WannaCry fidye yazılımı, 2017 baharında dünya çapında binlerce bilgisayarı kapattı. Virüsü bulaştırmak için genellikle TCP bağlantı noktası 445 kullanıldı. Kullanıcının yalnızca çok nadir durumlarda erişmesi gerekir, ancak bilgisayar her zaman onu dinler. Bugün burada 445 numaralı bağlantı noktasına neyin ihtiyaç duyduğunu ve gerekmiyorsa neden kapatmamız gerektiğini öğreniyoruz.
TCP bağlantı noktası 445, NetBIOS katmanı gerektirmeyen TCP/IP MS Ağı’na doğrudan erişim için kullanılır. Bu hizmet, Windows 2000 ve Windows XP’den başlayarak Windows’ta mevcuttur. Windows NT/2K/XP’de, diğer şeylerin yanı sıra SMB (Sunucu İleti Bloğu) protokolü dosya paylaşımı için kullanılır. Windows NT’de NetBT (TCP/IP üzerinden NetBIOS, 137, 139 ve 138/UDP bağlantı noktaları) üzerinde çalıştı. Microsoft, Windows 2000/XP’de ek NetBT katmanı olmadan SMB’yi doğrudan TCP/IP üzerinden çalıştırmayı mümkün kıldı. Bunun için TCP bağlantı noktası 445 kullanılır.
SMB (Sunucu Mesaj Bloğu), kimliği doğrulanmış süreçler arası iletişim için işlem protokollerini de içerebilir. 445 numaralı bağlantı noktası, SMB’nin daha yeni sürümleri tarafından (Windows 2000’den sonra) bir TCP yığınının üstünde kullanılır ve SMB’nin İnternet üzerinden iletişim kurmasına olanak tanır. Bu ayrıca SMB benzeri dosya paylaşımını kullanmak için IP adreslerini kullanabileceğiniz anlamına gelir.
Sunucu İleti Bloğu (SMB), bir veri yapısı ve ağ dosyası paylaşım protokolüdür. SMB, Windows, macOS, iOS, Linux ve Android dahil olmak üzere birden çok işletim sisteminde milyarlarca cihaz tarafından kullanılır. SMB, müşteriler tarafından sunuculardaki verilere erişmek için kullanılır. Bu, mobil cihazlar için dosya paylaşımı, merkezi veri yönetimi ve azaltılmış depolama gereksinimleri sağlar. Kümeleme ve çoğaltma gibi görevler için yazılım tanımlı veri merkezindeki sunucular tarafından da kullanılır.
Uygulamaya bağlı olarak, TCP bağlantı noktası 445, önceden tanımlanmış bir protokol üzerinden iletişim kurabilir. Protokol, verilerin bir ağ üzerinden nasıl gönderildiğini açıklayan bir dizi kodlanmış kuraldır. Bunu, bilgisayarların daha verimli konuşmalarına yardımcı olmak için kullandıkları dil olarak düşünün.
İletim Kontrol Protokolü (TCP), TCP bağlantı noktası 445’te kullanılır. TCP, TCP/IP ağlarında en yaygın kullanılan protokollerden biridir. TCP, hem verilerin teslimini hem de paketlerin 445 numaralı bağlantı noktasında gönderildikleri sırayla teslim edilmesini garanti eder.
WannaCry, SMB protokolünün eski bir sürümüyle Windows makinelerinin eski sürümlerini kullandı. Otonom olarak yayılmasına izin veren bir taşıma mekanizmasına sahip bir ağ solucanıdır.
TCP 445’e ne için ihtiyacım var?
TCP 445, tüm SMB iletişimleri için varsayılan olarak kullanıldığı için önemli bir bağlantı noktasıdır. 139 numaralı bağlantı noktası resmi olarak “IP üzerinden NBT” olarak bilinirken, 445 numaralı bağlantı noktası SMB (“Sunucu İleti Bloğu”), yani “IP üzerinden SMB” ile eşdeğerdir. SMB’ye genellikle “Ortak İnternet Dosya Sistemi” denir.
SMB, uygulama düzeyinde ağ protokolü olarak hizmet verdiğinden, Windows bunu çeşitli işlevler için kullanır. Paylaşılan yazıcı erişiminden, Microsoft DS dosya paylaşımından ve diğer ağ bağlantısı türlerinden (örneğin NetBIOS dahil) sorumludur. Öte yandan, eski programlar büyük ölçüde bu arayüze ihtiyaç duyar.
Güvenliği sağlamak için 445 numaralı bağlantı noktası neden devre dışı bırakılmalıdır?
Doğrudan TCP/IP MS ağ bağlantısı için Microsoft Windows 10, 445 numaralı bağlantı noktasını kullanır. NetBIOS katmanının kullanılması gerekli değildir. 445 numaralı bağlantı noktası, tipik olarak dosyaları, yazıcıları ve seri bağlantı noktalarını paylaşmak için kullanılan bir uygulama katmanı ağ protokolü olan SMB (Hizmet İleti Bloğu) ile ilişkilidir. Güvenlik araştırmacılarına göre 445 numaralı bağlantı noktası güvenlik saldırılarına karşı savunmasızdır ve devre dışı bırakılması gerekir.
İnternette ve Microsoft’ta 445 numaralı bağlantı noktasının ciddi şekilde kusurlu olduğuna ve bu nedenle bilgisayar korsanlığı saldırılarına karşı savunmasız olduğuna dair birkaç iddia var. Kötü amaçlı yazılımlar da içine sızabilir, bu nedenle normalde onu devre dışı bırakmanız önerilir. Ancak dosya ve yazıcıları paylaşmanızı da engelleyeceğinden, bu tür paylaşım servislerini kullanmak için dahili güvenlik duvarındaki bağlantı noktasına izin vermeniz gerekebilir.
Windows 7/10 veya 11’de TCP bağlantı noktası 445’i devre dışı bırakın
Windows 10 veya 11’de TCP bağlantı noktası 445’i devre dışı bırakmak için denenmiş ve test edilmiş bunu kullanın.
Komut istemini şu şekilde çalıştır yönetici
Aşağıdaki iki komutu yazın
sc stop lanmanserver sc config lanmanserver start=disabled
Sistemi yeniden başlatma
445 numaralı bağlantı noktasının sistem tarafından dinlenip dinlenmediğini kontrol etmek için boş bir sonuç alırsanız başarıyla bloke etmişsiniz demektir.
netstat -n -a | findstr "LISTENING" | findstr ":445"
Tabii ki, bağlantı noktasına hiç ihtiyacınız yoksa yukarıdaki yöntem kullanılmalıdır. Bazen ihtiyacın olursa, o zaman alternatif, onu korumak için güvenlik duvarınızı kullanabilirsiniz. Bunu başarmak için, açık bağlantı noktasından giden trafiğe izin verilmeyecek şekilde yapılandırın. Tüm hizmetler çalışır durumdayken, yanlışlıkla ortaya çıkan kötü amaçlı yazılımlar, İnternet’e veya diğer bilgisayarlara bağlanamaz.
1. Gelişmiş Güvenlik Özellikli Windows Defender Güvenlik Duvarı’nı açın.
2. Sol bölmede gereksinimlerinize göre Gelen veya Giden Kuralları’nı seçin.
3. “Dosya ve Yazıcı Paylaşımı (SMB-In)” Özel ve Etki Alanı’nı bulun. Üzerine çift tıklayın ve ardından “Bağlantıyı engelle”yi seçin.
4. Şimdi bu iki satıra sağ tıklayın ve etkinleştirin.
445 numaralı TCP bağlantı noktasının açık mı yoksa kapalı mı olduğu nasıl belirlenir
Bilgisayarınızı yeniden başlattıktan sonra, komut istemini başlatın ve ‘ yazın.netstat -bir‘. Tüm açık TCP bağlantı noktalarının bir listesini gösterir. 445 numaralı bağlantı noktalarının bu listede olmadığından emin olun. Bunu doğrulamak için, Avast Internet Security’nin Wi-Fi Inspector’ını bir SMB güvenlik açığı tarayıcısı olarak kullanabiliriz ve yukarıdaki öğreticiyi izledikten sonra bağlantı noktasının uygun şekilde kapatıldığını bulduk.
Bitiş Düşünceleri:
Windows 10 veya 11’de SMB sunucusunu ve 445 numaralı bağlantı noktasını başarıyla kısıtlayarak kötü amaçlı ve fidye yazılımı saldırılarını engellediniz. En önemlisi, bilgisayarınıza artık 445 numaralı TCP bağlantı noktası üzerinden erişilemez, bu da sabit sürücünüzdeki verilerin yetkisiz erişime karşı korunduğu anlamına gelir. Ancak, hiçbir öğretici tam güvenliği garanti edemez. Bu nedenle, ücretsiz olmayan iyi bir virüsten koruma programı kullanmanızı da öneririz.
Açık bir kapının tehlikeli olduğuna dair yaygın bir fikir var. Bu, büyük ölçüde açık bağlantı noktalarının nasıl çalıştığı, neden açık oldukları ve hangilerinin açık olmaması gerektiği konusunda bilgi eksikliğinden kaynaklanmaktadır.
İnternet üzerinden etkileşim, açık bağlantı noktaları gerektirir. Öte yandan, açık bir bağlantı noktası, onu dinleyen hizmet yanlış yapılandırılmışsa, yama uygulanmamışsa, açıklardan yararlanmaya açıksa veya düşük ağ güvenlik standartlarına sahipse sorunlu olabilir.
SMB protokolü tarafından kullanılanlar gibi güvenlik açığı bulunan bağlantı noktaları en tehlikeli açık bağlantı noktalarıdır ve bazı işletim sistemlerinde varsayılan olarak etkindir.
