Czy jest jakiś powód, aby zezwolić SMB przez Internet?

19

Jestem administratorem w firmie hostingowej i zajmuję się głównie maszynami z systemem Linux, chociaż mamy wielu klientów z serwerami Windows.

W moich możliwościach użyłem SMB tylko jako serwera plików / wydruku w mojej lokalnej sieci LAN.

Czy jest jakiś powód, aby pozostawić SMB otwarte? Nie słyszałem o żadnym faktycznym powodzie, aby udostępnić go w Internecie, czy jest coś, czego nie wiem o systemie Windows, czego wymaga?

windows security server-message-block best-practices MadRush
źródło
9
Czy słyszałeś o niedawnym (maju 2017 r.) Globalnym cyberataku wannacry, który wykorzystywał głównie lukę w protokole SMB? en.wikipedia.org/wiki/WannaCry_ransomware_attack . Myśl ostrożnie !
krisFR
5
Is there any reason to allow SMB over the internet?- To trochę otwarte pytanie. Czy jest jakiś powód? Możliwie. Jednak ze względów praktycznych nie ma żadnego powodu.
joeqwerty
Jestem w pełni świadomy masowych ataków, które miały miejsce ostatnio, dlatego zastanawiam się, dlaczego nie po prostu wyłączyć domyślnie. Wydaje mi się, że najprawdopodobniej nie ma powodu, aby go otwierać, ale jestem ciekawy, czy jest coś, co wymagałoby wielu facetów z Windowsa.
MadRush
4
Twoje pytanie, a następnie powyższy komentarz nie do końca się zgadzają. Stwierdzasz: „Czy jest jakiś powód, aby pozostawić SMB otwarte?” Twoje pytanie jest niejasne. Czy pytasz o przychodzące SMB (serwer SMB) lub wychodzące z połączenia stacji roboczych z SMB przez wychodzący dostęp do Internetu? Jeśli przychodzisz, dlaczego mówisz „jest domyślnie otwarty”? Zapory domyślnie nie powinny zezwalać na przychodzący ruch SMB. Serwer / maszyna wirtualna z uruchomioną usługą serwera SMB może, ale zapora brzegowa nie zezwala tylko na ten ruch przychodzący, chyba że zapora sieciowa została do tego skonfigurowana.
TheCleaner
3
Mniej więcej w 1998 r., Kiedy dostęp do Internetu był połączony z modemem, z zaskoczeniem zauważyłem, że drukarki mojego usługodawcy internetowego były widoczne w systemie Windows, kiedy łączyłem się z Internetem. Nigdy nie próbowałem do nich drukować - nie wiedziałem, gdzie odebrać moje ukończone zadanie drukowania!
Craig McQueen

Odpowiedzi:

36

SMB jest protokołem udostępniania plików i jako taki, jest czasem pozostawiony otwarty dla Internetu do, no cóż, udostępniania plików.

Jednak jest to bardzo zły pomysł. W porównaniu z prostszym protokołem, takim jak FTP lub WebDAV, które zasadniczo mają bardzo małe interfejsy GET / PUT i są całkowicie zaimplementowane w izolowanych procesach przestrzeni użytkownika, SMB jest znacznie bardziej złożonym protokołem, głęboko zintegrowanym z podstawowymi usługami Windows.

Bardziej złożony charakter SMB (i jego bardzo niski poziom bezpieczeństwa / integralności do co najmniej wersji 2) oznacza, że ​​wykorzystano wiele krytycznych błędów, a jego ścisła integracja z Windows oznacza, że ​​są one bardzo niebezpieczne.

Więc nie, nie otwieraj SMB w Internecie

Shodanshok
źródło
1
Czy powiedziałbyś to samo o SMBv2?
Mehrdad
1
SMBv2 z włączonym podpisywaniem jest dość bezpieczny, ale musisz wyłączyć poprzednią wersję SMB, aby zapobiec atakowi obniżenia protokołu. W każdym razie nie opublikowałbym niczego opartego na SMB w Internecie: powierzchnia ataku jest po prostu zbyt duża, a ze względu na ścisłą integrację z podstawowymi usługami Windows, ewentualne exploity są po prostu druzgocące.
shodanshok
Nawet jeśli działa na Sambie?
user1686,
1
Samba jest z pewnością nieco bezpieczniejsza niż jej odpowiednik w systemie Windows. Jednak krytyczne błędy zdarzają się nawet na Sambie . Dlatego uważam, że udostępnianie SMB w Internecie jest dużym błędem w zakresie bezpieczeństwa. Przynajmniej powinieneś filtrować źródłowy adres IP, umieszczając na białej liście tylko kilka adresów IP.
shodanshok
8

Po prostu nie rób tego. Jeśli ktoś Cię o to poprosi, zdecydowanie polecam powiedzieć „nie” i szybko uciec.

Możesz technicznie zapewnić tego rodzaju usługę przez VPN, ale jeśli jest to na znacznej odległości przez WAN, prawie na pewno będzie działać jak śmieci.

Istnieją znacznie lepsze usługi umożliwiające zdalne i lokalne udostępnianie plików, które można zapewnić. Zastanów się nad Amazon Storage Gateway lub Google Storage. Te rozwiązania pozwalają na dołączanie kont pamięci w chmurze do wewnętrznych serwerów plików, umożliwiając hybrydową chmurę pamięci, która synchronizuje się wszędzie tam, gdzie jest to potrzebne. Jest szybki i bezpieczny, a zdalni użytkownicy nie muszą naciskać na serwer plików, aby uzyskać zdalne pliki, podczas gdy użytkownicy wewnętrzni nie muszą naciskać potoku WAN, aby uzyskać dostęp do tych samych plików. Rozwiązania te obciążają administratora jako duże obciążenie i umieszczają go w chmurze, która może obsłużyć obciążenie bez względu na wszystko.

Bufor
źródło
6

Nie. Pozostaw minimalną liczbę portów narażonych na działanie Internetu. Jeśli potrzebujesz do czegoś użyć SMB (przesyłanie plików z zaufanym podmiotem zewnętrznym, z uwierzytelnianiem i znacznikami czasu dla każdej podjętej akcji), skonfiguruj VPN, aby mogli się z nim połączyć przed nawiązaniem połączenia SMB.

Christopher Hostage
źródło
Myśl o niestosowaniu VPN po prostu oszałamia umysł.
RonJohn
@RonJohn: To całkiem rozsądna myśl, jeśli nie wiesz o lukach bezpieczeństwa. W końcu wymaga uwierzytelnienia hasłem.
Mehrdad
Chociaż wymaga uwierzytelnienia, nie oznacza to szyfrowania. To są dwa osobne mechanizmy. W większości przypadków szyfrowanie odbywa się za pomocą kluczy, a nie haseł, podczas gdy hasła są zwykle używane do uwierzytelniania kont użytkowników po ustanowieniu zaszyfrowanego tunelu. Chociaż to, co opisuję powyżej, jest powszechnym modelem, oczywiście nie jest wymagane takie zaprojektowanie.
Spooler,
5

Czy jest jakiś powód? Pozostawię to tobie.

  1. To może być zrobione. Otwórz port 445 i skonfiguruj protokół SMB, aby uzyskać dostęp do folderów współdzielonych przez Internet, podobnie jak w przypadku sieci lokalnej.

  2. Będzie to bardzo powolne, ponieważ protokół nie został zaprojektowany do pracy w takim środowisku.

  3. Istnieją znane zagrożenia bezpieczeństwa. Ograniczenie adresu IP może pomóc.

jarvis
źródło