Existe algum motivo para permitir SMB pela Internet?

19

Sou administrador de uma empresa de hospedagem e lido principalmente com máquinas Linux, embora tenhamos muitos clientes com servidores Windows.

Na minha capacidade, só usei o SMB para um servidor de arquivos / impressão na minha LAN local.

Existe algum motivo para deixar o SMB aberto? Eu não ouvi nenhum motivo real para expor a Internet. Existe alguma coisa do Windows que eu desconheço que exija isso?

windows security server-message-block best-practices Corrida maluca
fonte
9
Você ouviu falar sobre o recente ataque cibernético mundial (maio de 2017) chamado wannacry, que explorava principalmente uma vulnerabilidade no protocolo SMB? en.wikipedia.org/wiki/WannaCry_ransomware_attack . Pense com cuidado !
precisa saber é o seguinte
5
Is there any reason to allow SMB over the internet?- Essa é uma pergunta em aberto. Existe alguma razão? Possivelmente. Para fins práticos, porém, não, não há nenhuma razão.
precisa saber é o seguinte
Estou ciente dos ataques maciços que têm acontecido ultimamente, é por isso que me pergunto por que não apenas desabilitá-lo por padrão. Parece-me que provavelmente não há razão para abri-lo, mas estou curioso para saber se há algo que muitos caras do Windows estariam fazendo e que exige isso.
MadRush
4
Sua pergunta e seu comentário acima não estão alinhados. Você declara "existe algum motivo para deixar o SMB aberto?" Sua pergunta não está clara. Você está perguntando sobre o SMB de entrada (servidor SMB) ou a saída da conexão das estações de trabalho com o SMB pelo acesso à Internet de saída? Se estiver de entrada, por que você diz "está aberto por padrão"? Por padrão, os firewalls não devem permitir tráfego SMB de entrada. O servidor / VM executando o serviço do servidor SMB pode, mas o firewall de borda não permitiria apenas a entrada desse tráfego, a menos que o firewall estivesse configurado para isso.
TheCleaner
3
Em 1998, aproximadamente, quando o acesso à Internet foi discado, fiquei surpreso ao perceber um dia que as impressoras do meu ISP estavam visíveis no Windows quando eu disquei para a Internet. Nunca tentei imprimir para eles - não sabia onde pegar meu trabalho de impressão finalizado!
Craig McQueen

Respostas:

36

O SMB é um protocolo de compartilhamento de arquivos e, como tal, é deixado em aberto na Internet para o compartilhamento de arquivos.

No entanto, essa é uma péssima idéia. Comparado a um protocolo mais simples como FTP ou WebDAV, que basicamente possui interfaces GET / PUT muito pequenas e é totalmente implementado em processos isolados do espaço do usuário, o SMB é um protocolo muito mais complexo, profundamente integrado aos principais serviços do Windows.

A natureza mais complexa do SMB (e é muito baixa segurança / integridade até pelo menos a versão 2) significa que muitas falhas críticas foram exploradas, e sua forte integração com o Windows significa que essa exploração era muito perigosa.

Então, não, não abra o SMB na internet

shodanshok
fonte
11
Você diria o mesmo sobre o SMBv2?
Mehrdad 24/09
11
O SMBv2 com assinatura ativada é bastante seguro, mas você deve desativar a versão anterior do SMB para impedir ataques de downgrade de protocolo. De qualquer forma, eu não publicaria nada baseado em SMB na Internet: a superfície de ataque é simplesmente muito grande e, devido à forte integração com os principais serviços do Windows, eventuais explorações são simplesmente devastadoras.
shodanshok
Mesmo que seja executado no Samba?
grawity
11
O Samba é certamente um pouco mais seguro do que o seu homólogo do Windows. No entanto, erros críticos acontecem mesmo no Samba . Portanto, defendo que expor o SMB à Internet é um grande erro de segurança. No mínimo, você deve filtrar o IP de origem, na lista de permissões apenas muito poucos IPs.
shodanshok
8

Apenas não faça isso. Se alguém lhe pedir, recomendo vivamente que não diga e que corra depressa.

Tecnicamente, você poderia fornecer esse tipo de serviço por meio de uma VPN, mas se estiver a uma distância significativa da WAN, certamente funcionará como lixo total.

Existem serviços muito superiores para realizar o compartilhamento remoto e local de arquivos que você poderia fornecer. Considere o Amazon Storage Gateway ou Google Storage. Essas soluções permitem que as contas de armazenamento em nuvem sejam anexadas aos servidores de arquivos internamente, permitindo uma nuvem de armazenamento híbrida que é sincronizada onde quer que alguém precise. É rápido e seguro, e os usuários remotos não precisam acessar seu servidor de arquivos para obter arquivos remotos, enquanto os usuários internos não precisam acessar seu canal WAN para acessar os mesmos arquivos. Essas soluções exigem muito do administrador e o colocam em uma nuvem que pode lidar com a carga, não importa o quê.

Spooler
fonte
6

Não. Deixe o número mínimo de portas expostas à Internet. Se você precisar usar o SMB para alguma coisa (transferir arquivos com terceiros confiáveis, com autenticação e carimbos de data / hora em todas as ações executadas), configure uma VPN para conectar-se a eles antes de fazer uma conexão SMB.

Christopher Hostage
fonte
O pensamento de não usar uma VPN apenas confunde a mente.
precisa saber é o seguinte
@ RonJohn: É um pensamento bastante razoável se você não souber sobre as falhas de segurança. Afinal, requer autenticação de senha.
Mehrdad 23/09
Embora exija autenticação, isso não implica criptografia. Esses são dois mecanismos separados. Na maioria dos casos, a criptografia é manipulada por meio de chaves em vez de senhas, enquanto as senhas são normalmente usadas para autenticar com contas de usuário assim que um túnel criptografado é estabelecido. Embora o que eu descrevo acima seja um modelo comum, não é necessário que seja projetado dessa maneira, é claro.
Spooler
5

Existe alguma razão? Vou deixar isso com você.

  1. Pode ser feito. Abra a porta 445 e configure o SMB e você poderá acessar suas pastas compartilhadas pela Internet de maneira semelhante à que faria na rede local.

  2. Vai ser muito lento porque o protocolo não foi projetado para funcionar nesse ambiente.

  3. Existem riscos de segurança conhecidos. Restrição de IP pode ajudar.

jarvis
fonte