web-dev-qa-db-ja.com

ネットワークファイアウォールがnetbios-nsパケットをドロップするのはなぜですか?

ローカルドメイン環境では、Sophos UTMを使用してネットワークを保護します。

ファイアウォールのログを確認すると、ファイアウォールによってドロップされた膨大な数のパケットがnetbios-ns(UDP 137)ブロードキャストであることがわかります。詳細を確認すると、これらのブロックされたパケットがすべてDCの1つによって生成されたことがわかります。

私の質問は:

  • これに対処するには?

  • なぜすべてが1つのDNSサーバーだけで生成され、他の2つのサーバーでは生成されないのですか(3つのDNSサーバーがあります)?

DNSが目的を果たすことになっているので、NetBIOSを無効にしても安全かどうか本当に知りたいです。

2
R. Blueryan

一般に、ボットのNBNSとLLMNRを無効にすることをお勧めします。これは、両方のプロトコルが安全ではないブロードキャスト(NBNS)またはマルチキャスト(LLMNR)のいずれかを介して名前解決を実行するためです。

攻撃者にとって、なりすましの回答を使用してMitM攻撃を実行する可能性があります。 WPADを無効にすると、攻撃範囲が広がります。 WPADは、ChromeおよびInternet Explorerがプロキシ構成を自動的に受信するために使用するWebプロキシ自動検出プロトコルです。これは、ChromeおよびInternet ExplorerユーザーからのすべてのWebベースのトラフィックをMitMするために使用できます。 Internet Explorerに関しては、特定の重大な問題があります。 Internet Explorerは、提供しているWPADサービスが要求している場合、NTLMv2を介して攻撃者に資格情報を送信します。 Responder と呼ばれるこれらの攻撃を実行するための適切に実装されたツールがあります。

現代の環境では、問題に直面することなく両方を無効にできます。 Macクライアントがある場合は、LLMNRに相当するアップルであるMDNSも無効にする必要があります。

2
davidb

おそらく NBNS-Spoofing を防ぐためです。誰でもNBNS要求に答えることができ、要求側のホストはすべての答えを受け入れます。これにより、MitM攻撃が可能になります。 DNSは同じサービスをより安全に提供し、ネットワークにレガシーシステムがいくつかある場合を除いて、NetBIOSを無効にしても安全であると考えています。

最悪の場合、NBNSを有効にすると、認証されていない攻撃者によってドメイン管理者アカウントが侵害される可能性があります(アカウントが不適切に使用され、パスワードが脆弱な場合-これまで聞いたことがないもの)。

他の2つのDCとは異なり、DCの1つはDNS上でNBNSを使用するように構成されていると思います。私の知る限り、この場合、クライアントはデフォルトでDCの動作を模倣しています。

1
Volker

何もする必要はありません。ファイアウォールの動作は正常です。

適切なファイアウォールには、インターネットに対するNetBIOSを暗黙的に拒否するルールが必要です。そうしないと、よく知られているWannacry攻撃のような状況になる可能性があります。

DNSサーバーに関しては、そのうちの1つに追加の役割(クライアント更新サービスなど)がインストールされ、NetBIOSを使用する場合がありますが、それはネットワーク内でのみ行う必要があります。

NetBIOSを完全に無効にすることは、ネットワークで使用するすべてのサービスでNetBIOSを必要としないことを確認した後でのみ検討できます。

0
Overmind