|
NetBIOS (Network Basic Input / Output System) ist eine Programmierschnittstelle
(API = Application Program Interface) zur Einrichtung von Kommunikationssitzungen,
zum Senden und Empfangen von Daten und zur Benennung von Netzwerkobjekten.
NetBIOS ist kein Netzwerkprotokoll, kann aber an eine Vielzahl von Protokollen (u.a.
IPX/SPX und TCP/IP) gebunden und - obwohl selbst nicht routingfähig - über
TCP/IP geroutet werden, wodurch erhebliche Sicherheitsrisiken entstehen können
(s.u.). Die Schnittstelle wurde ursprünglich 1984 von IBM entwickelt und danach von
Microsoft in die MS-Betriebssysteme integriert. Sie ist (noch) in allen Windows-
Versionen enthalten und Teil des Betriebssystems, so dass sie weder gesondert installiert
noch mit normalen Konfigurationsmenus aus dem Windows-Betriebssystem
entfernt werden kann (im Internet finden sich allerdings Tools und Tipps, wie NetBIOS
entfernt oder zumindest deaktiviert werden kann [28]).
25
___________________________
Begriffserläuterungen
Um NetBIOS zu verstehen muss man eine Stufe vorher ansetzen. Alle Windows-
Betriebssysteme nutzen das SMB (Server Message Block)-Protokoll, um auf Netzwerkressourcen,
insbesondere Dateien und Drucker, zuzugreifen. Über das genannte
Protokoll sendet der Client eine Anfrage an den Server mit der Bitte, bestimmte
Netzwerkressourcen nutzen zu dürfen. Um diese Anfrage starten zu können, benötigt
der Client Transportmechanismen, um Kommandos (SMBs) an den Server schicken
zu können. Die wichtigsten Transportmechanismen sind in der PC-Welt NetBEUI,
TCP/IP und IPX/SPX. Auf NetBEUI kann der SMB sofort zugreifen, für den Zugriff
auf TCP/IP und IPX/SPX benötigte er - vor w2k/XP - die NetBIOS-API (daher auch
die Namen NetBIOS over TCP/IP oder kurz NBT und NetBIOS over IPX/SPX). Mit
w2k hat MicroSoft das direct hosting eingeführt [27], mit dem der SMB direkt, also
ohne zwischengeschaltetes NetBIOS, auf TCP/IP zugreifen kann. Während NBT die
Ports 137 bis 139 benutzt, verwendet das direct hosting den Port 445.
Sie werden sich möglicherweise fragen, warum bei einer so nützlichen Schnittstelle
wie dem NetBIOS immer wieder vor ,NetBIOS-Angriffen' gewarnt wird, wenn es um
den Internetzugang geht. Dies hängt weniger mit NetBIOS zusammen, sondern damit,
ob und gegebenenfalls an welches oder welche Protokolle Sie NetBIOS binden.
Benutzen Sie für das LAN ausschließlich NetBEUI, dann ist ein NetBIOS-Angriff nicht
möglich, denn mit diesem Protokoll kommen Sie nicht ins Internet und andere Teilnehmer
des Internets können nicht auf Ihre Dateien und Drucker zugreifen.
Wenn Sie unter w9x/ME den internen Datenverkehr aber über TCP/IP regeln, also
NetBIOS auf dieses Protokoll aufsetzen, dann läuft sowohl der interne Netzverkehr
als auch das Internet über dasselbe Protokoll, d.h. nicht nur die internen Netzteilnehmer,
sondern das ganze Internet kann auf die freigegebenen Netzwerkressourcen
zugreifen. Ein Angreifer, der sich die internen Daten zunutze machen will, muss
nur das Internet nach einer Adresse scannen, bei der auf Port 139 Dienste angeboten
werden. Hat er eine solche Adresse gefunden, genügen einfache Bordmittel, um
auch die Freigaben zu ermitteln. Für die Ermittlung des Passwortes (wenn ein solches
überhaupt vergeben ist) findet man im Internet passende Tools.
Unter NT/w2k/NT gestaltet sich der Angriff etwas schwieriger, weil diese Betriebssysteme
die Autorisierung auf Benutzerebene vornehmen, d.h. es ist eine Übermittlung
von Benutzername und Passwort notwendig. Auf weitere Einzelheiten möchte ich
nicht eingehen. Wer sich dafür interessiert, wird hier [29] fündig.
Unabhängig davon, welches Windows Betriebssystem Sie verwenden, ist das
Betreiben von NetBIOS über TCP/IP grundsätzlich keine sinnvolle Konfiguration,
zumal MicroSoft für NetBIOS ab wXP keinen Support mehr leistet:
- In reinen w2k/XP-Netzen brauchen Sie NBT nicht mehr, weil das direct
hosting den Transport übernimmt. Aus Performance-Gründen muss man sogar
davon abraten, NBT und direct hosting parallel zu betreiben, denn wenn
beide Transportmöglichkeiten bestehen, versucht Windows auch, beide zu
verwenden und nutzt schließlich den Weg, der am schnellsten zu einer Verbindung
führt.
26
___________________________
Begriffserläuterungen
- In reinen w9x/ME-Netzen oder gemischten Netzen (w9x/ME mit w2k/XP)
brauchen Sie NetBIOS verbunden mit einem Transportmechanismus oder
NetBEUI, sollten aber wegen der oben dargestellten Sicherheitsbedenken
NetBEUI und eben nicht NBT verwenden. Auf einem wXP-Rechner setzt dies
voraus, dass NetBEUI (s. dort) nachinstalliert wird.
Sollten Sie noch alte Soft- oder Hardware verwenden, die NBT zwingend erfordern,
müssen Sie allmählich über ein Update oder eine Neuanschaffung nachdenken. Da
MicroSoft den Support für NetBIOS eingestellt hat, können Sie nach meiner Auffassung
davon ausgehen, dass es im nächsten Windows ohnehin nicht mehr enthalten
sein wird. Die Vernetzung von w9x/ME Rechnern über das Internet mittels TCP/IP ist
keinesfalls sinnvoll.
Sie sollten daher ganz unabhängig von der Einrichtung Ihrer Firewall folgendes kontrollieren/
ändern:
Unter Windows 98: Start � Einstellungen � Systemsteuerung � Netzwerk anwählen.
Wenn Sie nur eine Netzwerkkarte in Ihrem Rechner haben, müssten Sie u.a. folgende
Einträge sehen (wenn Sie auch noch den DFÜ-Adapter entfernt haben, was Sie
ohne weiteres tun können, wenn Sie Ihre Verbindungen zu anderen Rechnern/
Netzen ausschließlich über den Router herstellen, also weder eine zusätzliche
ISDN-Karte oder ein Modem eingebaut haben noch die
Direktverbindungsmöglichkeiten [parallel, seriell, Infrarot usw.] nutzen, fehlen die
Angaben hinter den Pfeilen, denn es ist physikalisch nur noch ein ,Gerät' vorhanden,
welches die Protokolle ansprechen können):
Windows-Netze:
NetBEUI � {Name Ihrer Netzwerkkarte}
TCP/IP � {Name Ihrer Netzwerkkarte}
Novell-Netze (IPX/SPX kann auch zur Vernetzung von Windows Netzen verwandt
werden):
IPX/SPX-kompatibles Protokoll� {Name Ihrer Netzwerkkarte}
TCP/IP � {Name Ihrer Netzwerkkarte}
I
n gemischten Netzen kann es natürlich sein, dass sowohl NetBEUI als auch das
IPX/SPX-kompatible Protokoll vorkommen.
Markieren Sie jetzt TCP/IP � {Name Ihre Netzwerkkarte} und klicken auf
Eigenschaften. Wählen Sie den Reiter ,Bindungen' aus und entfernen alle Häkchen,
Klicken Sie auf ,OK' und ignorieren Sie die Beschwerde von Windows, es sei kein
Treiber installiert (,Nein' anklicken).
Unter Windows 2000: Start � Einstellungen � Systemsteuerung � Netzwerk- und
DFÜ-Verbindungen anwählen. Hier müssten Sie jetzt eigentlich einen Eintrag LANVerbindung
mit dem Gerätenamen Ihrer Netzwerkkarte sehen. Trifft das nicht zu,
muss zunächst der entsprechende Dienst gestartet werden: Start � Ausführen �
,compmgmt.msc' eingeben und [ENTER] drücken. Dienste und Anwendungen �
27
___________________________
Begriffserläuterungen
Dienste wählen. ,Netzwerkverbindungen' anwählen und als Starttyp entweder ,automatisch'
(wird in Zukunft immer gestartet) oder manuell wählen.
Bei den Netzwerk- und DFÜ-Verbindungen markieren Sie jetzt den Eintrag LANVerbindung
und wählen im Menu ,Erweitert' den Eintrag ,Erweiterte Einstellungen'.
Bei ,Datei- und Druckerfreigabe für Microsoft-Netzwerke' und bei ,Client für Microsoft-
Netzwerke' sind die Häkchen vor Internet-Protokoll (TCP/IP) zu entfernen (die Häkchen
bei den Protokollen, die Sie für die interne LAN-Verbindung verwenden wollen
[z.B. NetBEUI], müssen natürlich stehen bleiben !).
Bei den Netzwerk- und DFÜ-Verbindungen markieren Sie bitte nochmals den Eintrag
LAN-Verbindung und klicken diesen mit der rechten Maustaste an. ,Eigenschaften'
wählen, Internet-Protokoll (TCP/IP) markieren, ,Eigenschaften' � ,Erweitert' wählen
und Reiter ,WINS' anklicken: Dort NetBIOS über TCP/IP deaktivieren einschalten.
NetBIOS setzt jetzt nicht mehr auf TCP/IP auf. Beachten Sie aber bitte, dass Sie unbedingt
die vorbeschriebenen Einstellungen kontrollieren müssen, wenn Sie eine
neue Netzwerkkomponente (z.B. eine neue Netzwerkkarte) installieren, weil dadurch
die Einstellungen verändert werden können !
Die NetBIOS-Verwundbarkeit Ihres Systems können Sie durch [6] überprüfen lassen.
Beachten Sie bitte: Wegen des direct hosting besteht unter w2k/XP nach wie vor eine
Verbindungsmöglichkeit über TCP/IP und den Port 445. Sie müssen daher bei
diesen Betriebssystemen die Freigaben und die Passwörter sehr sorgfältig konfigurieren
und bei wXP zumindest die mitgelieferte Internet Connection Firewall (besser
natürlich die in dieser Anleitung vorgestellten Firewalls) benutzen.
Theoretisch kann man auch ,Direct Host' abstellen (unter w2K: Computerverwaltung
(lokal) � Gerätemanager markieren unter ,Ansicht': Ausgeblendete Geräte anzeigen'
aktivieren und unter Nicht-PnP-Treiber den Eintrag NetBIOS over TCP/IP suchen,
diesen rechts anklicken und ,deaktivieren' auswählen), dann können Sie aber weder
LAN- noch WAN-Verbindungen nutzen, Sie können nicht einmal mehr die Konfigurations-
Oberfläche Ihres Routers aufrufen, so dass sich dieses Vorgehen nicht empfiehlt
!
POP (Point of Presence) ist ein lokaler Einwahlpunkt des Providers
POP3 (Post Office Protocol) ist ein Ablageverfahren für elektronische Post (ist das
von den Providern meistens verwandte Verfahren für eingehende/abzuholende
mails, s. aber auch IMAP)
Port s. Socket
|
