Hlavní navigace

NetBIOS a Internet, kde je problém?

Karel Chvalovský

Jednou z velmi nebezpečných součástí Windows 9x je sdílení souborů a aplikace s tím spojené. Zvláště v kombinaci s připojením k Internetu nám může tento "výdobytek" přinést značné problémy. Synonymem pro vše špatné se pak v této souvislosti stal NetBIOS, jak to je doopravdy?

Síťový protokol NetBIOS vznikl před bezmála dvaceti lety v laboratořích IBM a je koncipován jako protokol vyšší vrstvy určený pro komunikaci peer-to-peer. V praxi to znamená, že může např. pracovat nad TCP/IP, tedy skupinou internetových protokolů. Právě jeho relativní univerzálnost mu umožnila získat v některých typech aplikací poměrně značnou rozšířenost. Hlavním motorem se zde stal Microsoft a dále pak počítačové hry.

Jak již bylo řečeno, oblíbil si tento protokol především Microsoft, který na něm postavil svá síťová řešení. Využívají ho proto také Windows ke sdílení souborů a tiskáren a právě zde je základní kámen úrazů. Sdílení totiž díky tomu pracuje nejen v lokálních sítích, ale také přes Internet (TCP/IP), takže sdílet data či cokoliv jiného s námi může stejně dobře kolega v kanceláři jako kdokoliv jiný na celém světě připojený k Internetu, pokud zná naši síťovou adresu.

Způsobů, jak se proti tomu bránit, je hned několik, a dnes jsou již obecně známé. Počínaje zakázáním sdílení či NetBIOSu obecně a konče filtrací paketů putujících na port 139, který slouží pro komunikaci s NetBIOSem. Zatímco u domácích počítačů připojených modemem nebývá problém, tam stačí zakázat NetBIOS nad TCP/IP pro modemové připojení a máme vyhráno, podstatně horší je situace u počítačů připojených k Internetu přes standardní síťovou kartu, která slouží zároveň k přístupu do lokální počítačové sítě. U takto připojených uživatelů je často žádoucí, aby bylo možné sdílet data v lokální síti, takže je nutné problém řešit až na přístupovém routeru či firewallu např. filtrováním paketů. Všechny tyto problémy samozřejmě hrozí pouze u počítačů, které mají přímý přístup k Internetu.

Existuje jedna velmi specifická skupina uživatelů, kteří jsou k Internetu připojeni pevným datovým spojem, a to domácí (obecně každé připojení pouze jednoho počítače) uživatelé využívající především připojení přes bezdráty a kabelové televize. Ti mají hlavní nevýhodu v tom, že na jejich špatné nastavení většinou někdo velmi rychle přijde. Nejjednodušší způsob, jak nalézt nějakého uživatele s povoleným sdílením souborů, je totiž samozřejmě přes složku Okolní počítače. Ta funguje na jednoduchém principu, pošle se dotaz na broadcast adresu, takže přijde všem počítačům v daném segmentu. Ty samozřejmě, pokud sdílení souborů podporují, odpovědí. Uživatelům připojeným přes bezdrát či kabelovou televizi se tak může snadno poštěstit, že se jim objeví všichni uživatelé v dané oblasti. Mnoho uživatelů si pak na to stěžuje, v čem je chyba?

Chyba vlastně není v ničem, výsledek dokonce dostává tomu, co jsem po něm požadovali, zobrazuje nám okolní počítače. Celkové hodnocení pak záleží na úhlu pohledu. Na jednu stranu to představuje jisté bezpečnostní problémy, ty je však možné jednoduše odstranit prostě tím, že NetBIOS zakážeme. Zatím jsme mluvili pouze o negativech sdílení souborů, celá věc má však samozřejmě i svá pozitiva. Tím hlavním je ono možné sdílení souborů či tiskáren s uživateli, se kterými chceme, a to i přes Internet, dalším např. možnost hraní her s „okolními“ uživateli přes NetBIOS.

Základním problémem je onen úhel pohledu, pokud bereme takové připojení pouze jako přístup k Internetu, pak samozřejmě není dobré, aby se náš počítač objevoval okolním uživatelům. Pokud však bereme připojení jako přístup do místní datové (metropolitní) sítě, která je „mimo jiné“ připojena k Internetu, pak se pohled diametrálně liší. Zde se totiž jeden nefiltrovaný segment stává značnou výhodou, je možné bez problémů komunikovat např. se sousedem, hrát s ním hry přes NetBIOS atd. stejným způsobem, jako bychom mezi sebou měli natažený síťový kabel, vše se tak skutečně chová.

EBF17

Problém zde skutečně není na straně poskytovatelů Internetu, ale uživatelů, ti totiž mají mít správně nastaven přístup ke svému počítači. Je to stejná situace, jako kdybychom nechali otevřený dům, byli jsme vykradeni a stěžovali si majiteli cesty, po které zloděj přijel

Jinou otázkou je to, zda řešení, které zvolil Microsoft v některých svých implementacích, bylo nejšťastnější, na Internet viditelně příliš ohledy nebralo. On již samotný protokol NetBIOS není, což je ostatně patrného z toho, kdy vznikl, určen pro podobné nasazení, to však neznamená, že by byl úplně špatný. Pokud se však sečte několik nedostatků a k tomu přidá neškolený uživatel, tak vzniká vážný problém.

Anketa

Myslíte si, že by se měl NetBIOS přes Internet?

Našli jste v článku chybu?