NetBIOS: wat het is, hoe het werkt en waarom NetBIOS vandaag nog relevant is

door Mediaredactie Internet en mobilnetwerken
Pre

NetBIOS is een van de oudste netwerkprotocollen die nog steeds in sommige bedrijfsnetwerken meedraait. Oorspronkelijk ontwikkeld in de jaren tachtig voor kleine netwerken draait NetBIOS nog altijd als een essentiële bouwsteen in naamresolutie en sessiebeheer, vooral wanneer NetBIOS over TCP/IP (NetBT) in het spel komt. In deze uitgebreide gids duiken we diep in wat NetBIOS precies is, hoe het werkt, welke drie kernservices erbij horen, hoe NetBIOS samenwerkt met moderne netwerken zoals SMB over TCP/IP, en welke best practices je vandaag de dag kan toepassen om netwerken veiliger en efficiënter te maken. Of je nu een systeembeheerder bent, een netwerkpartner of gewoon nieuwsgierig, deze gids biedt hands-on uitleg, duidelijke voorbeelden en praktijkgerichte tips.

NetBIOS begrijpen: wat is NetBIOS en waarom het ontstaat

NetBIOS staat voor Network Basic Input/Output System. Het is ontstaan als een laag-in-werkingsniveau protocol dat de communicatie regelt tussen software op een lokaal netwerk. De kracht van NetBIOS ligt in drie hoofdservices die samen zorgen voor naamherkenning, berichtuitwisseling en sessiebeheer tussen computers. Hoewel NetBIOS op zichzelf niet direct gebruikt wordt om data te verzenden via het internet, vormt het een conceptuele en functionele basis voor netwerkcommunicatie op LAN’s en WAN’s die in die tijd veel gebruikt werden.

In de praktijk ziet men NetBIOS nog steeds terug in omgevingen die flink teruggaan in tijd, in combinatie met moderne netwerken. NetBIOS kan op verschillende manieren werken, maar de meest relevante voor hedendaagse netwerken is NetBIOS over TCP/IP, kortweg NetBT. Dit maakt NetBIOS functioneel in netwerken die IP-adressen gebruiken, terwijl de namen van NetBIOS nog steeds worden gebruikt voor gebruiksvriendelijke herkenning door gebruikers en applicaties.

Drie kernservices van NetBIOS: naamservice, datagramservice en sessieservice

NetBIOS biedt drie primaire diensten die de basis vormen van de communicatie tussen apparaten:

  • Naamservice (NetBIOS Name Service, NBNS) – Dit is een dienst die NetBIOS-namen toewijst aan fysieke adressen op het netwerk. NBNS werkt meestal via UDP-poort 137 en wordt gebruikt om te kijken welke computer bij welke NetBIOS-naam hoort. Het is vergelijkbaar met een telefoonboek voor apparaten in een netwerk.
  • Datagramservice (NetBIOS Datagram Service, NBDS) – Hiermee kan een bericht (datagram) naar een NetBIOS-adres worden gestuurd zonder een vooraf ingestelde sessie. NBDS draait meestal op UDP-poort 138 en staat bekend als de ongebonden, “fire-and-forget” communicatievorm.
  • Sessieservice (NetBIOS Session Service, NBSS) – De kern voor betrouwbare, langdurige communicatie tussen twee hosts. NBSS beheert een sessie tussen twee NetBIOS-namen en zorgt voor ontvangstbevestiging, foutafhandeling en volgorde. Deze service gebruikt TCP-poort 139.

In moderne netwerken komt NetBIOS vaak in combinatie met TCP/IP via NetBT. Daardoor kunnen NetBIOS-gerelateerde vragen en sessies nog steeds plaatsvinden terwijl de onderliggende transportlaag IP is. Houd er rekening mee dat in veel netwerken de NBNS- en NBSS-services kunnen worden uitgeschakeld of beperkt in de firewall wanneer er geen backward-compatibiliteitsbehoefte meer is.

NetBIOS-naamgeving: regels, registraties en praktische gevolgen

Een NetBIOS-naam is in de basis een menselijke herkenbare identifier. Er zijn enkele belangrijke regels die elke beheerder moet kennen:

  • Lange naamslimiet: NetBIOS-namen zijn traditioneel beperkt tot 15 tekens, met een 16e teken dat het type aanduidt (bijvoorbeeld of het een workstation, server of groep is).
  • Hoofdletters en leesbaarheid: Hoewel NetBIOS-namen zoekbaar en leesbaar blijven, wordt in veel omgevingen de naam in hoofdletters weergegeven. De identiteit van de host blijft echter case-insensitief; de identiteit zelf is niet afhankelijk van hoofdletters.
  • Naamregistratie en -binding: De naam wordt geregistreerd bij de NetBIOS-naamservice (NBNS) en gekoppeld aan een fysieke MAC- of IP-adres via de NetBIOS-datagram- of sessie-service. Dit maakt snelle herkenning mogelijk binnen het lokaal netwerk.
  • Naamregistratie op netwerken: In NetBT-netwerken kan een apparaat zichzelf registreren zodat andere apparaten in het netwerk de host kunnen oproepen op basis van de NetBIOS-naam, zelfs als de IP-adresselectie verandert door DHCP.

Praktisch gezien betekent dit dat een computer met de NetBIOS-naam “DESKTOP-01” door een gebruiker kan worden opgeroepen in plaats van louter een IP-adres. In een bedrijfsnetwerk kunnen applicaties zoals Windows-bestandsdeling en bepaalde oudere applicaties nog steeds op NetBIOS-naam werken, wat vanzelfsprekend relevant blijft wanneer migraties naar volledig DNS-ambiente net zo mogelijk niet snel verlopen.

NetBIOS over TCP/IP (NetBT): hoe NetBIOS werkt op een IP-netwerk

NetBT is de koppeling die NetBIOS functioneel maakt op netwerken die gebruikmaken van IP. Hier is hoe het meestal werkt:

  • Naamresolutie: Een client die een NetBIOS-naam probeert op te lossen, zal vaak een NBNS-query doen om het IP-adres van de host te achterhalen. Dit gebeurt via UDP-poort 137. Als het netwerk DNS gebruikt, kan DNS de primaire bron zijn, maar NBNS blijft vaak als fallback bestaan.
  • Naamregistratie: Wanneer een host zich opstart, registreert hij zijn NetBIOS-naam bij NBNS zodat andere hosts sneller kunnen verwijzen naar hem bij toekomstig verkeer.
  • APIs en applicaties: Applicaties die NetBIOS gebruiken, kunnen verbinding maken door een NetBIOS-naam te gebruiken, waarna de sessie tot stand wordt gebracht via NBSS (TCP 139) of via modernere SMB-implementaties over TCP 445.

Informatie-uitwisseling via NBDS (UDP 138) maakt het mogelijk om berichten over NetBIOS-datagrammen te sturen zonder een volledige sessie. Dit is handig voor eenvoudige, broadcast-achtige communicatie of host-updates, maar minder geschikt voor betrouwbare data-overdracht bij bedrijfsapplicaties.

NBNS en WINS: legacy systemen in moderne netwerken

WINS (Windows Internet Name Service) was een centrale naamserveroplossing die NBNS deed fungeren in grotere netwerken. Tegenwoordig is DNS meestal de primaire naamoplossing, maar in oudere omgevingen, of in netwerken waar NetBIOS nog actief is, kan WINS of NBNS blijven spelen. Het is verstandig om de noodzaak van WINS te evalueren in jouw omgeving en om netwerken te segmenteren zodat NBNS-verzoeken tot een minimum beperkt blijven indien DNS de primaire oplossing is.

NetBIOS en Windows SMB: van NetBIOS naar SMB over TCP/IP

De relatie tussen NetBIOS en SMB (Server Message Block) is cruciaal. SMB is een netwerkprotocol voor bestands- en resource-sharing dat vaak draait boven TCP/IP. In oudere Windows-omgevingen gebruikte SMB NetBIOS-naamoplossing en de NetBIOS-sessieservice voor de sessie. Tegenwoordig draait SMB meestal direct over TCP-poort 445 (SMB over TCP/IP), maar NetBIOS blijft vaak bestaan in het achterland voor backward compatibility of in netwerken waar Windows 9x/XP-achtige systemen nog actief zijn.

Belangrijke punten om te onthouden:

  • In moderne omgevingen is SMB meestal niet afhankelijk van NBSS meer, maar NetBIOS-namen kunnen nog steeds worden gebruikt voor verkeersrouting en applicaties die oudere NetBIOS-compatibiliteit vereisen.
  • Wanneer SMB over TCP/IP wordt gebruikt (port 445), wordt de rol van NetBIOS beperkt en kan de snelheid en veiligheid verbeteren doordat er minder broadcastverkeer nodig is en er minder kwetsbaarheden zijn vanwege een oudere Windows-service.
  • Het uitschakelen van NetBIOS over TCP/IP zonder een duidelijke migratieplan kan bestaande toepassingen verstoren; daarom doen veel organisaties een gefaseerde migratie met nauwkeurige monitoring.

Beveiliging en best practices voor NetBIOS in moderne netwerken

NetBIOS is een krachtig maar verouderd mechanisme voor naamoplossing en sessiebeheer. In 2025 is het niet langer onaanvaardbaar om NetBIOS open te laten staan in een VLAN met gevoelige data. Hier zijn enkele praktische beveiligingsrichtlijnen:

  • Beperk NBNS- en NBDS-verkeer: Gebruik firewallregels om UDP-poorten 137 en 138 te beperken tot noodzakelijke segmenten. Dit vermindert de kans op netwerkverkenning en misbruik van NetBIOS-namen.
  • Schakel NetBIOS over TCP/IP uit waar mogelijk: In endpoints waar NetBIOS niet nodig is, schakel NetBT uit in IPv4/IPv6-instellingen of via groepsbeleid op Windows-machines.
  • Voorkom ongewenste netwerktbenadering: Gebruik netwerksegmentatie en VLANs om verkeer tussen device-clusters te beperken. NBNS-verzoeken migreren vaak van broadcast naar unicast-resolutie, wat veiliger en efficiënter is.
  • Houd WINS en NBNS-systeem onder controle: Als jouw organisatie nog afhankelijk is van WINS, plan dan een migratie naar DNS met ondersteuning voor NetBIOS-naamresolutie via DNS. Documenteer welke clients nog NBNS gebruiken en waarom.
  • Beveiligingsbeleid en patching: Zorg voor up-to-date OS-patches en beveiligingsupdates, aangezien sommige NetBIOS-gerelateerde kwetsbaarheden kunnen worden misbruikt voor netwerkverkenning of lateral movement.

Configuratie en troubleshooting: NetBIOS controleren en beheren

Het beheersen van NetBIOS vereist een combinatie van netwerkkwaliteitscontrole en endpoint-configuratie. Hieronder vind je enkele praktische stappen die je direct kunt toepassen in een typische Windows- of Linux-omgeving:

Windows-gebruikers en systeembeheerders

  • Controleer of NetBIOS over TCP/IP is ingeschakeld via het netwerkadapterprofiel. Ga naar Eigenschappen van de verbinding > Internet Protocol Version 4 (TCP/IPv4) > Geavanceerd > Opties NetBIOS en kies “Schakel NetBIOS uit” indien niet nodig.
  • Bekijk actieve NetBIOS-namen en sessies met nbtstat. Een venn nbstat -n toont de namen die op de host geregistreerd zijn, terwijl nbstat -R een refresh van namen afdwingt.
  • Beperk NBNS-verkeer via firewallregels op randapparatuur of via groepsbeleid. Blokkeer UDP-poort 137/138 op netwerken waar NetBIOS niet nodig is.
  • Verifieer of SMB-diensten correct functioneren. Gebruik commands zoals ipconfig /all om te zien of NetBIOS-registratie actief is en of er melding van NetBIOS-namen is.

Linux- en Samba-omgevingen

  • Controleer NetBIOS-ondersteuning in Samba met smb.conf. Een frequente regel is “workgroup = WNDS” en “netbios name = SERVER01”.
  • Schakel NBNS-protocol uit als DNS de naamoplossing volledig beheert. In Samba kan “disable netbios = yes” of “winbind enum users = no” helpen bij het minimaliseren van NetBIOS-gerelateerde verkeer.
  • Gebruik nmblookup en nbtscan (indien beschikbaar) voor diagnose van NetBIOS-namen en hostidentificaties in het LAN.

NetBIOS in verschillende omgevingen: Windows, Linux en hybride netwerken

NetBIOS leeft in meerdere omgevingen. In Windows-omgevingen blijft het vaak aanwezig vanwege compatibiliteit met oudere applicaties of netwerkconfiguraties. In Linux en hybride omgevingen speelt Samba een sleutelrol bij de interoperabiliteit met Windows-machines. Hier zijn enkele concrete tips per omgeving:

  • Windows: Gebruik Groepsbeleid om NetBIOS- en NetBT-instellingen centraal te beheren en schakel NetBIOS uit op computers waar het niet nodig is. Houd rekening met specifieke applicaties die nog steeds afhankelijk zijn van NBNS of NBSS.
  • Samba op Linux: configureer smb.conf om NetBIOS-namen te registreren wanneer nodig, maar patiënten bij de migratie naar DNS. Gebruik “server min protocol = SMB2” en zorg voor veilige SMB-versie-instellingen om beveiligingsrisico’s te beperken.
  • Hybride netwerken: In gelige omgevingen waar Windows-werkplekken samen met Linux-servers draaien, kan NetBIOS-anon van belang zijn voor legacy-applicaties, maar zet monitoring op om ongeautoriseerde NetBIOS-queries te detecteren en te beperken.

Praktijkvoorbeelden: NetBIOS in bedrijfsnetwerken

Hier volgen enkele realistische scenario’s die laten zien hoe NetBIOS nog steeds functioneel kan zijn, en hoe je het veilig en efficiënt kunt beheren:

Scenario 1: bedrijf met mix van legacy- en moderne applicaties

Een midmarket-bedrijf heeft zowel oudere applicaties die NetBIOS-namen vereisen als moderne apps die volledig op DNS zijn gebaseerd. Om compatibiliteit te behouden terwijl de beveiliging toeneemt, kan men NetBIOS over TCP/IP beperkt houden tot segmenten met legacy-apps en NBNS-verkeer via VLANs routeren. In de rest van het netwerk wordt firewalling streng toegepast en DNS wordt de primaire naamoplossing. Dit behoudt functionaliteit waar nodig, zonder onnodig risico te creëren.

Scenario 2: migratie naar SMB over SMB2/SMB3

Een organisatie migreert van SMB over NetBIOS naar SMB over TCP/IP met moderne beveiliging. Tijdens de migratie blijft NetBIOS voor bepaalde servers actief terwijl DNS en SMB-over TCP/IP de hoofdroute worden. Monitoringtools detecteren verspreid NetBIOS-verkeer, waarna stappen worden gezet om pakketverbindingen te minimaliseren en onnodige NBNS-queries te verwijderen.

Scenario 3: beveiligingsgerichte netwerkomgeving

In een netwerkomgeving waar beveiliging hoog in het vaandel staat, kan NetBIOS volledig worden gedeactiveerd op endpoints terwijl Windows-servers nog steeds SMB over TCP/IP via port 445 gebruiken. NBNS-verkeer wordt niet getolereerd en alle personen krijgen een DNS-gebaseerde naamoplossing. Dit vereenvoudigt monitoring, reduceert broadcastverkeer en verkleint het aanvalsoppervlak.

Veelgestelde vragen over NetBIOS

Is NetBIOS nog nodig in moderne netwerken?

Het hangt af van je omgeving. Voor veel moderne netwerken is NetBIOS minder nodig en kan het volledig geëlimineerd worden. Voor oudere toepassingen en legacy-workflows kan NetBIOS nog een rol spelen, maar het verdient aandacht en controles in de beveiligingsstrategie.

Wat is het verschil tussen NetBIOS en NetBT?

NetBIOS is de naamgeving en sessiebeheerlaag; NetBT verwijst naar NetBIOS over TCP/IP. NetBT maakt NetBIOS functioneel op IP-netwerken, maar het blijft een back-end mechanisme dat in praktijk kan worden uitgeschakeld als huidige DNS- en SMB-implementaties volstaan.

Welke beveiligingsrisico’s zijn er met NetBIOS?

NetBIOS kan misbruikt worden voor netwerkverkenning, spoofing en ongeautoriseerde toegang via NBNS/NBDS. Oudere systemen en brute-force proberen namen te raden. Het is daarom aan te raden om NBNS/NetBIOS-verkeer te beperken en waar mogelijk uit te schakelen, zeker op openbare of minder-beveiligde netwerken.

Conclusie: NetBIOS blijft een breedgeschakeerde component van netwerken

NetBIOS is een erfstuk uit het vroege LAN-tijdperk, maar het blijft relevant in specifieke contexten waar backward compatibility, speciale applicaties of legacy-omgevingen bestaan. Door NetBIOS te begrijpen, kun je beter beslissen welke delen van NetBT vereist blijven en waar je kunt migreren naar meer moderne, veiligere oplossingen zoals DNS-naamoplossing en SMB over TCP/IP. De sleutel tot succes ligt in een doordachte aanpak: evalueer de noodzaak van NBNS/NBDS/NBSS, beperk het verkeer waar mogelijk, en implementeer een gefaseerde migratie naar DNS en moderne SMB-versies. Zo houd je NetBIOS beheersbaar en breng je jouw netwerkervaring naar een hoger niveau zonder onnodige risico’s te nemen.