El ransomware WannaCry detuvo miles de computadoras en todo el mundo en la primavera de 2017. El puerto TCP 445 se utilizó principalmente para infectar el virus. El usuario sólo necesita acceder a él en circunstancias muy excepcionales, pero el ordenador siempre está escuchándolo. Hoy aprenderemos aquí cuál es la necesidad del puerto 445 y por qué deberíamos cerrarlo, si no es necesario.
El puerto TCP 445 se utiliza para acceso directo a redes TCP/IP MS que no requiere el uso de una capa NetBIOS. Este servicio está disponible en Windows, comenzando con Windows 2000 y Windows XP. En Windows NT/2K/XP, el protocolo SMB (Server Message Block) se utiliza, entre otras cosas, para compartir archivos. Se ejecutó sobre NetBT (NetBIOS sobre TCP/IP, puertos 137, 139 y 138/UDP) en Windows NT. Microsoft habilitó la capacidad de ejecutar SMB directamente sobre TCP/IP sin la capa adicional de NetBT en Windows 2000/XP. Para ello se utiliza el puerto TCP 445.
El SMB (Bloque de mensajes del servidor) también puede transportar protocolos de transacción para la comunicación entre procesos que esté autenticada. El puerto 445 se utiliza encima de una pila TCP en las versiones más recientes de SMB (posteriores a Windows 2000), lo que permite a SMB interactuar a través de Internet. Esto también implica que puede utilizar direcciones IP para compartir archivos tipo SMB.
Server Message Block (SMB) es un protocolo para compartir archivos de red y tejido de datos. SMB es utilizado por miles de millones de dispositivos en múltiples sistemas operativos, incluidos Windows, macOS, iOS, Linux y Android. Los clientes utilizan SMB para acceder a los datos de los servidores. Esto permite compartir archivos, administrar datos centralizados y reducir los requisitos de almacenamiento para dispositivos móviles. También lo utilizan los servidores del centro de datos definido por software para tareas como agrupación en clústeres y replicación.
Dependiendo de la aplicación, el puerto TCP 445 puede interactuar a través de un protocolo predefinido. Un protocolo es una colección de reglas codificadas que describen cómo se transmiten los datos a través de una red. Considérelo el lenguaje utilizado por las computadoras para permitirles conversar de manera más eficiente.
El Protocolo de control de transmisión (TCP) se utiliza en el puerto TCP 445. TCP es uno de los protocolos más comunes utilizados en las redes TCP/IP. TCP garantiza la entrega de datos y paquetes en el puerto 445 en la misma secuencia en la que fueron transmitidos.
WannaCry utilizó versiones heredadas de máquinas Windows que ejecutaban una versión desactualizada del protocolo SMB. Es un gusano de red con un mecanismo de transporte que le permite propagarse de forma autónoma.
¿Para qué necesito el TCP 445?
TCP 445 es un puerto importante porque se utiliza de forma predeterminada para todas las comunicaciones SMB. Si bien el puerto 139 se conoce formalmente como "NBT sobre IP", el puerto 445 es el equivalente de SMB ("Bloque de mensajes del servidor"), es decir, "SMB sobre IP". Con frecuencia se hace referencia a SMB como el “Sistema de archivos común de Internet”.
Windows lo utiliza para diversas funciones ya que SMB sirve como protocolo de red a nivel de aplicación. Entre otras cosas, se encarga de la admisión de impresoras compartidas, el intercambio de archivos Microsoft DS y otros tipos de conexión de red (incluido, por ejemplo, NetBIOS). Por el contrario, los programas más antiguos, en su mayoría, requieren esta interfaz.
¿Por qué motivo se debe desactivar el puerto 445 para garantizar la seguridad?
Para la conectividad de red MS TCP/IP directa, Microsoft Windows 10 utiliza el puerto 445. No requiere el uso de la capa NetBIOS. El puerto 445 está asociado con SMB (Bloque de mensajes de servicio), un protocolo de red de capa de aplicación que se utiliza principalmente para compartir archivos, impresoras y puertos serie. El puerto 445 es vulnerable a ataques a la seguridad, según los investigadores de seguridad, y debería desactivarse.
Hay varias afirmaciones en Internet y en Microsoft de que el puerto 445 tiene graves fallos y, por tanto, es vulnerable a ataques de piratas informáticos. El software malicioso también puede infiltrarse en él, por lo que normalmente se recomienda desactivarlo. Sin embargo, también evitará que comparta archivos e impresoras, por lo que es posible que deba permitir que el puerto del firewall interno utilice dichos servicios para compartir.
Deshabilite el puerto TCP 445 en Windows 7/10 u 11
Utilice este probado y comprobado para deshabilitar el puerto TCP 445 en Windows 10 u 11.
Ejecute el símbolo del sistema comoAdministrador
Escriba los siguientes dos comandos
sc stop lanmanserver sc config lanmanserver start=disabled
Reiniciar el sistema
Para verificar si el sistema está escuchando el puerto 445 o no, si obtiene un resultado vacío, entonces lo bloqueó con éxito.
netstat -n -a | findstr "LISTENING" | findstr ":445"
Por supuesto, se debe utilizar el método anterior si no necesita el puerto en absoluto. Mientras que si lo necesitas a veces, entoncesalternativamente, puede utilizar su firewall para protegerlo. Para lograr esto, configúrelos para que no se permita ningún tráfico saliente a través del puerto abierto. Aunque todos los servicios permanecen operativos, el malware ingresado accidentalmente no podrá conectarse a Internet ni a otras computadoras.
1.Abra el Firewall de Windows Defender con seguridad avanzada.
2.Seleccione Reglas de entrada o salida según sus requisitos en el panel lateral izquierdo.
3.Busque "Compartir archivos e impresoras (SMB-In)" Privado y Dominio. Haz doble clic en ellos y luego selecciona “Bloquear la conexión”.
4.Ahora, haga clic derecho en estas dos reglas y habilítelas.
Cómo determinar si el puerto TCP 445 está abierto o cerrado
Después de reiniciar su computadora, inicie el símbolo del sistema e ingrese 'netstat -en'. Mostrará una lista de todos los puertos TCP abiertos. Asegúrese de que los puertos 445 no estén en esta lista. Para confirmar esto, podemos utilizar el inspector de Wi-Fi de Avast Internet Security como un escáner de vulnerabilidades SMB y descubrimos que el puerto se había cerrado correctamente después de seguir el tutorial anterior.
Pensamientos finales:
Ha limitado con éxito el servidor SMB y el puerto 445 en Windows 10 u 11, evitando ataques dañinos y de ransomware. Lo más importante es que ya no se puede acceder a su computadora a través del puerto TCP 445, lo que significa que los datos de su disco duro están a salvo del acceso no autorizado. Sin embargo, ningún tutorial puede garantizar una seguridad completa, por lo que también te recomendamos que utilices un buen programa antivirus que no sea gratuito.
Existe una idea generalizada de que un puerto abierto es peligroso. Esto se debe en gran medida a la falta de conocimiento sobre cómo funcionan los puertos abiertos, por qué están abiertos y cuáles no deberían estarlo.
Para interactuar a través de Internet, se requieren puertos abiertos. Un puerto abierto, por otro lado, puede ser problemático si el servicio que escucha en él está mal configurado, no tiene parches, está expuesto a exploits o tiene bajos estándares de seguridad de red.
Los puertos vulnerables, como el que utiliza el protocolo SMB, son los puertos abiertos más peligrosos y están habilitados de forma predeterminada en algunos sistemas operativos.
