Jestem administratorem w firmie hostingowej i zajmuję się głównie maszynami z systemem Linux, chociaż mamy wielu klientów z serwerami Windows.
W moich możliwościach użyłem SMB tylko jako serwera plików / wydruku w mojej lokalnej sieci LAN.
Czy jest jakiś powód, aby pozostawić SMB otwarte? Nie słyszałem o żadnym faktycznym powodzie, aby udostępnić go w Internecie, czy jest coś, czego nie wiem o systemie Windows, czego wymaga?
wannacry
, który wykorzystywał głównie lukę w protokole SMB? en.wikipedia.org/wiki/WannaCry_ransomware_attack . Myśl ostrożnie !Is there any reason to allow SMB over the internet?
- To trochę otwarte pytanie. Czy jest jakiś powód? Możliwie. Jednak ze względów praktycznych nie ma żadnego powodu.Odpowiedzi:
SMB jest protokołem udostępniania plików i jako taki, jest czasem pozostawiony otwarty dla Internetu do, no cóż, udostępniania plików.
Jednak jest to bardzo zły pomysł. W porównaniu z prostszym protokołem, takim jak FTP lub WebDAV, które zasadniczo mają bardzo małe interfejsy GET / PUT i są całkowicie zaimplementowane w izolowanych procesach przestrzeni użytkownika, SMB jest znacznie bardziej złożonym protokołem, głęboko zintegrowanym z podstawowymi usługami Windows.
Bardziej złożony charakter SMB (i jego bardzo niski poziom bezpieczeństwa / integralności do co najmniej wersji 2) oznacza, że wykorzystano wiele krytycznych błędów, a jego ścisła integracja z Windows oznacza, że są one bardzo niebezpieczne.
Więc nie, nie otwieraj SMB w Internecie
źródło
Po prostu nie rób tego. Jeśli ktoś Cię o to poprosi, zdecydowanie polecam powiedzieć „nie” i szybko uciec.
Możesz technicznie zapewnić tego rodzaju usługę przez VPN, ale jeśli jest to na znacznej odległości przez WAN, prawie na pewno będzie działać jak śmieci.
Istnieją znacznie lepsze usługi umożliwiające zdalne i lokalne udostępnianie plików, które można zapewnić. Zastanów się nad Amazon Storage Gateway lub Google Storage. Te rozwiązania pozwalają na dołączanie kont pamięci w chmurze do wewnętrznych serwerów plików, umożliwiając hybrydową chmurę pamięci, która synchronizuje się wszędzie tam, gdzie jest to potrzebne. Jest szybki i bezpieczny, a zdalni użytkownicy nie muszą naciskać na serwer plików, aby uzyskać zdalne pliki, podczas gdy użytkownicy wewnętrzni nie muszą naciskać potoku WAN, aby uzyskać dostęp do tych samych plików. Rozwiązania te obciążają administratora jako duże obciążenie i umieszczają go w chmurze, która może obsłużyć obciążenie bez względu na wszystko.
źródło
Nie. Pozostaw minimalną liczbę portów narażonych na działanie Internetu. Jeśli potrzebujesz do czegoś użyć SMB (przesyłanie plików z zaufanym podmiotem zewnętrznym, z uwierzytelnianiem i znacznikami czasu dla każdej podjętej akcji), skonfiguruj VPN, aby mogli się z nim połączyć przed nawiązaniem połączenia SMB.
źródło
Czy jest jakiś powód? Pozostawię to tobie.
To może być zrobione. Otwórz port 445 i skonfiguruj protokół SMB, aby uzyskać dostęp do folderów współdzielonych przez Internet, podobnie jak w przypadku sieci lokalnej.
Będzie to bardzo powolne, ponieważ protokół nie został zaprojektowany do pracy w takim środowisku.
Istnieją znane zagrożenia bezpieczeństwa. Ograniczenie adresu IP może pomóc.
źródło