Netbios 프로토콜의 위험성 및 취약점 보안

1. NetBIOS 프로토콜에 따른 위험성

NetBIOS는 사용자가 따로 설정하지 않더라도
NetBIOS 는 사용자가 따로이 설정하지 않더라도 기본적으로 윈도우즈가 셋팅되면서 관련된 프로토콜들이 열려있기 때문에 보통 사용자들은 그 위험성은 물론 바이러스 전파의 경로가 된다는 사실조차 인지하지 못하고 있으나 실정 이 NetBIOS는 앞에서 살펴본 바와 같이 열려 있는 자체 만으로도 해커로부터 목록화를 비롯하여 현존하는 전반적인 모든 크래킹의 주요 통로로 사용되고 있습니다.

(ex,
Win32/Welchia.worm.12800 (원격제어 및 좀비 프로세스를 위한 웜 바이러스)
> RPC DCOM 취약점 이용시 C클래스 대역의 IP를 증가시키며, TCP/135 포트를 향해 공격시도
> 워크스테이션 서비스 취약점 이용시 랜덤한 IP를 대상으로 TCP/445 포트를 향해 공격시도
)


2. NetBIOS 프로토콜상의 취약점 보안 (NT 기준)

보안에 있어 최선은 NetBIOS와 관련된 일체의 포트를 영구히 막아 두는 것이 가장 안전하지만 네트워크 상에서 파일시스템이나 프린트를 공유하기 위해서 NetBIOS가 필요 할 수 있습니다. 이때 만약 윈도우 NT시스템이 인터넷에 직접 연결되어 있을 경우 공격자가 쉽게 파일시스템을 사용할 수 있으므로 NetBIOS에 대한 접근통제가 필요하며 다음의 두가지 방법을 고려해 볼 수 있습니다.

1) 라우터나 침입 차단시스템에서 접근을 통제
외부에서 윈도우 NT 시스템으로의 모든 NetBIOS 트래픽을 차단하기 위하여 135/UDP, 137/UDP(NetBIOS name), 138/UDP(NetBIOS name) 139/TCP(NetBIOS ssesion) 포트로의 접속을 차단합니다.

윈도우 NT 서버 한대에 대해서만 접근통제를 하기 위해서는 위에서 살펴본 "서버 접근통제"를 이용할 수도 있지만 내부 네트워크 내에 많은 윈도우 시스템이 존재하고 있으므로 외부에서 내부 윈도우 시스템에 대한 접근을 일괄적으로 적용하기 위해서는 라우터나 침입차단 시스템에서 통제할 필요가 있습니다.

다음은 시스코 라우터라고 가정하고 다음과 같이 정책을 수립할 수 있습니다.

interface xy
ip access-group 101 in
access-list 101 deny udp any host NT_IP _ADDRESS eq 135
access-list 101 deny udp any host NT_IP _ADDRESS eq 137
access-list 101 deny udp any host NT_IP _ADDRESS eq 138
access-list 101 deny udp any host NT_IP _ADDRESS eq 139
(ex, udp로 접근하는 모든 호스트가 목적지 135로 경유하는 것을 차단하는 내용)


2) 네트워크 제어판을 이용하여 TCP/IP 와 NetBIOS 간의 바인딩(binding) 제거
바인딩이 제거되면 TCP/IP 거치게 되는 파일 공유 서비스는 제공되지 않고 당연히 인터넷에서의 공유자원에 대한 접근시도도 불가능하게 됩니다. 이러한 NetBIOS 서비스는 라우터를 거치지 않은 내부 네트워크에서는 여전히 가능합니다.
개인적으로는 이들 두가지 방법 중 외부 네트워크에서 연결되는 게이트웨이 즉, 라우터나 침입차단시스템에서 모든 Netbios 트래픽을 원천적으로 차단하는 것이 좀더 안전하고 내부 네트워크에서 공유자원을 사용하는데도 별다른 제약사항이 없어 권고할 만하다고 생각됩니다.