Portar

Port 139: NetBIOS Session Service

Äldre Windows-sessionslager för SMB över NetBIOS. Mestadels ersatt av 445.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

TCP port 139 är NetBIOS Session Service, som historiskt användes för att överföra SMB fildelning över NetBIOS på Windows-nätverk. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd. En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar.

Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda. Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket.

Vid verklig användning öppnar en klient en TCP-anslutning till port 139, förhandlar en NetBIOS-session och talar sedan SMB-kommandon för att autentisera, lista resurser och läsa eller skriva filer. Moderna Windows använder SMB direkt över TCP 445 i de flesta miljöer, men 139 visas fortfarande på äldre system, äldre enhetsfirmware och felkonfigurerade nätverk där NetBIOS är aktiverat.

Eftersom fildelningsytor är av högt värde, är öppen 139 vanligen associerad med exponering av autentiseringsuppgifter, aktieuppräkning och rörelse i sidled när en angripare väl är inne i ett nätverk. Att förstå porten hjälper dig att tolka skanningar: 139 innebär ofta äldre Windows-fildelningsbeteende snarare än en modern härdad SMB-stack.

Hur det fungerar i stora drag

  1. En klient upprättar en NetBIOS-session och talar sedan SMB över den sessionen.
  2. Namnupplösning och upptäckt är ofta knutna till äldre NetBIOS-mekanismer.
  3. Många miljöer inaktiverar den här sökvägen och förlitar sig på SMB över 445 istället.

Konkret exempel

En genomsökning hittar 139 öppna på en server. Det tyder på att NetBIOS är aktiverat och att SMB kan nås via äldre sökvägar, så du granskar fildelningsexponeringen och skärper brandväggsreglerna.

Varför det är viktigt

Port 139 spelar roll eftersom den ofta signalerar föråldrad konfiguration, äldre enheter eller avslappnad exponering för Windows-fildelning. Vid säkerhetsskanning är 139 och 445 höga signalportar för sidorörelser och autentiseringsattacker.

Säkerhetsperspektiv

  • Inaktivera NetBIOS där det är möjligt och använd moderna SMB-inställningar med signering och härdning.
  • Begränsa 139 och 445 till betrodda segment och övervaka autentiseringsförsök.
  • Lagra äldre system som fortfarande kräver NetBIOS och planerar en migrering.

Vanliga fallgropar

  • Lämna NetBIOS aktiverat över undernät när det inte behövs.
  • Exponera Windows-fildelning för opålitliga nätverk.
  • Förutsatt att blockering 445 räcker. Vissa system kan fortfarande acceptera SMB över 139.