มีเหตุผลใดที่จะอนุญาตให้ SMB ผ่านอินเทอร์เน็ตได้หรือไม่

19

ฉันเป็นผู้ดูแลระบบที่ บริษัท โฮสติ้งและส่วนใหญ่ฉันจัดการกับเครื่อง Linux แม้ว่าเราจะมีลูกค้าจำนวนมากที่มีเซิร์ฟเวอร์ Windows

ในความสามารถของฉันฉันใช้ SMB สำหรับไฟล์ / เซิร์ฟเวอร์การพิมพ์บน LAN ในพื้นที่ของฉันเท่านั้น

มีเหตุผลใดที่จะเปิด SMB หรือไม่ ฉันไม่เคยได้ยินเหตุผลที่แท้จริงใด ๆ ที่ทำให้มันมีการสัมผัสกับอินเทอร์เน็ตมีบางสิ่งที่ Windows ไม่รู้ว่าต้องมีหรือไม่

— MadRush
แหล่งที่มา

9

คุณเคยได้ยินเกี่ยวกับการโจมตีทางไซเบอร์ครั้งล่าสุด (พฤษภาคม 2560) ที่เรียกwannacryว่าการบุกรุกทางช่องโหว่ในโปรโตคอล SMB เป็นหลักหรือไม่? en.wikipedia.org/wiki/WannaCry_ransomware_attack คิดอย่างรอบคอบ !

— krisFR

5

Is there any reason to allow SMB over the internet?- นั่นเป็นคำถามปลายเปิด มีใด ๆที่เหตุผล? อาจ เพื่อจุดประสงค์ในทางปฏิบัติแม้ว่าจะไม่มีเหตุผลใด ๆ

— joeqwerty

ฉันตระหนักถึงการโจมตีครั้งใหญ่ที่เกิดขึ้นเมื่อเร็ว ๆ นี้นั่นเป็นสาเหตุที่ฉันสงสัยว่าทำไมไม่เพียง แต่ปิดการใช้งานโดยค่าเริ่มต้น สำหรับฉันดูเหมือนว่าเป็นไปได้มากว่าไม่มีเหตุผลที่จะเปิดมัน แต่ฉันอยากรู้ว่ามีบางสิ่งที่พวก Windows หลายคนกำลังทำอยู่นั้นต้องการมัน

— MadRush

4

คำถามของคุณและความคิดเห็นของคุณด้านบนยังไม่สอดคล้อง คุณระบุว่า "มีเหตุผลใดที่จะเปิด SMB หรือไม่" คำถามของคุณไม่ชัดเจน คุณถามเกี่ยวกับ SMB ขาเข้า (เซิร์ฟเวอร์ SMB) หรือขาออกจากการเชื่อมต่อเวิร์กสเตชันกับ SMB ผ่านการเชื่อมต่ออินเทอร์เน็ตขาออกหรือไม่? หากขาเข้าทำไมคุณถึงพูดว่า "เปิดโดยค่าเริ่มต้น" ไฟร์วอลล์โดยค่าเริ่มต้นไม่ควรอนุญาตการรับส่งข้อมูล SMB ขาเข้า เซิร์ฟเวอร์ / VM ที่ใช้บริการเซิร์ฟเวอร์ SMB อาจ แต่ไฟร์วอลล์ขอบไม่อนุญาตให้มีการรับส่งข้อมูลขาเข้านี้เว้นแต่ว่าไฟร์วอลล์ได้รับการกำหนดค่าให้ทำเช่นนั้น

— TheCleaner

3

ในปี 1998 หรือมากกว่านั้นเมื่อการเชื่อมต่ออินเทอร์เน็ตเป็น dial-up ฉันรู้สึกประหลาดใจที่สังเกตเห็นวันหนึ่งว่าเครื่องพิมพ์ของ ISP ของฉันสามารถมองเห็นได้ใน Windows เมื่อฉันต่ออินเทอร์เน็ต ฉันไม่เคยลองพิมพ์กับพวกเขา - ฉันไม่รู้ว่าจะไปรับงานพิมพ์ที่เสร็จแล้วได้ที่ไหน!

— Craig McQueen

36

SMB เป็นโปรโตคอลการแชร์ไฟล์และบางครั้งก็เปิดทิ้งไว้ที่อินเทอร์เน็ตเพื่อการแชร์ไฟล์

อย่างไรก็ตามนี่เป็นความคิดที่แย่มาก เมื่อเทียบกับโปรโตคอลที่ง่ายกว่าเช่น FTP หรือ WebDAV ซึ่งโดยทั่วไปมีอินเตอร์เฟส GET / PUT ขนาดเล็กมากและมีการใช้งานอย่างสมบูรณ์ในกระบวนการ userpace แบบแยกส่วน SMB เป็นโปรโตคอลที่ซับซ้อนมากขึ้นซึ่งรวมเข้ากับบริการ Windows หลักอย่างลึกซึ้ง

ลักษณะที่ซับซ้อนมากขึ้นของ SMB (และความปลอดภัย / ความสมบูรณ์ต่ำมากจนกระทั่งอย่างน้อยรุ่น 2) หมายความว่าข้อบกพร่องที่สำคัญจำนวนมากถูกนำไปใช้ประโยชน์และการผนวกรวมกับ Windows อย่างแน่นหนาหมายความว่าการใช้ประโยชน์เหล่านี้เป็นอันตรายมาก

ดังนั้นไม่อย่าเปิด SMB กับอินเทอร์เน็ต

— shodanshok
แหล่งที่มา

1

คุณจะพูดในสิ่งเดียวกันเกี่ยวกับ SMBv2 หรือไม่?

— Mehrdad

1

SMBv2 ที่เปิดใช้งานการเซ็นชื่อนั้นค่อนข้างปลอดภัย แต่คุณต้องปิดการใช้งานเวอร์ชัน SMB ก่อนหน้าเพื่อป้องกันการโจมตีที่ลดระดับโปรโตคอล อย่างไรก็ตามฉันจะไม่เผยแพร่ SMB บนอินเทอร์เน็ตเพราะพื้นผิวการโจมตีนั้นใหญ่เกินไปและเนื่องจากการผนวกรวมอย่างแน่นหนากับบริการหลักของ Windows การหาช่องโหว่ในที่สุดก็ทำลายล้าง

— shodanshok

แม้ว่ามันจะทำงานบน Samba?

— user1686

1

แซมบ้าค่อนข้างปลอดภัยกว่า Windows รุ่นเดียวกัน อย่างไรก็ตามข้อบกพร่องที่สำคัญที่เกิดขึ้นแม้ในแซมบ้า ดังนั้นฉันคิดว่า SMB ที่เปิดเผยต่ออินเทอร์เน็ตเป็นข้อผิดพลาดด้านความปลอดภัยที่ยิ่งใหญ่ อย่างน้อยที่สุดคุณควรกรอง IP ต้นทางให้ยกเว้น IP เพียงเล็กน้อยเท่านั้น

— shodanshok

8

อย่าทำอย่างนั้น หากใครขอให้คุณทำฉันขอแนะนำไม่บอกพวกเขาและวิ่งหนีไปอย่างรวดเร็ว

ในทางเทคนิคคุณสามารถให้บริการประเภทนี้ผ่าน VPN แต่ถ้าผ่านระยะทางที่สำคัญกว่า WAN มันเกือบจะทำงานได้เหมือนขยะทั้งหมด

มีบริการที่เหนือกว่าสำหรับการแชร์ไฟล์จากระยะไกลและระยะไกลที่คุณสามารถทำได้ พิจารณา Amazon Storage Gateway หรือ Google Storage โซลูชั่นเหล่านี้ช่วยให้สามารถเชื่อมต่อบัญชีที่เก็บข้อมูลบนคลาวด์กับเซิร์ฟเวอร์ไฟล์ภายในองค์กรได้เปิดใช้งานระบบจัดเก็บข้อมูลแบบไฮบริดที่ซิงค์ทุกที่ที่ต้องการ มันรวดเร็วและปลอดภัยและผู้ใช้ระยะไกลไม่จำเป็นต้องตีไฟล์เซิร์ฟเวอร์ของคุณเพื่อรับไฟล์ระยะไกลในขณะที่ผู้ใช้ในบ้านไม่จำเป็นต้องกดปุ่มไปที่ไฟล์ WAN ของคุณเพื่อรับไฟล์เดียวกัน โซลูชันเหล่านี้มีภาระมากจากผู้ดูแลระบบของคุณและนำไปไว้ในคลาวด์ที่สามารถจัดการกับโหลดได้

— จัดคิวงาน
แหล่งที่มา

6

ไม่ปล่อยจำนวนพอร์ตขั้นต่ำที่เปิดเผยต่ออินเทอร์เน็ต หากคุณต้องการใช้ SMB สำหรับบางสิ่ง (ถ่ายโอนไฟล์กับบุคคลที่เชื่อถือได้พร้อมการรับรองความถูกต้องและการประทับเวลาในทุกการกระทำ) จากนั้นตั้งค่า VPN เพื่อให้พวกเขาเชื่อมต่อก่อนทำการเชื่อมต่อ SMB

— คริสโตเฟอร์ตัวประกัน
แหล่งที่มา

ความคิดที่ว่าการไม่ใช้ VPN แค่ทำให้จิตใจเสียสติ

— RonJohn

@ RonJohn: มันเป็นความคิดที่สมเหตุสมผลถ้าคุณไม่รู้เกี่ยวกับรูโหว่ มันต้องมีการตรวจสอบรหัสผ่านหลังจากทั้งหมด

— Mehrdad

แม้ว่าจะต้องการการรับรองความถูกต้อง แต่ก็ไม่ได้หมายความถึงการเข้ารหัส นี่เป็นกลไกสองอย่างที่แยกกัน ในกรณีส่วนใหญ่การเข้ารหัสจะได้รับการจัดการผ่านทางคีย์แทนที่จะใช้รหัสผ่านในขณะที่รหัสผ่านมักใช้ในการรับรองความถูกต้องกับบัญชีผู้ใช้เมื่อมีการสร้างช่องทางการเข้ารหัส ในขณะที่สิ่งที่ฉันอธิบายข้างต้นเป็นรูปแบบทั่วไปก็ไม่จำเป็นต้องได้รับการออกแบบด้วยวิธีนี้แน่นอน

— Spooler

5

มีเหตุผลอะไรบ้าง? ฉันจะทิ้งคุณไว้

มันสามารถทำได้ เปิดพอร์ต 445 และกำหนดค่า SMB และคุณสามารถเข้าถึงโฟลเดอร์ที่ใช้ร่วมกันผ่านอินเทอร์เน็ตได้เช่นเดียวกับที่คุณทำผ่านเครือข่ายท้องถิ่นของคุณ
มันจะช้ามากเพราะโปรโตคอลไม่ได้ออกแบบมาเพื่อทำงานกับสภาพแวดล้อมดังกล่าว
มีความเสี่ยงด้านความปลอดภัยที่รู้จักกัน การ จำกัด IP ช่วยได้

— จาร์วิส
แหล่งที่มา