente a estas dos máquinas.

Quiero resaltar, esta es la tabla lista blanca , por lo que denota solo las conexiones que están permitidas entre el Servidor (es decir, el servidor SMB) y el Cliente (es decir, SMB) cliente).

Como puede ver, esos puertos están permitidos en el cliente. ¿Es la razón por la que el tráfico SMB está fluyendo? ¿Podemos bloquear efectivamente SMB solo para un servidor, sin afectar al cliente?

P.S. El servidor es Win8.1 Pro, el cliente es Win10 Pro Creators Update, ambos tienen direcciones 192.168.X.X.

firewalls wannacry router ports smb

pregunta Suncatcher 21.05.2017 - 13:26

fuente

1 respuesta

Lea otras preguntas en las etiquetas firewalls wannacry router ports smb

¿Puedo usar un cifrado de una URL como contraseña para usar en esa URL? Certificados autofirmados o firmados por CA en servidores internos

score 2 · Accepted Answer

La mayoría de los enrutadores de consumo tienen un solo puerto que va a la WAN y cuatro (u otros) puertos dedicados a la LAN. En el caso de AsusWRT, parece que esos cuatro puertos están conmutados y no enrutados, y por lo tanto operan en la capa 2 del modelo OSI.

A medida que el tráfico entre el puerto WAN y los puertos de LAN se enruta, es posible un firewall tradicional, ya que esto ocurre en la capa 3. El tráfico que se origina en su LAN y está destinado a otra computadora en la LAN (y viceversa) No viaja a través del firewall. Por lo tanto, no es posible hacer lo que espera hacer a nivel de red y este cortafuegos debe hacerse a nivel de host.

Veo su comentario que indica que los registros dicen que todo el tráfico está pasando a través del firewall, por lo que me encantaría ver esos registros si pudiera modificar su pregunta, pero dudo mucho que su enrutador sea capaz de realizar firewall de capa 3 en esos puertos de conmutador.