[email protected]

Blog

Port 139 – UDP, TCP – za co odpowiada?

Kategoria:

Robert Fonfara

Port 139 to jeden z tych elementów infrastruktury sieciowej, który w wielu organizacjach wciąż pozostaje aktywny, choć jego historia sięga początków lat 80. XX wieku. Choć współczesne systemy operacyjne korzystają już z nowocześniejszych rozwiązań, port 139 nadal odgrywa istotną rolę w komunikacji sieciowej opartej na NetBIOS i protokole SMB. Niestety, jego obecność w sieci to nie tylko kwestia kompatybilności wstecznej, ale także poważne wyzwanie z zakresu cyberbezpieczeństwa. W tym artykule omówiono dokładnie, za co odpowiada port 139, jakie funkcje pełni w warstwie TCP i UDP, jakie zagrożenia są z nim związane oraz jak skutecznie zabezpieczyć infrastrukturę przed atakami wykorzystującymi ten wektor.

Czym jest port 139 i jaką rolę pełni w sieci?

Port 139 to dedykowany port sieciowy zarezerwowany przez organizację IANA (Internet Assigned Numbers Authority) dla usługi NetBIOS Session Service, oznaczanej oficjalnie jako netbios-ssn. Jego głównym zadaniem jest obsługa sesji komunikacyjnych pomiędzy komputerami w sieci lokalnej, które wykorzystują interfejs NetBIOS do wymiany danych. W praktyce port ten umożliwia działanie protokołu SMB (Server Message Block) w starszych konfiguracjach sieci Windows, gdzie SMB jest tunelowane przez NetBIOS over TCP/IP (NBT).

Najczęstszymi zastosowaniami portu 139 są:

  • udostępnianie plików i folderów w sieci lokalnej,
  • współdzielenie drukarek i innych zasobów sieciowych,
  • identyfikacja urządzeń w sieci za pomocą nazw NetBIOS,
  • nawiązywanie sesji pomiędzy klientami a serwerami Windows,
  • komunikacja z urządzeniami starszego typu, takimi jak skanery sieciowe czy serwery NAS.

Warto podkreślić, że port 139 nie działa w izolacji. W ekosystemie NetBIOS współpracuje z dwoma innymi portami: 137 (NetBIOS Name Service) odpowiedzialnym za rozpoznawanie nazw oraz 138 (NetBIOS Datagram Service) służącym do przesyłania komunikatów bezpołączeniowych. Dopiero trio 137, 138 i 139 tworzy pełną funkcjonalność NetBIOS over TCP/IP.

Port 139 TCP vs UDP – jakie są różnice?

Port 139 może teoretycznie funkcjonować zarówno w trybie TCP, jak i UDP, jednak w praktyce zdecydowanie dominuje wariant TCP. Wynika to ze specyfiki usługi NetBIOS Session Service, która wymaga nawiązania stabilnej, dwukierunkowej sesji komunikacyjnej pomiędzy klientem a serwerem.

Port 139 TCP

Wariant TCP portu 139 to standardowy sposób działania usługi NetBIOS Session Service. Protokół TCP zapewnia:

  • gwarancję dostarczenia pakietów,
  • kontrolę kolejności i integralności danych,
  • mechanizm potwierdzeń (ACK),
  • retransmisję utraconych pakietów.

Te cechy są niezbędne dla operacji takich jak kopiowanie plików, drukowanie czy synchronizacja folderów, gdzie utrata nawet jednego pakietu może prowadzić do uszkodzenia danych.

Port 139 UDP

W trybie UDP port 139 jest wykorzystywany sporadycznie i głównie w specyficznych implementacjach, gdzie wymagana jest szybka, bezpołączeniowa wymiana komunikatów. UDP nie gwarantuje dostarczenia danych ani ich kolejności, dlatego nie nadaje się do operacji wymagających niezawodności. W rzeczywistych wdrożeniach komunikaty NetBIOS oparte na UDP zazwyczaj kierowane są na port 138, a nie 139.

Historia portu 139 – relikt epoki NetBIOS

Aby zrozumieć obecną sytuację portu 139, warto cofnąć się do lat 80. XX wieku. NetBIOS (Network Basic Input/Output System) został opracowany przez IBM w 1983 roku jako interfejs programistyczny umożliwiający komunikację pomiędzy aplikacjami w sieciach lokalnych. Pierwotnie nie był związany z konkretnym protokołem transportowym, jednak wraz z rosnącą popularnością TCP/IP stworzono standard NetBIOS over TCP/IP, opisany w dokumentach RFC 1001 i RFC 1002 z 1987 roku.

Protokół SMB, używany przez Microsoft do udostępniania plików i drukarek, początkowo działał wyłącznie w oparciu o NetBIOS. To właśnie wtedy port 139 stał się fundamentem komunikacji sieciowej w środowiskach Windows. Sytuacja zmieniła się dopiero wraz z premierą systemu Windows 2000, w którym wprowadzono możliwość uruchamiania SMB bezpośrednio na porcie 445, z pominięciem warstwy NetBIOS. Ta technologia, znana jako SMB Direct Hosting, znacznie uprościła architekturę sieci i poprawiła wydajność.

Port 139 a port 445 – kluczowe różnice

Wielu administratorów myli te dwa porty lub używa ich zamiennie w dyskusjach. Tymczasem różnice pomiędzy nimi są fundamentalne i mają bezpośrednie przełożenie na bezpieczeństwo oraz wydajność sieci.

Port 139 – SMB over NetBIOS

  • SMB jest kapsułkowane w sesjach NetBIOS,
  • wymaga aktywnych usług NetBIOS Name Service i Datagram Service,
  • generuje większy narzut komunikacyjny,
  • obsługuje starsze klienty i urządzenia,
  • jest bardziej podatny na ataki ze względu na liczne luki w NetBIOS.

Port 445 – SMB Direct

  • SMB działa bezpośrednio na TCP/IP,
  • nie wymaga NetBIOS,
  • oferuje lepszą wydajność i mniejszy narzut,
  • obsługuje nowoczesne wersje protokołu (SMB 2, SMB 3),
  • wspiera nowoczesne mechanizmy bezpieczeństwa, takie jak szyfrowanie i podpisywanie pakietów.

W nowoczesnych środowiskach IT zaleca się całkowite wyłączenie NetBIOS i komunikację wyłącznie poprzez port 445 z włączonym SMB 3 oraz szyfrowaniem.

Zagrożenia bezpieczeństwa związane z portem 139

Port 139 ma niechlubną reputację w świecie cyberbezpieczeństwa. Według raportów bezpieczeństwa należy do najczęściej skanowanych portów w internecie, co odzwierciedla zainteresowanie cyberprzestępców tym wektorem ataku. Historia zna wiele przypadków wykorzystania luk w protokole SMB i NetBIOS do masowych infekcji.

Najpoważniejsze zagrożenia

  1. Ataki typu null session – klasyczna podatność umożliwiająca anonimowe połączenie z udziałem IPC$ na serwerze Windows. Pozwala atakującemu na pobranie listy kont użytkowników, grup, polityk haseł i innych wrażliwych informacji bez uwierzytelnienia.
  2. SMB Relay Attack – atak typu man-in-the-middle, w którym napastnik przechwytuje uwierzytelnienie SMB i przekazuje je do innego serwera, uzyskując nieautoryzowany dostęp.
  3. Eksploity wykorzystujące luki w SMBv1 – przestarzała wersja protokołu zawiera liczne podatności, w tym słynne EternalBlue.
  4. Skanowanie i enumeracja – port 139 jest celem masowego skanowania w celu identyfikacji podatnych systemów.
  5. Trojany i robaki sieciowe – historycznie wykorzystywany przez złośliwe oprogramowanie takie jak Nimda, Qaz, Sircam czy WannaCry.

WannaCry – przypadek z 2017 roku

Najsłynniejszym przykładem ataku wykorzystującego luki w SMB jest ransomware WannaCry, który w maju 2017 roku sparaliżował ponad 200 000 systemów w ponad 150 krajach. Złośliwe oprogramowanie wykorzystywało eksploit EternalBlue, atakujący podatność CVE-2017-0144 w SMBv1. Choć główny wektor ataku celował w port 445, infrastruktura NetBIOS i port 139 również były wykorzystywane w propagacji w sieciach lokalnych. Atak ten unaocznił, jak ogromne ryzyko niesie ze sobą pozostawienie otwartych portów SMB w sieciach dostępnych z internetu.

Jak sprawdzić, czy port 139 jest otwarty?

Diagnostyka stanu portu 139 to podstawowa czynność, którą powinien wykonać każdy administrator dbający o bezpieczeństwo sieci. Istnieje kilka sprawdzonych metod weryfikacji.

Na systemie Windows

Najprostszym sposobem jest użycie polecenia w wierszu poleceń:

  • netstat -an | findstr :139 – wyświetla wszystkie aktywne połączenia na porcie 139,
  • Test-NetConnection -ComputerName adres_ip -Port 139 – polecenie PowerShell do testowania dostępności portu na zdalnym hoście.

Na systemach Linux/macOS

  • nmap -p 139 adres_ip – skanowanie pojedynczego portu,
  • nmap -p 139 --script smb-enum-shares adres_ip – rozszerzona enumeracja udziałów SMB,
  • netstat -tuln | grep 139 – sprawdzenie nasłuchujących usług.

Jak zabezpieczyć port 139?

Zabezpieczenie portu 139 wymaga podejścia wielowarstwowego. Sama blokada na firewallu to za mało, jeśli wewnątrz sieci wciąż funkcjonują podatne usługi. Poniżej przedstawiono kompleksowy zestaw rekomendacji.

1. Blokada portu na firewallu

Pierwszym i najważniejszym krokiem jest zablokowanie portu 139 na firewallu brzegowym, aby uniemożliwić dostęp z internetu. Pod żadnym pozorem port ten nie powinien być publicznie dostępny. Dla większości organizacji zaleca się również blokadę portu 139 w komunikacji pomiędzy segmentami sieci wewnętrznej, jeśli nie jest on niezbędny.

2. Wyłączenie NetBIOS over TCP/IP

W systemach Windows można całkowicie wyłączyć NetBIOS over TCP/IP w ustawieniach karty sieciowej:

  1. Otworzyć właściwości karty sieciowej,
  2. Przejść do właściwości protokołu IPv4,
  3. Kliknąć „Zaawansowane”,
  4. W zakładce WINS wybrać „Wyłącz NetBIOS over TCP/IP”.

W środowiskach domenowych można to skonfigurować centralnie poprzez Group Policy lub DHCP.

3. Wyłączenie SMBv1

SMBv1 to przestarzała i niebezpieczna wersja protokołu, która powinna zostać całkowicie wyłączona we wszystkich nowoczesnych środowiskach. W systemach Windows 10/11 oraz Windows Server 2016+ SMBv1 jest domyślnie wyłączony, jednak w starszych systemach może wciąż być aktywny.

4. Segmentacja sieci

Podział sieci na mniejsze segmenty z odpowiednio skonfigurowanymi politykami dostępu znacząco ogranicza możliwość poruszania się atakującego po infrastrukturze. Krytyczne serwery powinny być umieszczone w wydzielonych strefach z restrykcyjnymi regułami dostępu.

5. Monitoring i wykrywanie anomalii

Wdrożenie systemu SIEM oraz IDS/IPS pozwala na bieżącą detekcję podejrzanych aktywności na porcie 139. Szczególną uwagę należy zwrócić na:

  • nietypowe próby skanowania portu,
  • masowe nawiązywanie połączeń SMB,
  • próby uwierzytelnienia z nieznanych źródeł,
  • anomalie w ruchu NetBIOS.

6. Regularne aktualizacje

Wszystkie systemy operacyjne i aplikacje powinny być na bieżąco aktualizowane. Wiele krytycznych luk w SMB zostało załatanych przez producentów, jednak nieaktualizowane systemy pozostają podatne na znane eksploity.

7. Silne polityki haseł i uwierzytelnianie

Wymuszenie silnych haseł, wieloskładnikowego uwierzytelnienia oraz zasady najmniejszych uprawnień ogranicza skuteczność ataków typu brute force i pass-the-hash, które często towarzyszą atakom na SMB.

Czy port 139 jest jeszcze potrzebny?

W większości nowoczesnych środowisk IT port 139 nie jest już niezbędny. Komunikacja SMB między systemami Windows 2000 i nowszymi może odbywać się bezpośrednio przez port 445, bez udziału NetBIOS. Mimo to istnieją scenariusze, w których port 139 wciąż znajduje zastosowanie:

  • współpraca ze starszymi systemami Windows (np. Windows NT, 98, Me),
  • obsługa starszych urządzeń sieciowych, takich jak drukarki, skanery czy NAS,
  • specyficzne aplikacje biznesowe wymagające komunikacji NetBIOS,
  • starsze wersje serwerów Samba w środowiskach Linux/Unix.

Wiele starszych urządzeń i aplikacji nadal wymaga aktywnego NetBIOS, co utrudnia całkowite wyłączenie tej technologii. W takich przypadkach należy zastosować szczególne środki ostrożności, w tym izolację takich systemów w wydzielonych segmentach sieci.

Najlepsze praktyki dla administratorów

Podsumowując kwestie zarządzania portem 139, warto zapamiętać kilka kluczowych zasad, których stosowanie znacząco poprawia bezpieczeństwo infrastruktury sieciowej:

  • Port 139 nigdy nie powinien być dostępny z internetu – blokada na firewallu brzegowym to absolutna podstawa.
  • W nowoczesnych środowiskach NetBIOS powinien być wyłączony, a cała komunikacja SMB powinna odbywać się przez port 445.
  • SMBv1 powinien zostać całkowicie wyłączony – jego dalsze używanie to poważne zagrożenie.
  • Regularny audyt otwartych portów i aktywnych usług to konieczność, nie opcja.
  • Wszystkie systemy korzystające z SMB powinny być na bieżąco aktualizowane.
  • Monitoring ruchu sieciowego pozwala na wczesne wykrycie prób ataku.
  • Segmentacja sieci ogranicza skutki ewentualnego włamania.

Podsumowanie

Port 139 to historyczny element infrastruktury sieciowej, który przez dziesięciolecia umożliwiał komunikację SMB w sieciach Windows opartych na NetBIOS. Choć w nowoczesnych środowiskach został w dużej mierze zastąpiony przez port 445, wciąż pozostaje aktywny w wielu organizacjach, głównie ze względu na kompatybilność wsteczną. Niestety, jego obecność wiąże się z poważnymi zagrożeniami bezpieczeństwa, czego najlepszym przykładem był globalny atak ransomware WannaCry z 2017 roku.

Współczesne podejście do zarządzania portem 139 powinno opierać się na zasadzie minimalizacji powierzchni ataku – port ten należy blokować wszędzie tam, gdzie nie jest absolutnie niezbędny, a tam gdzie musi pozostać aktywny, należy stosować zaawansowane mechanizmy ochrony. Wyłączenie NetBIOS over TCP/IP, dezaktywacja SMBv1, segmentacja sieci, regularne aktualizacje oraz monitoring to fundament bezpiecznej infrastruktury sieciowej. Odpowiednie zarządzanie portem 139 to nie tylko techniczna konieczność, ale element strategii cyberbezpieczeństwa, który chroni organizację przed realnymi i często katastrofalnymi w skutkach atakami.

Podobne posty

  • Acer czy lenovo? Która marka robi lepsze laptopy?
  • Assembler: kluczowe informacje i zastosowania
    Assembler: kluczowe informacje i zastosowania

Polecane artykuły

Kategorie

Tagi

Udostępnij