O objetivo dessa ação é a correção das configurações de servidores com o serviço NetBIOS habilitado para a rede que podem permitir ataques de amplificação.
O que é o serviço NetBIOS (137/UDP)?
O serviço NetBIOS é utilizado tipicamente por sistemas Microsoft Windows, ou sistemas Unix através do Samba, para compartilhamento de arquivos e impressoras.
Por se tratar de um serviço geralmente utilizado apenas dentro de redes locais e com sistemas anteriores ao Microsoft Windows 2000, é muito provável que não exista necessidade do serviço NetBIOS estar exposto à Internet.
Caso esteja acessível à toda Internet via UDP, esse serviço pode ser explorado para ataques DDoS que usem amplificação. Isso ocorre porque o atacante envia uma requisição forjando o IP da vítima e o servidor com NetBIOS aberto retorna uma resposta muito maior que a requisição.
Por que devo me preocupar com isso?
O NetBIOS pode ser abusado para causar danos a terceiros, envolvendo sua rede em ataques DDoS a outras organizações e implicando em um consumo de banda maior. Além dessas implicações, esse serviço pode revelar informações sensíveis sobre sua rede e seus dados armazenados.
Informações adicionais sobre como evitar que sua rede seja abusada para ataques DDoS podem ser encontradas em: https://bcp.nic.br/ddos
Como faço para corrigir o problema?
Em sistemas Microsoft Windows desabilite o recurso chamado NetBIOS sobre TCP/IP (ou NetBIOS over TCP/IP) se ele for desnecessário aos usuários da rede. Caso não seja possível desabilitar esse recurso sugerimos que limite o acesso a esse serviço apenas para usuários de sua rede.
Em servidores Unix reconfigure o Samba incluindo a linha abaixo no arquivo de configuração:
Se o Samba for desnecessário nesse equipamento recomendamos que o desabilite.
Onde posso obter informações adicionais sobre o abuso do protocolo NetBIOS para ataques DDoS?
Acesse “UDP-Based Amplification Attacks”: https://www.us-cert.gov/ncas/alerts/TA14-017A
Acesse Openly accessible NetBIOS name services
https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/Offene-NetBIOS-Namensdienste/Offene-NetBIOS-Namensdienste_node.html
Onde aprender mais sobre configurações seguras de sistemas?
Acesse “Práticas de Segurança para Administradores de Redes Internet”:
https://www.cert.br/docs/seg-adm-redes/
Por que estou recebendo mensagens de notificação?
Os endereços IP presentes no log anexado à mensagem de notificação são de servidores sob sua responsabilidade com o serviço NetBIOS (137/UDP) habilitado.
O serviço NetBIOS deve ser acessível apenas à sua rede local, ou que seja desabilitado o serviço no equipamento, caso ele não esteja em uso.
Antes de enviar a notificação, todos os endereços IP são testados e no relatório anexo à notificação são apresentados campos 'Resultados do Teste' que indicam o tipo de problema testado e significam:
netbios: status/pacotes/bytes, onde status é open e pacotes/bytes indica o tamanho da resposta recebida, em pacotes e bytes;
Com base nesses relatórios os responsáveis pelas redes com endereços IP nessa situação são notificados e devem adotar as medidas necessárias para correção do problema.
Como posso ter certeza de que resolvi o problema?
Você pode verificar o status do seu servidor por meio do comando a seguir, que deve ser executado preferencialmente a partir da Internet, ou seja, fora de uma rede interna que tenha permissão de acesso ao servidor. Se o teste for realizado a partir de um sistema Unix, recomendamos que antes de executar o comando certifique-se de que você tem a ferramenta nmblookup instalada em seu computador:
A partir de sistemas Microsoft Windows:
A partir de sistemas Unix com Samba:
$ nmblookup -A IP_SERVIDOR
Sendo que IP_SERVIDOR é o IP do servidor NetBIOS a ser testado.
