Port 137

det er vel sådanset ligemeget hvilken port NetBios køre på, det er jo ikke port 137 der er farlig men den software der lytter på den

Som jeg har forstået det, er problemet at netbios 'reklamerer' for ens workgroup/domain og interne adresser, for at kunne skabe netværk-adgang. Informationer man vil undgå at lække, da de kan bruges i et et angreb.

Slutter meg til jape44. TCP port 137 er vel i seg selv ikke noe rissiko i seg selv. Ville tro at det for eksempel tro at det skulle gå fint å kjøre såvell webserver som ssh servet på TCP port 137.

Det blir sånnsett robustheten og "hackbarheten" til den server som kjører på tcp port 137 som avgjør om dette er en sikkerhetsrisiko eller ikke.

En annen sak er jo at mange hackermetoder går ut på å scanne større ranger av ip adresser for utsatte porter/tjenester, og så konsentrerer man de videre angrep mot de anerkjente rissikoporter/risikotjenester som man finner fram til ved automatiserte søk.

Hvis man for eksempel setter opp en ssh server til å kjøre port 22 så er det ikke lenge før halve Kina er mobilisert til et angrep, og man kan fortløpende lese alle angrepene i loggen. Kjører man ssh server på en ustandard port, for eksempel 2222 så ser man knapt nok et eneste angrep.

En eksponert tcp 137 vil nok uansett virke som en en "hackermagnet".

Synes det er litt merkelig om det er Microsoft anbefaling å eksponere tcp 137 externt til internett. Det virker liksom ikke helt rimelig, selv om tjenesten skulle være robust nok.

Kjenner ellers ikke noe større til den aktuelle Microsoft programvare.

Man kan selvfølgelig ikke eksponere de tjenesten som vanligvis kjører tcp 137 ut mot Internett.

i de fleste it-virksomheder bruger man principet "slagte fåret" d.v.s at web serveren står forest ud mod internetet og køre kun webserveren mens resten af lokal netværket er skjult bag diverse firewalls, på den måde kan en hacker kun få adgang til webserveren og slagte den. Det er jo rimeligt hurtigt at få en webserver op og køre igen.

Tak for jeres svar.

Vi kører ikke nogle services på port 137. Min bekymring beror I at have den port åben på internettet. Som langbein beskriver, så vil det vel opfordre til angreb at blotte denne port.

Men det lyder ikke til I ellers ser den som en kritisk port at åbne? Jeg har altid tænkt at det ville være forkert men måske jeg ikke burde bekymre mig?

En port kan ikke være "åpen" (gi respons på request) uten at det kjører en service bak. En port der det ikke finnes noen service er vel sånn sett noenlunde lik med en lukket port. 

Dette høres vel ikke helt betryggende ut:

"Microsoft skriver i sin dokumentation at port 137 skal være åben, for at klienterne kan bruge Windows authentication til at opnå adgang til databasen."

Kan ikke MS svare på dette ?

Hov, en rettelse, det er port 139 der er problemet.

Det er vel også NetBIOS jeg frygter lidt. Den kører på port 139 og er ment til LAN - ikke WAN(?).

BCM holdets blog:
http://blogs.msdn.com/bcm/archive/2007/04/25/how-to-share-a-business-contact-manager-2007-database.aspx (søg efter 139).

Dokumentation for brug af værktøjet til deling af BCM:
http://www.microsoft.com/downloads/details.aspx?familyid=f24267ee-9ad5-4be5-b888-c9a50ae395ca&displaylang=en (søg ligeledes efter 139).

Jeg har skrevet til MS i det første link, samt i deres officielle Outlook.BCM nyhedsgruppe. Indtil videre uden svar.

TCP 137 og TCP 139 er vle begge typisk porter for lan relaterte tjenester. Disse skal så vidt vites aldri være eksponert ut mot internett. (..men det er jo også slik at enhver sannehet har en tendens til å forandre seg med tiden, så det som engang var en sannhet ..) Blir interessant å se om det kommer noen svar på de øvrige forum.  Mon det dreier seg om en tjeneste som kun er ment å kjøre over lan eller via vpn ?

http://www.iss.net/security_center/advice/Exploits/Ports/139/default.htm

Har liten eller ingen kunnskap om de aktuelle MS servere, men ville rent umiddelbart gjette på at det dreier seg om en situasjon der både Server og klient må kjøre på et net segment beskyttet av en firewall.

Bare for analogien og forklaringens skyld: Man kan godt kjøre Apache web server og MySQL databaseserver på hver sin server. Begge servernes tjenester kan være tilgjengelig ut på internett, men tilgangen til MySql skjer kun indirekte via Apache serveren. Man kan ikke logge på MySql serveren fra internet, selv om MySql serveren kan levere data ut til internet, via Apache serveren. Her må Apache serveren og MySql serveren stå i et firewqall beskyttet område, slik at uthentingen av data fra databasen kun kan skje via indirekte oppslag. (Via Apache serveren som er en klient i forhold til MySql serveren.)

Ja, du har nok ret i at programmet var tiltænkt et privat netværk, da selve BCM som standard, installerer en SQL database og giver mulighed for at dele denne.

Det er dog tåbeligt at de ikke har sat mere fokus på offentlig deling, men det er måske et forsøg på at få folk til at skifte til den dyrere CRM løsning.

Jeg vil forsøge at kigge lidt nærmere på VPN - det kan være det er løsningen på problemet. Tak for din hjælp, vil du lægge et svar så jeg kan give points? Meget gerne dig også jape44.

Takker for meget interesant problemstilling :-)

jeg husker tydeligt at de porte var vidt åbne i win95 og alle drev blev shared som default og der var ingen der havde firewalls da vi kørte på 14.4 modem he he. rent kaos!