Frage Gibt es einen Grund, SMB über das Internet zuzulassen?


Ich bin ein Administrator bei einer Hosting-Firma und ich beschäftige mich hauptsächlich mit Linux-Maschinen, obwohl wir viele Kunden mit Windows-Servern haben.

In meiner Eigenschaft habe ich nur SMB für einen Datei- / Druckserver in meinem lokalen LAN verwendet.

Gibt es einen Grund, SMB offen zu lassen? Ich habe von keinem wirklichen Grund gehört, es dem Internet auszusetzen, gibt es etwas Windows-Ding, von dem ich nicht weiß, dass es das erfordert?


18
2017-09-22 15:31


Ursprung


Haben Sie von dem jüngsten (Mai 2017) weltweiten Cyberangriff gehört? wannacry, die hauptsächlich eine Schwachstelle im SMB-Protokoll ausnutzt? en.wikipedia.org/wiki/WannaCry_transomware_attack. Überlege genau! - krisFR
Is there any reason to allow SMB over the internet? - Das ist eine offene Frage. Gibt es irgendein Grund? Möglicherweise. Für praktische Zwecke gibt es jedoch keinen Grund. - joeqwerty
Ich bin mir der massiven Angriffe, die in letzter Zeit stattgefunden haben, sehr bewusst, weshalb ich mich wundere, warum ich sie nicht einfach standardmäßig deaktiviere. Es scheint nur, dass es wahrscheinlich keinen Grund gibt, es offen zu haben, aber ich bin neugierig, ob es etwas gibt, dass viele Windows-Leute tun würden, die es erfordern. - MadRush
Ihre Frage und dann Ihr Kommentar oben stehen nicht ganz in Einklang. Sie erklären: "Gibt es einen Grund, SMB zu verlassen?" Deine Frage ist unklar. Fragen Sie nach eingehenden SMB (SMB Server) oder Outbound von Workstations Verbindung zu SMB über ausgehenden Internet-Zugang? Wenn Sie einsteigen, warum sagen Sie "es ist standardmäßig geöffnet"? Firewalls sollten standardmäßig keinen eingehenden SMB-Datenverkehr zulassen. Der Server / die VM, auf dem der SMB-Serverdienst ausgeführt wird, könnte dies zulassen, aber die Edge-Firewall würde diesen Datenverkehr nicht nur zulassen, wenn die Firewall dafür konfiguriert wurde. - TheCleaner
Als 1998 der Internet-Zugang einwählte, war ich überrascht, eines Tages festzustellen, dass die Drucker meines ISP in Windows sichtbar waren, als ich mich im Internet anmeldete. Ich habe nie versucht, sie zu drucken - ich wusste nicht, wo ich meinen fertigen Druckjob abholen sollte! - Craig McQueen


Antworten:


SMB ist ein File-Sharing-Protokoll und als solches ist es manchmal offen für das Internet, um Dateien freizugeben.

Jedoch, Das ist eine sehr schlechte Idee. Im Vergleich zu einfacheren Protokollen wie FTP oder WebDAV, die grundsätzlich über sehr kleine GET / PUT-Schnittstellen verfügen und vollständig in isolierten Userspace-Prozessen implementiert sind, ist SMB ein wesentlich komplexeres Protokoll, das tief in Kern-Windows-Dienste integriert ist.

Die komplexere Natur von SMB (und es ist sehr niedrige Sicherheit / Integrität bis mindestens Version 2) bedeutet, dass viele kritische Fehler ausgenutzt wurden, und seine enge Integration mit Windows bedeutet, dass diese Exploits waren sehr gefährlich.

Also, nein, Öffnen Sie nicht SMB zum Internet


36
2017-09-22 20:29



Würdest du dasselbe über SMBv2 sagen? - Mehrdad
SMBv2 mit Signierung aktiviert ist ziemlich sicher, aber Sie Muss Deaktivieren Sie die vorherige SMB-Version, um einen Protokoll-Downgrade-Angriff zu verhindern. Jedenfalls würde ich es tun nicht Veröffentlichen Sie alles SMB-basierte im Internet: Die Angriffsfläche ist einfach zu groß und aufgrund der engen Integration mit Kern-Windows-Dienste, sind eventuelle Exploits einfach verheerend. - shodanshok
Auch wenn es auf Samba läuft? - grawity
Samba ist sicherlich etwas sicherer als sein Windows-Gegenstück. Jedoch, Kritische Fehler passieren sogar bei Samba. Also halte ich es für einen großen Sicherheitsfehler, dass SMB dem Internet ausgesetzt wird. Zumindest sollten Sie die Quell-IP filtern und nur sehr wenige IP-Adressen in die Whitelist eintragen. - shodanshok


Tu es einfach nicht. Wenn jemand Sie darum bittet, würde ich dringend empfehlen, ihnen zu sagen, dass sie nicht schnell weglaufen.

Sie können diese Art von Service technisch über ein VPN bereitstellen, aber wenn es über eine beträchtliche Entfernung über das WAN geht, wird es fast sicher wie totaler Müll funktionieren.

Es gibt weitaus bessere Dienste für die Remote- und lokale Dateifreigabe, die Sie bereitstellen können. Betrachten Sie Amazon Storage Gateway oder Google Storage. Mit diesen Lösungen können Cloud-Speicherkonten firmeninternen Dateiservern zugeordnet werden. Dies ermöglicht eine hybride Speicher-Cloud, die überall dort synchronisiert werden kann, wo sie benötigt wird. Es ist schnell und sicher, und Remote-Benutzer müssen nicht auf Ihren Dateiserver zugreifen, um Remote-Dateien zu erhalten, während interne Benutzer nicht Ihre WAN-Pipe treffen müssen, um auf dieselben Dateien zuzugreifen. Diese Lösungen nehmen Ihnen als Administrator eine große Last ab und stecken sie in eine Cloud, die die Last, egal was passiert, bewältigen kann.


8
2017-09-22 19:13





Nein. Belassen Sie die Mindestanzahl von Ports, die dem Internet ausgesetzt sind. Wenn Sie SMB für etwas verwenden müssen (Übertragen von Dateien mit einer vertrauenswürdigen anderen Partei, mit Authentifizierung und Zeitstempeln für jede durchgeführte Aktion), richten Sie ein VPN für die Verbindung mit ihnen ein, bevor Sie eine SMB-Verbindung herstellen.


6
2017-09-22 18:50



Der Gedanke an nicht ein VPN zu benutzen, macht den Verstand einfach verrückt. - RonJohn
@ RonJohn: Es ist ein ziemlich vernünftiger Gedanke, wenn Sie nicht über die Sicherheitslücken wissen. Es erfordert immerhin eine Passwort-Authentifizierung. - Mehrdad
Während dies eine Authentifizierung erfordert, bedeutet dies keine Verschlüsselung. Das sind zwei getrennte Mechanismen. In den meisten Fällen wird die Verschlüsselung über Schlüssel und nicht über Kennwörter abgewickelt, während Kennwörter normalerweise zur Authentifizierung von Benutzerkonten verwendet werden, sobald ein verschlüsselter Tunnel eingerichtet wurde. Während das, was ich oben beschreibe, ein allgemeines Modell ist, muss es natürlich nicht so entworfen werden. - Spooler


Gibt es einen Grund? Das werde ich dir überlassen.

  1. Es kann getan werden. Öffnen Sie Port 445 und konfigurieren Sie SMB und Sie können auf Ihre freigegebenen Ordner über das Internet zugreifen, ähnlich wie Sie es in Ihrem lokalen Netzwerk tun würden.

  2. Es wird sehr langsam sein, da das Protokoll nicht dafür ausgelegt wurde, über eine solche Umgebung zu arbeiten.

  3. Es gibt bekannte Sicherheitsrisiken. IP-Beschränkung könnte helfen.


5
2017-09-22 15:57