NetBIOS over TCP/IP Güvenlik Açığı: Kritik Bir Ağ Güvenliği Riski

Modern ağ güvenliğinde, eski protokollerin günümüz sistemlerinde yarattığı güvenlik riskleri ciddi bir endişe kaynağıdır. Bu yazıda, NetBIOS over TCP/IP protokolünün devre dışı bırakılmamasının neden kritik bir güvenlik açığı oluşturduğunu ve bu sorunu nasıl çözebileceğinizi detaylı olarak inceleyeceğiz.

NetBIOS over TCP/IP Nedir?

NetBIOS (Network Basic Input/Output System) over TCP/IP, eski bilgisayar uygulamalarının NetBIOS protokolüne dayalı olarak çalışmasını sağlayan ve modern TCP/IP ağlarında kullanılabilen bir ağ protokolüdür. Bu protokol, özellikle Windows ortamlarında dosya paylaşımı ve ağ keşfi için kullanılmıştır.

Protokolün Çalışma Mantığı

NetBIOS over TCP/IP, üç temel bileşenden oluşur:

• NetBIOS Name Service (NBNS) - Port 137/UDP
• NetBIOS Datagram Service (NBDS) - Port 138/UDP
• NetBIOS Session Service (NBSS) - Port 139/TCP

Güvenlik Riskleri ve Saldırı Vektörleri

1. Bilgi Sızıntısı Riski

NetBIOS'un etkin olması, saldırganların aşağıdaki hassas bilgilere erişmesini sağlayabilir:

• Bilgisayar adları ve domain bilgileri
• Çalışma grubu isimleri
• Paylaşılan dizinler ve dosyalar
• Kullanıcı listesi
• MAC adresleri

2. NBSTAT Sorguları ile Bilgi Toplama

Saldırganlar NBSTAT sorguları kullanarak:

nbtstat -A 

komutu ile hedef sistemden ayrıntılı bilgi toplayabilirler.

3. DRDoS (Distributed Reflected Denial of Service) Saldırıları

NetBIOS'un UDP protokolü kullanması, trafik amplifikasyon saldırılarında kötüye kullanılmasına olanak tanır:

• Saldırganlar küçük paketler göndererek büyük yanıtlar alabilir
• Bu durum DRDoS saldırılarında amplifikatör olarak kullanılabilir
• Ağ kaynaklarının tükenmesine neden olabilir

4. Lateral Movement (Yan Hareket)

Saldırganlar NetBIOS üzerinden:

• Ağ içindeki diğer sistemleri keşfedebilir
• Paylaşılan kaynakları tespit edebilir
• Privilege escalation saldırıları gerçekleştirebilir

Çözüm Yöntemleri

1. Windows Sistemlerde NetBIOS Devre Dışı Bırakma

Ağ Adaptörü Ayarları Üzerinden:

1. Denetim Masası → Ağ ve Paylaşım Merkezi
2. Adaptör ayarlarını değiştir
3. Ethernet/Wi-Fi adaptörüne sağ tık → Özellikler
4. Internet Protocol Version 4 (TCP/IPv4) → Özellikler
5. Gelişmiş → WINS sekmesi
6. NetBIOS over TCP/IP'yi devre dışı bırak seçeneğini işaretleyin

Kayıt Defteri (Registry) Üzerinden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces\ 

Bu dizinde her ağ adaptörü için NetbiosOptions değerini 2 olarak ayarlayın.

2. Group Policy (GPO) ile Toplu Yönetim

Kurumsal ortamlarda:

1. Group Policy Management Console açın
2. Computer Configuration → Administrative Templates → Network → DNS Client
3. "Turn off NetBIOS over TCP/IP" politikasını etkinleştirin

3. Güvenlik Duvarı Kuralları

NetBIOS portlarını engellemek için:

• Port 137/UDP (NetBIOS Name Service)
• Port 138/UDP (NetBIOS Datagram Service)
• Port 139/TCP (NetBIOS Session Service)

4. Ağ Segmentasyonu

• NetBIOS trafiğini yalnızca gerekli ağ segmentlerine sınırlandırın
• VLAN'lar arası NetBIOS trafiğini engelleyin
• Güvenlik duvarı kuralları ile erişimi kısıtlayın

Deployment Sonrası Dikkat Edilmesi Gerekenler

Legacy Uygulama Uyumluluğu

NetBIOS'u devre dışı bırakmadan önce:

• Eski uygulamaların NetBIOS'a bağımlılığını kontrol edin
• Dosya paylaşım sistemlerinin çalışmasını test edin
• Yazıcı paylaşımlarının etkilenip etkilenmediğini doğrulayın

Alternatif Çözümler

NetBIOS gerekli olan sistemler için:

• SMB Direct kullanımını değerlendirin
• WS-Discovery protokolüne geçiş yapın
• Modern DNS-based çözümleri benimseyin

Güvenlik Tarama ve Doğrulama

Nmap ile NetBIOS Taraması:

nmap -sU -p 137,138 nmap -sT -p 139 

PowerShell ile Durum Kontrolü:

Get-WmiObject -Class Win32_NetworkAdapterConfiguration | Where-Object {$_.TcpipNetbiosOptions -ne $null} | Select-Object Description, TcpipNetbiosOptions 

Sonuç ve Öneriler

NetBIOS over TCP/IP protokolünün devre dışı bırakılması, ağ güvenliğinizi önemli ölçüde artıracaktır. Ancak bu değişikliği yapmadan önce:

1. Mevcut uygulamaları analiz edin
2. Test ortamında değişiklikleri deneyin
3. Aşamalı deployment planlayın
4. Sürekli izleme yapın

Modern ağ ortamlarında NetBIOS protokolü genellikle gereksizdir ve güvenlik açığı yaratır. Bu protokolü devre dışı bırakarak, hem bilgi sızıntısı riskini azaltır hem de DRDoS saldırılarına karşı sisteminizi koruruz.

Hızlı Kontrol Listesi:

• ✅ NetBIOS over TCP/IP devre dışı bırakıldı mı?
• ✅ Güvenlik duvarı kuralları uygulandı mı?
• ✅ Legacy uygulamalar test edildi mi?
• ✅ GPO politikaları güncellendi mi?
• ✅ Ağ segmentasyonu yapıldı mı?

Bu adımları takip ederek, NetBIOS over TCP/IP kaynaklı güvenlik açıklarından korunabilir ve daha güvenli bir ağ altyapısı oluşturabilirsiniz.