Есть ли какая-либо причина, чтобы разрешить SMB через Интернет?

19

Я администратор хостинговой компании, и я имею дело главным образом с машинами Linux, хотя у нас много клиентов с серверами Windows.

В моем качестве я когда-либо использовал SMB только для файлового сервера / сервера печати в моей локальной сети.

Есть ли причина оставить SMB открытым? Я не слышал ни о какой реальной причине, чтобы показать это в Интернете, есть ли какая-то вещь Windows, о которой я не знаю, которая требует этого?

windows security server-message-block best-practices Безумный порыв
источник
9
Вы слышали о недавней (в мае 2017 года) всемирной кибератаке wannacry, которая в основном использовала уязвимость в протоколе SMB? en.wikipedia.org/wiki/WannaCry_ransomware_attack . Хорошо подумай !
krisFR
5
Is there any reason to allow SMB over the internet?- Это своего рода открытый вопрос. Есть ли какая - либо причина? Возможно. Однако для практических целей нет никаких причин.
Joeqwerty
Я хорошо осведомлен о массовых атаках, которые происходили в последнее время, поэтому мне интересно, почему бы просто не отключить его по умолчанию. Мне просто кажется, что, скорее всего, нет причин открывать его, но мне любопытно, есть ли что-то, что многие парни из Windows сделали бы, требующие этого.
MadRush
4
Ваш вопрос, а затем ваш комментарий выше не совсем совпадают. Вы заявляете, "есть ли причина оставить SMB открытым?" Ваш вопрос неясен. Вы спрашиваете о входящем SMB (SMB-сервере) или исходящем соединении рабочих станций с SMB через исходящий доступ в Интернет? Если входящий, почему вы говорите «он открыт по умолчанию»? Брандмауэры по умолчанию не должны разрешать входящий трафик SMB. Сервер / ВМ, на котором запущена служба сервера SMB, может, но пограничный брандмауэр не разрешит входящий трафик, если брандмауэр не настроен для этого.
TheCleaner
3
В 1998 году или около того, когда доступ в Интернет был коммутируемым, я с удивлением заметил, что однажды принтеры моего интернет-провайдера были видны в Windows, когда я подключился к Интернету. Я никогда не пытался печатать на них - я не знал, где взять мою готовую работу печати!
Крейг МакКуин

Ответы:

36

SMB - это протокол обмена файлами, и поэтому он иногда остается открытым для интернета для обмена файлами.

Однако это очень плохая идея. По сравнению с более простым протоколом, таким как FTP или WebDAV, которые в основном имеют очень маленькие интерфейсы GET / PUT и полностью реализованы в изолированных процессах пользовательского пространства, SMB является гораздо более сложным протоколом, глубоко интегрированным в основные службы Windows.

Более сложный характер SMB (и очень низкий уровень безопасности / целостности по крайней мере до версии 2) означает, что было использовано много критических недостатков, а его тесная интеграция с Windows означает, что эти эксплойты были очень опасными.

Так что нет, не открывайте SMB в интернет

shodanshok
источник
1
Вы бы сказали то же самое о SMBv2?
Мердад
1
SMBv2 с включенной подписью достаточно безопасен, но вы должны отключить предыдущую версию SMB, чтобы предотвратить атаку с понижением протокола. В любом случае, я бы не стал публиковать что-либо на основе SMB в Интернете: поверхность атаки просто слишком велика, и из-за тесной интеграции с основными службами Windows возможные эксплойты просто разрушительны.
Shodanshok
Даже если он работает на Samba?
user1686
1
Samba, безусловно, несколько более безопасен, чем его аналог Windows. Однако критические ошибки случаются даже на Samba . Итак, я считаю, что разоблачение SMB в Интернете - большая ошибка безопасности. По крайней мере, вы должны отфильтровать исходный IP-адрес, добавив в белый список только очень мало IP-адресов.
Shodanshok
8

Просто не делай этого. Если кто-нибудь попросит вас сделать это, я настоятельно рекомендую вам сказать «нет» и быстро убегать.

Технически вы можете предоставить такой вид обслуживания через VPN, но если он находится на значительном расстоянии по глобальной сети, он почти наверняка будет работать как полный мусор.

Существует множество превосходных сервисов для удаленного и локального обмена файлами, которые вы можете предоставить. Рассмотрим Amazon Storage Gateway или Google Storage. Эти решения позволяют подключать учетные записи облачного хранилища к файловым серверам собственными силами, создавая гибридное облако хранения, которое синхронизируется везде, где это необходимо. Это быстро и безопасно, и удаленным пользователям не нужно обращаться к вашему файловому серверу, чтобы получить удаленные файлы, в то время как внутренним пользователям не нужно подключаться к вашему каналу WAN, чтобы получить те же файлы. Эти решения несут большую нагрузку на вас, администратора, и помещают его в облако, которое может справиться с нагрузкой, несмотря ни на что.

шпульницы
источник
6

Нет. Оставьте минимальное количество портов доступным для интернета. Если вам нужно использовать SMB для чего-либо (передача файлов с доверенной другой стороной, с проверкой подлинности и временными метками при каждом предпринятом действии), то настройте VPN для подключения к ним, прежде чем устанавливать соединение SMB.

Кристофер Заложник
источник
Мысль о том, чтобы не использовать VPN, просто поражает воображение.
RonJohn
@RonJohn: Это довольно разумная мысль, если вы не знаете о дырах в безопасности. Это требует аутентификации по паролю в конце концов.
Мердад
Хотя требуется аутентификация, это не означает шифрование. Это два отдельных механизма. В большинстве случаев шифрование выполняется с помощью ключей, а не паролей, в то время как пароли обычно используются для аутентификации с использованием учетных записей пользователей после создания зашифрованного туннеля. Хотя то, что я описываю выше, является обычной моделью, разумеется, не обязательно, чтобы она создавалась таким образом.
шпульницы
5

Есть ли причина? Я оставлю это на ваше усмотрение.

  1. Это может быть сделано. Откройте порт 445 и настройте SMB, и вы сможете получить доступ к общим папкам через Интернет, подобно тому, как вы бы это делали в локальной сети.

  2. Это будет очень медленно, потому что протокол не предназначен для работы в такой среде.

  3. Есть известные угрозы безопасности. Ограничение IP может помочь.

Джарвис
источник