Gibt es einen Grund, SMB über das Internet zuzulassen?

19

Ich bin Administrator bei einem Hosting-Unternehmen und beschäftige mich hauptsächlich mit Linux-Computern, obwohl wir viele Kunden mit Windows-Servern haben.

In meiner Funktion habe ich SMB immer nur für einen Datei- / Druckserver in meinem lokalen LAN verwendet.

Gibt es einen Grund, SMB offen zu lassen? Ich habe noch keinen wirklichen Grund dafür gehört, dass es dem Internet ausgesetzt wird. Gibt es Windows, von dem ich nichts weiß, dass es erforderlich ist?

windows security server-message-block best-practices MadRush
quelle
9
Haben Sie von dem jüngsten weltweiten Cyberangriff (Mai 2017) gehört wannacry, bei dem hauptsächlich eine Sicherheitslücke im SMB-Protokoll ausgenutzt wurde? en.wikipedia.org/wiki/WannaCry_ransomware_attack . Überlege genau!
krisFR
5
Is there any reason to allow SMB over the internet?- Das ist eine offene Frage. Gibt es einen Grund? Möglicherweise. Aus praktischen Gründen gibt es keinen Grund.
Joeqwerty
Ich bin mir der massiven Angriffe, die in letzter Zeit stattgefunden haben, sehr bewusst. Deshalb frage ich mich, warum ich sie nicht einfach standardmäßig deaktiviere. Mir scheint nur, dass es wahrscheinlich keinen Grund gibt, es zu öffnen, aber ich bin neugierig, ob es etwas gibt, das viele Windows-Leute tun würden, was es erfordert.
MadRush
4
Ihre Frage und dann Ihr Kommentar oben stimmen nicht ganz überein. Sie sagen: "Gibt es einen Grund, SMB offen zu lassen?" Ihre Frage ist unklar. Fragen Sie nach eingehenden SMB (SMB-Server) oder ausgehenden Verbindungen von Arbeitsstationen zu SMB über ausgehenden Internetzugang? Wenn eingehend, warum sagen Sie "es ist standardmäßig geöffnet"? Firewalls sollten standardmäßig keinen eingehenden SMB-Datenverkehr zulassen. Der Server / die VM, auf dem / der der SMB-Serverdienst ausgeführt wird, kann dies möglicherweise tun, aber die Edge-Firewall lässt diesen Datenverkehr nur dann zu, wenn die Firewall dafür konfiguriert wurde.
TheCleaner
3
Etwa 1998, als der Internetzugang gewählt wurde, stellte ich eines Tages überrascht fest, dass die Drucker meines Internetdienstanbieters in Windows sichtbar waren, als ich mich ins Internet einwählte. Ich habe nie versucht, mit ihnen zu drucken - ich wusste nicht, wo ich meinen fertigen Druckauftrag abholen sollte!
Craig McQueen

Antworten:

36

SMB ist ein Protokoll für die gemeinsame Nutzung von Dateien und wird daher gelegentlich für die gemeinsame Nutzung von Dateien im Internet geöffnet.

Dies ist jedoch eine sehr schlechte Idee. Im Vergleich zu einfacheren Protokollen wie FTP oder WebDAV, die im Grunde genommen sehr kleine GET / PUT-Schnittstellen haben und vollständig in isolierten User-Space-Prozessen implementiert sind, ist SMB ein viel komplexeres Protokoll, das tief in die Windows-Kerndienste integriert ist.

Die komplexere Natur von SMB (und die sehr geringe Sicherheit / Integrität bis mindestens Version 2) bedeutet, dass viele kritische Fehler ausgenutzt wurden, und die enge Integration mit Windows bedeutet, dass diese Exploits sehr gefährlich waren.

Also, nein, nicht öffnen SMB zum Internet

Shodanshok
quelle
1
Würden Sie dasselbe über SMBv2 sagen?
Mehrdad
1
SMBv2 mit aktivierter Signatur ist recht sicher, Sie müssen jedoch die vorherige SMB-Version deaktivieren, um einen Angriff auf ein Downgrade des Protokolls zu verhindern. Wie auch immer, ich würde nicht alles SMB-basierte im Internet veröffentlichen: die Angriffsfläche einfach zu groß ist und durch die enge Integration mit Kern Windows - Diensten werden eventuelle Exploits einfach verheerend.
Shodanshok
Auch wenn es auf Samba läuft?
Grawity
1
Samba ist sicherlich etwas sicherer als sein Windows-Gegenstück. Kritische Fehler treten jedoch auch unter Samba auf . Ich bin der Meinung, dass das Aussetzen von SMB gegenüber dem Internet ein großer Sicherheitsfehler ist. Zumindest sollten Sie die Quell-IP filtern und nur sehr wenige IPs whitelisten.
Shodanshok
8

Tu es einfach nicht. Wenn Sie jemand darum bittet, würde ich dringend empfehlen, nein zu sagen und schnell wegzulaufen.

Sie könnten diese Art von Service technisch über ein VPN bereitstellen, aber wenn es über eine signifikante Distanz über WAN geht, wird es mit ziemlicher Sicherheit wie totaler Müll ablaufen.

Es gibt weitaus bessere Dienste, um die Remote- und lokale Dateifreigabe durchzuführen, die Sie bereitstellen können. Betrachten Sie Amazon Storage Gateway oder Google Storage. Diese Lösungen ermöglichen die interne Anbindung von Cloud-Speicherkonten an Dateiserver und ermöglichen eine hybride Speicherwolke, die überall dort synchronisiert wird, wo sie benötigt wird. Es ist schnell und sicher, und Remote-Benutzer müssen nicht auf Ihren Dateiserver zugreifen, um Remote-Dateien abzurufen, während Inhouse-Benutzer nicht auf Ihre WAN-Pipe zugreifen müssen, um auf dieselben Dateien zuzugreifen. Diese Lösungen nehmen Ihnen als Administrator eine große Last ab und stellen sie in eine Cloud, die die Last unabhängig von der jeweiligen Situation bewältigen kann.

Spooler
quelle
6

Nein. Lassen Sie die Mindestanzahl der Ports für das Internet verfügbar. Wenn Sie SMB für etwas verwenden müssen (Übertragen von Dateien mit einer vertrauenswürdigen anderen Partei, mit Authentifizierung und Zeitstempeln für jede durchgeführte Aktion), richten Sie ein VPN ein, mit dem sie eine Verbindung herstellen können, bevor Sie eine SMB-Verbindung herstellen.

Christopher Geisel
quelle
Der Gedanke, kein VPN zu verwenden, verwirrt den Verstand.
RonJohn
@ RonJohn: Es ist ein ziemlich vernünftiger Gedanke, wenn Sie nicht über die Sicherheitslücken Bescheid wissen. Schließlich ist eine Kennwortauthentifizierung erforderlich.
Mehrdad
Dies erfordert zwar eine Authentifizierung, impliziert jedoch keine Verschlüsselung. Das sind zwei getrennte Mechanismen. In den meisten Fällen erfolgt die Verschlüsselung über Schlüssel und nicht über Kennwörter, während Kennwörter normalerweise zur Authentifizierung bei Benutzerkonten verwendet werden, sobald ein verschlüsselter Tunnel eingerichtet ist. Während das, was ich oben beschreibe, ein allgemeines Modell ist, muss es natürlich nicht so entworfen werden.
Spooler
5

Gibt es einen Grund? Das überlasse ich dir.

  1. Es kann getan werden. Öffnen Sie Port 445 und konfigurieren Sie SMB, und Sie können über das Internet auf Ihre freigegebenen Ordner zugreifen, ähnlich wie Sie dies über Ihr lokales Netzwerk tun würden.

  2. Es wird sehr langsam sein, da das Protokoll nicht für die Verwendung in einer solchen Umgebung entwickelt wurde.

  3. Es sind Sicherheitsrisiken bekannt. IP-Beschränkungen könnten Abhilfe schaffen.

Jarvis
quelle