# Форум на русском языке  > Основы информационной безопасности  > Общая сетевая безопасность  >  Настройка сети без NetBIOS

## bombovozik

Подскажите такой момент: Если на серваке поднят DNS то можно спокойно рубать на фсех машинах в сети NetBIOS  и WINS? Хочется закрыть уязвимости связанные с NetBIOS, но перед отключением его на серваке хочу разобраться как это повлияет (если повлияет) на работу сети (домен под 2003 R2). И какая служба будет заниматься сетевыми операциями при отключенном NetBIOS?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Surfer

> NetBIOS


У меня после отключения его службы пропала вся сеть и интернет в частности, а на некоторых компах - нормально. Непонятно с чем это связано.

----------


## bombovozik

У меня инет раздает шлюз под FreeBSD. Так что при отключении NetBIOS в WINS на своей машине инет пашет, а компы отзываются, но только по IP адресу. Ну и ессно нет компов в сетевом окружении...

----------


## ALEX(XX)

Кхм, вроде при поднятом DNS компы должны нормально находить друг друга... Естественно при правильной настройке. Но это относится к ХР и 2003 серверу... Насчёт 2000 не помню, а всё более раннее без NetBios плохо себя чувствует

----------


## bombovozik

> Кхм, вроде при поднятом DNS компы должны нормально находить друг друга... Естественно при правильной настройке. Но это относится к ХР и 2003 серверу... Насчёт 2000 не помню, а всё более раннее без NetBios плохо себя чувствует


Вы уверены что нормально? Я не спорю, а уточняю... 
DNS пока не поднимался... Просто я решил избавиться от NetBios в домене, а экспериментирую на рабочей группе... Поскольку на домене особо не поэкспериментируешь.... В рабочей группе кроме шлюза на Фрюшке еще и DHCP сервер крутится, правда админю его, к сожалению, не я. Поэтому пожно поэкспериментировать... думаю попробовать запустить на фре DNS сервер. И посмотреть что будет если порубать NetBios на фсех машинах. А вообсче, глобально, предстоит обединения домена (не имеет доступа в инет) и рабочей группы при помощи Линухи (IP tables) с целью обеспечения возможности обмена данными и использования сетевых ресурсов друг друга (сетевые папки, принт сервер...)

----------


## ALEX(XX)

> Вы уверены что нормально? Я не спорю, а уточняю...


Посмотрел сейчас литературу, вот что пишут:



> Сравнение DNS и NetBIOS 
> Доменная система имен (Domain Name System, DNS ) — это предпочтительная система имен в семействе Windows Server 2003, отличающаяся лучшей масштабируемостью, безо*пасностью и совместимостью с Интернетом, чем NetBIOS. Хотя до начала работы DNS надо обязательно должным образом настроить, она является неотъемлемым элементом доменов Active Directiory и поэтому используется в большинстве сетей Windows Server 2003. Тем не менее, NetBIOS все еще часто используется в качестве вспомогательного механиз*ма разрешения имен, так как позволяет без дополнительной настройки обеспечить разре*шение имен компьютеров одного сегмента сети. Кроме того, NetBIOS используется для
> совместимости с предыдущими версиями Windows, например при просмотре сети Windows с помощью компонент а Сетевое окружение(My Network Places) или доступе к совместно используемым ресурсам по UNC-адресам, например, \\computerl\sharel. 
> 
> Примечание По сути NetBIOS представляет собой не систему имен , а API-интерфейс , применяемый в ранних сетях Windows для беспечения связи и взаимодействия ком*пьютеров. Именование и разрешение имен — лишь два из множества сервисов, предла*гаемых NetBIOS . 
> В сетях Windows Server 2003 разрешение имен по механизму DNS имеет приоритет перед NetBIOS . Приоритет обеспечивается службой DNS-клиента , которая принимает решение , куда направлять запросы на разрешение имен. DNS-клиент сначала пытается разрешить имя в DNS , а если это не удается, обращается к NetBIOS .


И ещё:



> Когда обязательна DNS 
> В сетях с доменами Windows 2000 или Windows Server 2003. Когда компьютеры являются членами доменов Windows 2000 или Windows Server 2003, нужно обязательно перекон*фигурировать DNS. Служба каталогов Active Directory тесно связана с DNS и использу*ет ее в качестве службы локатора. (Служба локатора позволяет клиентам в доменах Windows 2000 и Windows Server 2003 находить в пределах данного домена узлы и службы, местоположение которых неизвестно.) 
> При доступе в Интернет или в интрасеть. DNS используется для связи с компьюте*рами в интрасети или Интернете по DNS-именам узлов. 
> 
> Когда обязательна NetBIOS 
> В сетях Windows Server 2003 поддерживается протокол NetBT (NetBIOS поверх TCP/IP); это делается для обратной совместимости с более ранними версиями Windows и совме*стимости с NetBIOS-приложениями. Имена и протокол NetBIOS используются в доме*нах Microsoft Windows NT, а также в рабочих группах Microsoft Windows 95/98/Me/NT. Разрешение имен NetBIOS также необходимо сетевым клиентам, использующим 
> приложения или службы, нуждающиеся в разрешении NetBIOS-имен, например службу Обозреватель компьютеров (Computer Browser), активизируемую щелчком значка Microsoft Windows Network в Проводнике. Наконец, разрешение имен NetBIOS требуется в сетях, где не завершена конфигура*ция системы DNS, например в рабочей группе, в которой нет DNS-сервера; в такой ситуации разрешение имен компьютеров выполняется с использованием широковеща*тельных рассылок NetBIOS.

----------


## bombovozik

2 ALEX(XX): Спасибо -все по делу :Smiley: 

Такой момент еще: Хочу уточнить для себя - если не работает Сетевое окружение, то при нажатии на кнопочку Отобразить компьютеры рабочей группы(или домена) будут отображаться машины в нее входящие? И будет ли работать элемент Вся сеть?
"Кроме того, NetBIOS используется для
совместимости с предыдущими версиями Windows, например при просмотре сети Windows с помощью компонент а Сетевое окружение(My Network Places) или доступе к совместно используемым ресурсам по UNC-адресам, например, \\computerl\sharel" - или это относится только к "предыдущими версиями Window"?

*Добавлено через 32 минуты*

И кстати - после того, как будет отключен NetBIOS, какая служба будет обеспечивать доступ к данным по сети? DNS? И может кто-нибудь знает - NetBIOS случайным образом выбирает порты для обмена данными по сети? Я как-то не смог найти в сети данных о том каким образом NetBIOS выбирает порты, смотрел утилиткой netstat, но там значения портов были за 3ю тысячу, т.е. не из жестко забитых портов. Сейчас посмотрел, как без NetBIOS осуществляется передача данных (переписывал данные с расшаренной папки на свой комп). С моей стороны был открыт 1181 а с отдающей 445й. В описании 2го порта нашел: 445 TCP и UDP	-      Microsoft-DS (MS: Служба факсов (Fax), Диспетчер очереди печати (Spooler), Сервер (lanmanserver), Локатор удаленного вызова процедур (RpcLocator), Распределенная файловая система (Dfs), Служба учета лицензий (LicenseService), Net Logon (Netlogon)) т.е. как бы можно предположить, что он всегда для обращения к удальенной системе при передаче данных по сети. Надеюсь, что кто-нибудь подтвердит или опровергнет мою догадку.... А вот 1181-1182 - Unassigned - т.е. я так понимаю он ваабсче не закреплен ни за какими задачами....?

----------


## ALEX(XX)

> Я как-то не смог найти в сети данных о том каким образом NetBIOS выбирает порты


netbios-ns        137/tcp    nbname                 #NETBIOS Name Service
netbios-ns        137/udp    nbname                 #NETBIOS Name Service
netbios-dgm       138/udp    nbdatagram             #NETBIOS Datagram Service
netbios-ssn       139/tcp    nbsession              #NETBIOS Session Service

----------


## bombovozik

> netbios-ns        137/tcp    nbname                 #NETBIOS Name Service
> netbios-ns        137/udp    nbname                 #NETBIOS Name Service
> netbios-dgm       138/udp    nbdatagram             #NETBIOS Datagram Service
> netbios-ssn       139/tcp    nbsession              #NETBIOS Session Service


Порт назначения - 139, а вот порт, с которого комп обращается к удаленной машине 1215, 1193, 1032 ну и т.д. Следовательно я делаю вывод, что обращается служба на конкретный (заранее оговоренный порт)
, а вот с какого порта идет обращение служба решает произвольно - так? Это я писал о состоянии, когда NETBIOS включен.
Насчет отключенного: после перезагрузки, поменялись порты, с которых идет обращение к удаленной машине, а порт назначения остался прежним - 445 :Smiley:  Так я делаю правильный вывод?

----------


## pig

Порты "своей стороны" для исходящих соединений система назначает динамически из тех, что в данный момент свободны.

----------


## Jolly Rojer

Да будет в помощь RFC 1001,1002
http://www.faqs.org/rfcs/rfc1001.html
http://www.faqs.org/rfcs/rfc1002.html

----------

