Avatar billede c3-rp Nybegynder
01. april 2008 - 14:50 Der er 12 kommentarer og
2 løsninger

Port 137

Jeg er i gang med at sætte Business Contact Manager for Outlook 2007 op på nogle klienter. Vi bruger en shared BCM database på en remote computer (kører på SQL 2005 Express instance) til at koordinere kommunikationen.

Microsoft skriver i sin dokumentation at port 137 skal være åben, for at klienterne kan bruge Windows authentication til at opnå adgang til databasen. Men den server hvor databasen skal køre på, hoster foruden BCM også andre applikationer indeholdende sensitive data. Kan det virkeligt passe at MS, med ro i sindet, opfordrer til at blotte port 137 på Internettet? Jeg kan ikke finde andre der kører BCM, med samme spørgsmål. Søger jeg google på port 137 får jeg udelukkende advarsler og opfordringer til at lukke denne port.

Hvordan skal jeg forholde mig til det her? Det er meeeeget dumt at åbne port 137 ikke sandt?
Avatar billede Slettet bruger
01. april 2008 - 16:02 #1
det er vel sådanset ligemeget hvilken port NetBios køre på, det er jo ikke port 137 der er farlig men den software der lytter på den
Avatar billede c3-rp Nybegynder
01. april 2008 - 16:10 #2
Som jeg har forstået det, er problemet at netbios 'reklamerer' for ens workgroup/domain og interne adresser, for at kunne skabe netværk-adgang. Informationer man vil undgå at lække, da de kan bruges i et et angreb.
Avatar billede langbein Nybegynder
02. april 2008 - 00:50 #3
Slutter meg til jape44. TCP port 137 er vel i seg selv ikke noe rissiko i seg selv. Ville tro at det for eksempel tro at det skulle gå fint å kjøre såvell webserver som ssh servet på TCP port 137.

Det blir sånnsett robustheten og "hackbarheten" til den server som kjører på tcp port 137 som avgjør om dette er en sikkerhetsrisiko eller ikke.

En annen sak er jo at mange hackermetoder går ut på å scanne større ranger av ip adresser for utsatte porter/tjenester, og så konsentrerer man de videre angrep mot de anerkjente rissikoporter/risikotjenester som man finner fram til ved automatiserte søk.

Hvis man for eksempel setter opp en ssh server til å kjøre port 22 så er det ikke lenge før halve Kina er mobilisert til et angrep, og man kan fortløpende lese alle angrepene i loggen. Kjører man ssh server på en ustandard port, for eksempel 2222 så ser man knapt nok et eneste angrep.

En eksponert tcp 137 vil nok uansett virke som en en "hackermagnet".

Synes det er litt merkelig om det er Microsoft anbefaling å eksponere tcp 137 externt til internett. Det virker liksom ikke helt rimelig, selv om tjenesten skulle være robust nok.

Kjenner ellers ikke noe større til den aktuelle Microsoft programvare.

Man kan selvfølgelig ikke eksponere de tjenesten som vanligvis kjører tcp 137 ut mot Internett.
Avatar billede Slettet bruger
02. april 2008 - 08:12 #4
i de fleste it-virksomheder bruger man principet "slagte fåret" d.v.s at web serveren står forest ud mod internetet og køre kun webserveren mens resten af lokal netværket er skjult bag diverse firewalls, på den måde kan en hacker kun få adgang til webserveren og slagte den. Det er jo rimeligt hurtigt at få en webserver op og køre igen.
Avatar billede c3-rp Nybegynder
02. april 2008 - 10:29 #5
Tak for jeres svar.

Vi kører ikke nogle services på port 137. Min bekymring beror I at have den port åben på internettet. Som langbein beskriver, så vil det vel opfordre til angreb at blotte denne port.

Men det lyder ikke til I ellers ser den som en kritisk port at åbne? Jeg har altid tænkt at det ville være forkert men måske jeg ikke burde bekymre mig?
Avatar billede langbein Nybegynder
02. april 2008 - 11:13 #6
En port kan ikke være "åpen" (gi respons på request) uten at det kjører en service bak. En port der det ikke finnes noen service er vel sånn sett noenlunde lik med en lukket port. 

Dette høres vel ikke helt betryggende ut:

"Microsoft skriver i sin dokumentation at port 137 skal være åben, for at klienterne kan bruge Windows authentication til at opnå adgang til databasen."

Kan ikke MS svare på dette ?
Avatar billede c3-rp Nybegynder
02. april 2008 - 11:32 #7
Hov, en rettelse, det er port 139 der er problemet.

Det er vel også NetBIOS jeg frygter lidt. Den kører på port 139 og er ment til LAN - ikke WAN(?).

BCM holdets blog:
http://blogs.msdn.com/bcm/archive/2007/04/25/how-to-share-a-business-contact-manager-2007-database.aspx (søg efter 139).

Dokumentation for brug af værktøjet til deling af BCM:
http://www.microsoft.com/downloads/details.aspx?familyid=f24267ee-9ad5-4be5-b888-c9a50ae395ca&displaylang=en (søg ligeledes efter 139).
Avatar billede c3-rp Nybegynder
02. april 2008 - 11:33 #8
Jeg har skrevet til MS i det første link, samt i deres officielle Outlook.BCM nyhedsgruppe. Indtil videre uden svar.
Avatar billede langbein Nybegynder
02. april 2008 - 22:23 #9
TCP 137 og TCP 139 er vle begge typisk porter for lan relaterte tjenester. Disse skal så vidt vites aldri være eksponert ut mot internett. (..men det er jo også slik at enhver sannehet har en tendens til å forandre seg med tiden, så det som engang var en sannhet ..) Blir interessant å se om det kommer noen svar på de øvrige forum.  Mon det dreier seg om en tjeneste som kun er ment å kjøre over lan eller via vpn ?
Avatar billede langbein Nybegynder
02. april 2008 - 22:25 #10
Avatar billede langbein Nybegynder
02. april 2008 - 22:35 #11
Har liten eller ingen kunnskap om de aktuelle MS servere, men ville rent umiddelbart gjette på at det dreier seg om en situasjon der både Server og klient må kjøre på et net segment beskyttet av en firewall.

Bare for analogien og forklaringens skyld: Man kan godt kjøre Apache web server og MySQL databaseserver på hver sin server. Begge servernes tjenester kan være tilgjengelig ut på internett, men tilgangen til MySql skjer kun indirekte via Apache serveren. Man kan ikke logge på MySql serveren fra internet, selv om MySql serveren kan levere data ut til internet, via Apache serveren. Her må Apache serveren og MySql serveren stå i et firewqall beskyttet område, slik at uthentingen av data fra databasen kun kan skje via indirekte oppslag. (Via Apache serveren som er en klient i forhold til MySql serveren.)
Avatar billede c3-rp Nybegynder
03. april 2008 - 16:50 #12
Ja, du har nok ret i at programmet var tiltænkt et privat netværk, da selve BCM som standard, installerer en SQL database og giver mulighed for at dele denne.

Det er dog tåbeligt at de ikke har sat mere fokus på offentlig deling, men det er måske et forsøg på at få folk til at skifte til den dyrere CRM løsning.

Jeg vil forsøge at kigge lidt nærmere på VPN - det kan være det er løsningen på problemet. Tak for din hjælp, vil du lægge et svar så jeg kan give points? Meget gerne dig også jape44.
Avatar billede langbein Nybegynder
04. april 2008 - 00:08 #13
Takker for meget interesant problemstilling :-)
Avatar billede Slettet bruger
04. april 2008 - 08:18 #14
jeg husker tydeligt at de porte var vidt åbne i win95 og alle drev blev shared som default og der var ingen der havde firewalls da vi kørte på 14.4 modem he he. rent kaos!
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester