Có bất kỳ lý do để cho phép SMB qua internet?

19

Tôi là quản trị viên tại một công ty lưu trữ và tôi giao dịch chủ yếu với các máy Linux mặc dù chúng tôi có rất nhiều khách hàng với các máy chủ Windows.

Trong khả năng của mình, tôi chỉ sử dụng SMB cho máy chủ tệp / in trên mạng LAN cục bộ.

Có bất kỳ lý do để rời SMB? Tôi chưa nghe thấy bất kỳ lý do thực tế nào để nó tiếp xúc với internet, có một số điều Windows tôi không biết rằng nó yêu cầu nó?

windows  security  server-message-block  best-practices 
MadRush
nguồn
9
Bạn đã nghe về cuộc tấn công mạng toàn cầu gần đây (có thể 2017) được gọi là wannacry, chủ yếu khai thác lỗ hổng trong giao thức SMB? vi.wikipedia.org/wiki/WannaCry_ransomware_attack . Suy nghĩ cẩn thân !
krisFR
5
Is there any reason to allow SMB over the internet?- Đó là một câu hỏi kết thúc mở. Có bất kỳ lý do gì? Có khả năng. Đối với các mục đích thực tế, không có lý do.
joeqwerty
Tôi nhận thức sâu sắc về các cuộc tấn công lớn đã xảy ra gần đây, đó là lý do tại sao tôi tự hỏi tại sao không chỉ vô hiệu hóa nó theo mặc định. Đối với tôi, có vẻ như không có lý do gì để mở nó, nhưng tôi tò mò liệu có điều gì mà nhiều người Windows sẽ làm đòi hỏi điều đó không.
MadRush
4
Câu hỏi của bạn và sau đó nhận xét của bạn ở trên không hoàn toàn xếp hàng. Bạn nói "có lý do gì để SMB mở không?" Câu hỏi của bạn không rõ ràng. Bạn đang hỏi về SMB (máy chủ SMB) gửi đi hoặc gửi đi từ kết nối máy trạm đến SMB qua truy cập internet đi? Nếu trong nước, tại sao bạn nói "nó được mở theo mặc định"? Tường lửa theo mặc định không nên cho phép lưu lượng SMB gửi đến. Máy chủ / VM chạy dịch vụ máy chủ SMB có thể, nhưng tường lửa cạnh sẽ không cho phép lưu lượng truy cập này vào trừ khi tường lửa được cấu hình để làm như vậy.
TheCleaner
3
Vào năm 1998 hoặc lâu hơn, khi truy cập Internet được quay số, tôi đã ngạc nhiên khi thấy một ngày nào đó máy in của ISP của tôi có thể nhìn thấy trong Windows khi tôi quay số với Internet. Tôi chưa bao giờ thử in cho họ - Tôi không biết nơi nào để nhận công việc in hoàn thành của mình!
Craig McQueen

Câu trả lời:

36

SMB là một giao thức chia sẻ tập tin và đôi khi nó được mở cho internet để chia sẻ tập tin.

Tuy nhiên, đây là một ý tưởng rất xấu.So với giao thức đơn giản hơn như FTP hoặc WebDAV, về cơ bản có giao diện GET / PUT rất nhỏ và được thực hiện hoàn toàn trong các quy trình không gian người dùng bị cô lập, SMB là một giao thức phức tạp hơn nhiều, được tích hợp sâu vào các dịch vụ Windows cốt lõi.

Bản chất phức tạp hơn của SMB (và tính bảo mật / tính toàn vẹn rất thấp cho đến khi ít nhất là phiên bản 2) có nghĩa là nhiều lỗ hổng nghiêm trọng đã bị khai thác và việc tích hợp chặt chẽ với Windows có nghĩa là việc khai thác này rất nguy hiểm.

Vì vậy, không, không mở SMB với internet

shodanshok
nguồn
1
Bạn có nói điều tương tự về SMBv2 không?
Mehrdad
1
SMBv2 với tính năng đăng nhập được kích hoạt khá an toàn, nhưng bạn phải vô hiệu hóa phiên bản SMB trước đó để ngăn chặn cuộc tấn công hạ cấp giao thức. Dù sao, tôi sẽ không xuất bản bất cứ thứ gì dựa trên SMB trên internet: bề mặt tấn công đơn giản là quá lớn và do tích hợp chặt chẽ với các dịch vụ Windows cốt lõi, việc khai thác cuối cùng chỉ đơn giản là tàn phá.
shodanshok
Ngay cả khi nó chạy trên Samba?
grawity
1
Samba chắc chắn có phần an toàn hơn so với đối tác Windows của nó. Tuy nhiên, các lỗi nghiêm trọng xảy ra ngay cả trên Samba . Vì vậy, tôi cho rằng việc đưa SMB ra internet là một sai lầm bảo mật lớn. Ít nhất bạn nên lọc IP nguồn, danh sách trắng chỉ có rất ít IP.
shodanshok
8

Đừng làm điều đó. Nếu bất cứ ai yêu cầu bạn làm điều đó, tôi thực sự khuyên bạn nên nói không và chạy thật nhanh.

Về mặt kỹ thuật, bạn có thể cung cấp loại dịch vụ này qua VPN, nhưng nếu nó vượt qua bất kỳ khoảng cách đáng kể nào trên mạng WAN thì gần như chắc chắn nó sẽ hoạt động như toàn bộ rác.

Có nhiều dịch vụ vượt trội để thực hiện chia sẻ tệp từ xa và cục bộ mà bạn có thể cung cấp. Xem xét Cổng lưu trữ Amazon hoặc Google Storage. Các giải pháp này cho phép các tài khoản lưu trữ đám mây được gắn vào máy chủ trong nhà, cho phép đám mây lưu trữ lai đồng bộ hóa bất cứ nơi nào bất cứ ai cần nó. Thật nhanh chóng và an toàn, và người dùng từ xa không cần phải đánh máy chủ tệp của bạn để có được các tệp từ xa trong khi người dùng trong nhà không cần phải chạm vào đường ống WAN của bạn để có được cùng các tệp đó. Các giải pháp này chịu một gánh nặng lớn từ quản trị viên của bạn và đặt nó vào một đám mây có thể xử lý tải bất kể là gì.

Bộ đệm
nguồn
6

Không. Để lại số lượng cổng tối thiểu tiếp xúc với Internet. Nếu bạn cần sử dụng SMB cho mục đích gì đó (chuyển tệp với một bên đáng tin cậy khác, với xác thực và dấu thời gian trên mỗi hành động được thực hiện), thì hãy thiết lập VPN để chúng kết nối trước khi thực hiện kết nối SMB.

Con tin Christopher
nguồn
Ý nghĩ không sử dụng VPN chỉ làm cho tâm trí khó chịu.
RonJohn
@RonJohn: Đó là một suy nghĩ khá hợp lý nếu bạn không biết về các lỗ hổng bảo mật. Nó yêu cầu xác thực mật khẩu sau khi tất cả.
Mehrdad
Trong khi nó yêu cầu xác thực, điều này không ngụ ý mã hóa. Đó là hai cơ chế riêng biệt. Trong hầu hết các trường hợp, mã hóa được xử lý thông qua khóa chứ không phải mật khẩu, trong khi mật khẩu thường được sử dụng để xác thực với tài khoản người dùng sau khi đường hầm được mã hóa được thiết lập. Mặc dù những gì tôi mô tả ở trên là một mô hình phổ biến, tất nhiên không bắt buộc phải thiết kế theo cách này.
đệm
5

Có lý do gì không? Tôi sẽ để lại điều đó cho bạn.

  1. Nó có thể được thực hiện. Mở cổng 445 và cấu hình SMB và bạn có thể truy cập các thư mục được chia sẻ qua internet tương tự như cách bạn sẽ làm điều đó qua mạng cục bộ của mình.

  2. Nó sẽ rất chậm vì giao thức không được thiết kế để hoạt động trong môi trường như vậy.

  3. Có những rủi ro bảo mật được biết đến. Hạn chế IP có thể giúp đỡ.

bình thường
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.