¿Hay alguna razón para permitir SMB a través de Internet?

19

Soy administrador de una empresa de alojamiento y trato principalmente con máquinas Linux, aunque tenemos muchos clientes con servidores Windows.

En mi capacidad, solo he usado SMB para un servidor de archivos / impresión en mi LAN local.

¿Hay alguna razón para dejar SMB abierta? No he oído hablar de ningún motivo real para exponerlo a Internet, ¿hay alguna cosa de Windows que no conozca que lo requiera?

MadRush
fuente
99
¿Escuchó sobre el reciente ciberataque mundial (mayo de 2017) llamado wannacry, que explotó principalmente una vulnerabilidad en el protocolo SMB? en.wikipedia.org/wiki/WannaCry_ransomware_attack . Piensa cuidadosamente !
krisFR
55
Is there any reason to allow SMB over the internet?- Esa es una especie de pregunta abierta. ¿Hay alguna razón? Posiblemente. Sin embargo, a efectos prácticos, no, no hay ninguna razón.
joeqwerty
Soy muy consciente de los ataques masivos que han estado ocurriendo últimamente, es por eso que me pregunto por qué no solo deshabilitarlo por defecto. Simplemente me parece que lo más probable es que no haya ninguna razón para abrirlo, pero tengo curiosidad por saber si hay algo que muchos usuarios de Windows estarían haciendo que lo requiera.
MadRush
44
Su pregunta y luego su comentario anterior no se alinean. Usted dice "¿hay alguna razón para dejar SMB abierta?" Tu pregunta no está clara. ¿Está preguntando sobre SMB entrante (servidor SMB) o saliente desde la conexión de estaciones de trabajo a SMB a través del acceso a Internet saliente? Si es entrante, ¿por qué dice "está abierto por defecto"? Los firewalls por defecto no deberían permitir el tráfico SMB entrante. El servidor / VM que ejecuta el servicio del servidor SMB podría, pero el firewall perimetral no solo permitiría este tráfico entrante a menos que el firewall estuviera configurado para hacerlo.
TheCleaner
3
En 1998 más o menos, cuando el acceso a Internet era de acceso telefónico, me sorprendió notar un día que las impresoras de mi ISP eran visibles en Windows cuando marqué a Internet. Nunca intenté imprimir en ellos, ¡no sabía dónde recoger mi trabajo de impresión terminado!
Craig McQueen

Respuestas:

36

SMB es un protocolo para compartir archivos y, como tal, a veces se deja abierto a Internet para, bueno, compartir archivos.

Sin embargo, esta es una muy mala idea. En comparación con un protocolo más simple como FTP o WebDAV, que básicamente tienen interfaces GET / PUT muy pequeñas y están completamente implementadas en procesos de espacio de usuario aislados, SMB es un protocolo mucho más complejo, profundamente integrado en los servicios centrales de Windows.

La naturaleza más compleja de SMB (y su muy baja seguridad / integridad hasta al menos la versión 2) significa que se explotaron muchos defectos críticos, y su estrecha integración con Windows significa que estos exploits eran muy peligrosos.

Así que no, hacer SMB no está abierto a internet

shodanshok
fuente
1
¿Dirías lo mismo sobre SMBv2?
Mehrdad
1
SMBv2 con firma habilitada es bastante seguro, pero debe deshabilitar la versión anterior de SMB para evitar ataques de degradación de protocolo. De todos modos, no publicaría nada basado en SMB en Internet: la superficie de ataque es simplemente demasiado grande y, debido a la estrecha integración con los servicios centrales de Windows, las explotaciones eventuales son simplemente devastadoras.
shodanshok
¿Incluso si se ejecuta en Samba?
user1686
1
Samba es seguramente algo más seguro que su contraparte de Windows. Sin embargo, los errores críticos ocurren incluso en Samba . Por lo tanto, considero que exponer a SMB a Internet es un gran error de seguridad. Como mínimo, debe filtrar la IP de origen, incluyendo solo unas pocas IP en la lista blanca.
shodanshok
8

Solo no lo hagas. Si alguien te pide que lo hagas, te recomiendo que les digas que no y que huyas rápido.

Técnicamente, podría proporcionar este tipo de servicio a través de una VPN, pero si supera una distancia significativa sobre WAN, es casi seguro que funcionará como basura total.

Hay servicios muy superiores para lograr el intercambio de archivos locales y remotos que podría proporcionar. Considere Amazon Storage Gateway o Google Storage. Estas soluciones permiten que las cuentas de almacenamiento en la nube se adjunten a los servidores de archivos de forma interna, lo que permite una nube de almacenamiento híbrido que se sincroniza donde sea que alguien lo necesite. Es rápido y seguro, y los usuarios remotos no necesitan presionar su servidor de archivos para obtener archivos remotos, mientras que los usuarios internos no necesitan presionar su tubería WAN para acceder a esos mismos archivos. Estas soluciones le quitan una gran carga al administrador y la colocan en una nube que puede manejar la carga sin importar qué.

Spooler
fuente
6

No. Deje el número mínimo de puertos expuestos a Internet. Si necesita usar SMB para algo (transferir archivos con una otra parte confiable, con autenticación y marcas de tiempo en cada acción tomada), configure una VPN para que se conecten antes de hacer una conexión SMB.

Christopher Hostage
fuente
La idea de no usar una VPN simplemente aturde la mente.
RonJohn
@RonJohn: Es un pensamiento bastante razonable si no sabes acerca de los agujeros de seguridad. Requiere autenticación de contraseña después de todo.
Mehrdad
Si bien requiere autenticación, esto no implica cifrado. Esos son dos mecanismos separados. En la mayoría de los casos, el cifrado se maneja mediante claves en lugar de contraseñas, mientras que las contraseñas se usan generalmente para autenticarse con cuentas de usuario una vez que se establece un túnel cifrado. Si bien lo que describo anteriormente es un modelo común, no es necesario que esté diseñado de esta manera, por supuesto.
Spooler
5

¿Hay alguna razón? Te lo dejaré a ti.

  1. Se puede hacer. Abra el puerto 445 y configure SMB y podrá acceder a sus carpetas compartidas a través de Internet de forma similar a como lo haría en su red local.

  2. Va a ser muy lento porque el protocolo no fue diseñado para funcionar en ese entorno.

  3. Existen riesgos de seguridad conocidos. La restricción de IP podría ayudar.

Jarvis
fuente