Чи є якісь підстави дозволити SMB через Інтернет?

19

Я адміністратор хостингової компанії і маю справу головним чином з машинами Linux, хоча у нас є багато клієнтів із серверами Windows.

В якості своєї функції я лише коли-небудь використовував SMB для сервера файлів / друку в моїй локальній локальній мережі.

Чи є якісь причини залишити SMB відкритим? Я не чув жодної фактичної причини, щоб його виставили в Інтернет, чи є якась річ для Windows, якої я не знаю, що цього вимагає?

— MadRush
джерело

9

Ви чули про нещодавню (може 2017 р.) Загальносвітову кібератаку wannacry, яка називається в основному вразливістю протоколу SMB? en.wikipedia.org/wiki/WannaCry_ransomware_attack . Подумайте уважно!

— krisFR

5

Is there any reason to allow SMB over the internet?- Це якесь відкрите запитання. Чи є якась причина? Можливо. Для практичних цілей, хоча, немає ніяких причин.

— joeqwerty

Мені гостро відомі масивні атаки, які відбуваються останнім часом, тому мені цікаво, чому б просто не відключити її за замовчуванням. Мені просто здається, що, швидше за все, немає причин, щоб він був відкритим, але мені цікаво, якщо є щось, що багато хто з хлопців Windows би робив, що цього вимагає.

— MadRush

4

Ваше запитання, а потім ваш коментар вище, не дуже вирівнюються. Ви заявляєте, "чи є якісь причини залишати SMB відкритим?" Ваше питання незрозуміле. Ви питаєте про вхідний SMB (SMB-сервер) або вихідний з підключення робочих станцій до SMB через вихідний доступ до Інтернету? Якщо вхідний, чому ви говорите "це відкрито за замовчуванням"? Брандмауери за замовчуванням не повинні дозволяти вхідному трафіку SMB. Сервер / VM, що виконують сервер сервера SMB, може, але крайовий брандмауер не дозволить просто вхідний трафік, якщо брандмауер не був налаштований для цього.

— TheCleaner

3

У 1998 році або близько того, коли доступ до Інтернету було набором доступу, я з подивом помітив одного дня, що принтери мого провайдера були помітні в Windows, коли я набирав номер в Інтернеті. Я ніколи не намагався надрукувати їх - я не знав, де взяти готову роботу з друку!

— Крейг МакКуїн

36

SMB - це протокол обміну файлами, і, як такий, його колись залишають відкритим для Інтернету для, ну, і спільного використання файлів.

Однак це дуже погана ідея. Порівняно з більш простим протоколом як FTP або WebDAV, який в основному має дуже малі інтерфейси GET / PUT і повністю реалізовані в окремих процесах простору користувачів, SMB - це набагато складніший протокол, глибоко інтегрований в основні сервіси Windows.

Більш складний характер SMB (і це дуже низька безпека / цілісність до принаймні версії 2) означає, що було використано багато критичних недоліків, а його тісна інтеграція з Windows означає, що цей експлуатація був дуже небезпечним.

Отже, ні, не відкривайте SMB в Інтернеті

— шоданшок
джерело

1

Ви б сказали те саме про SMBv2?

— Мехрдад

1

SMBv2 з увімкненим підписом є досить захищеним, але ви повинні відключити попередню версію SMB, щоб запобігти атаці з пониженням протоколу. У будь-якому разі я не публікував би нічого, що базується на SMB на основі Інтернету: поверхня атаки просто занадто велика, і через тісну інтеграцію з основними службами Windows можливі подвиги просто руйнівні.

— shodanshok

Навіть якщо він працює на Самба?

— користувач1686

1

Самба, безумовно, дещо безпечніший, ніж колега з Windows. Однак критичні помилки трапляються навіть на Samba . Отже, я вважаю, що виставлення SMB в Інтернеті - це велика помилка безпеки. По крайней мере, вам слід відфільтрувати вихідний IP-адрес, домігшись лише дуже мало IP-адрес.

— shodanshok

8

Просто не роби цього. Якщо хтось попросить вас це зробити, я б настійно рекомендував їм сказати "ні" і швидко втекти.

Ви можете технічно надати таку послугу через VPN, але якщо вона буде на значній відстані через WAN, вона майже напевно буде виконуватись як загальний сміття.

Існують набагато покращені сервіси для віддаленого та локального обміну файлами, які ви могли б надати. Розгляньте шлюз Amazon Storage або Google Storage. Ці рішення дозволяють приєднувати облікові записи хмарних серверів до власних файлових серверів, що дозволяє гібридній хмарі зберігання даних, яка синхронізується там, де хто цього потребує. Це швидко і безпечно, а віддаленим користувачам не потрібно вдарятись по вашому файловому серверу, щоб отримувати віддалені файли, тоді як власним користувачам не потрібно натискати на вашу трубу WAN, щоб отримати ті самі файли. Ці рішення беруть на себе велике навантаження від адміністратора і кладуть його в хмару, яка може справлятися з навантаженням незалежно від того.

— Спулер
джерело

6

Ні. Залиште мінімальну кількість портів, відкритих для Інтернету. Якщо вам потрібно використати SMB для чогось (передача файлів з довіреною стороною, з аутентифікацією та часовими позначками на кожну вжиту дію), то встановіть VPN для них, до якого потрібно підключитися, перш ніж здійснювати з'єднання SMB.

— Крістофер Заручник
джерело

Думка про те, НЕ використовуючи VPN просто розуму незбагненно.

— RonJohn

@RonJohn: Це досить розумна думка, якщо ви не знаєте про отвори в безпеці. Зрештою, тут потрібна автентифікація пароля.

— Мехрдад

Хоча це вимагає автентифікації, це не означає шифрування. Це два окремих механізму. У більшості випадків шифрування обробляється за допомогою ключів, а не паролів, тоді як паролі зазвичай використовуються для автентифікації з обліковими записами користувачів після встановлення зашифрованого тунелю. Хоча те, що я описав вище, є загальною моделлю, звичайно, не потрібно розробляти таким чином, звичайно.

— Спулер

5

Чи є якась причина? Я це залишу вам.

Це можна зробити. Відкрийте порт 445 і налаштуйте SMB, і ви можете отримати доступ до своїх спільних папок через Інтернет, подібно до того, як ви це зробите в локальній мережі.
Це буде дуже повільним, оскільки протокол не був розроблений для роботи над таким середовищем.
Відомі ризики безпеки. Обмеження IP може допомогти.

— жарвіс
джерело