C'è qualche motivo per consentire alle PMI su Internet?

19

Sono un amministratore di una società di hosting e mi occupo principalmente di macchine Linux anche se abbiamo molti clienti con server Windows.

Nella mia capacità ho sempre usato SMB per un file / print server sulla mia LAN locale.

C'è qualche motivo per lasciare aperta la PMI? Non ho sentito alcun motivo reale per averlo esposto a Internet, c'è qualche cosa di Windows che non sono a conoscenza che lo richiede?

windows  security  server-message-block  best-practices 
Folle corsa
fonte
9
Hai sentito parlare del recente attacco informatico di tutto il mondo (maggio 2017) wannacry, che ha principalmente sfruttato una vulnerabilità nel protocollo SMB? en.wikipedia.org/wiki/WannaCry_ransomware_attack . Pensa attentamente !
KrisFR,
5
Is there any reason to allow SMB over the internet?- È una specie di domanda aperta. C'è qualche motivo? Possibilmente. Ai fini pratici, tuttavia, non esiste alcun motivo.
joeqwerty,
Sono pienamente consapevole dei massicci attacchi che si sono verificati di recente, ecco perché mi chiedo perché non disabilitarlo di default. Mi sembra che molto probabilmente non c'è motivo di aprirlo, ma sono curioso di sapere se c'è qualcosa che molti ragazzi di Windows farebbero e che lo richiede.
MadRush,
4
La tua domanda e quindi il tuo commento sopra non si allineano. Dichiarate "c'è qualche motivo per lasciare aperta la PMI?" La tua domanda non è chiara Stai chiedendo informazioni su SMB in entrata (server SMB) o in uscita dalla connessione delle stazioni di lavoro a SMB tramite accesso a Internet in uscita? Se in entrata, perché dici "è aperto per impostazione predefinita"? I firewall per impostazione predefinita non dovrebbero consentire il traffico SMB in entrata. Il server / VM che esegue il servizio server SMB potrebbe, ma il firewall perimetrale non consentirebbe solo questo traffico in entrata a meno che il firewall non fosse configurato per farlo.
TheCleaner,
3
Nel 1998 o giù di lì, quando l'accesso a Internet era dial-up, un giorno fui sorpreso di notare che le stampanti del mio ISP erano visibili in Windows quando mi collegavo a Internet. Non ho mai provato a stamparli, non sapevo dove ritirare il mio lavoro di stampa finito!
Craig McQueen,

Risposte:

36

SMB è un protocollo di condivisione file e, come tale, a volte viene lasciato aperto su Internet per la condivisione dei file.

Tuttavia, questa è una pessima idea. Rispetto al protocollo più semplice come FTP o WebDAV, che fondamentalmente hanno interfacce GET / PUT molto piccole e sono interamente implementate in processi di spazio utente isolato, SMB è un protocollo molto più complesso, profondamente integrato nei principali servizi Windows.

La natura più complessa di SMB (ed è molto bassa sicurezza / integrità fino almeno alla versione 2) significa che sono stati sfruttati molti difetti critici e la sua stretta integrazione con Windows significa che questo exploit era molto pericoloso.

Quindi, no, non aprire SMB su Internet

shodanshok
fonte
1
Diresti la stessa cosa su SMBv2?
Mehrdad,
1
SMBv2 con la firma abilitata è abbastanza sicuro, ma è necessario disabilitare la versione SMB precedente per prevenire attacchi di downgrade del protocollo. Comunque, non pubblicherei nulla basato su PMI su Internet: la superficie di attacco è semplicemente troppo grande e, a causa della stretta integrazione con i principali servizi di Windows, eventuali exploit sono semplicemente devastanti.
shodanshok,
Anche se funziona su Samba?
user1686
1
Samba è sicuramente un po 'più sicuro della sua controparte Windows. Tuttavia, i bug critici si verificano anche su Samba . Quindi, ritengo che esporre le PMI a Internet sia un grosso errore di sicurezza. Come minimo dovresti filtrare l'IP di origine, inserendo nella whitelist solo pochissimi IP.
shodanshok,
8

Basta non farlo. Se qualcuno ti chiede di farlo, ti consiglio vivamente di dire loro di no e di scappare velocemente.

Potresti fornire tecnicamente questo tipo di servizio su una VPN, ma se si trova su una distanza significativa su WAN, quasi sicuramente funzionerà come un totale rifiuto.

Esistono servizi di gran lunga superiori per la condivisione di file remoti e locali che potresti fornire. Prendi in considerazione Amazon Storage Gateway o Google Storage. Queste soluzioni consentono agli account di archiviazione cloud di essere collegati internamente ai file server, abilitando un cloud di archiviazione ibrido che si sincronizza ovunque ne abbia bisogno. È veloce e sicuro e gli utenti remoti non hanno bisogno di colpire il tuo fileserver per ottenere file remoti mentre gli utenti interni non devono colpire la tua WAN pipe per ottenere quegli stessi file. Queste soluzioni assumono un grosso onere da parte dell'amministratore e lo inseriscono in un cloud in grado di gestire il carico in ogni caso.

Spooler
fonte
6

No. Lasciare il numero minimo di porte esposte a Internet. Se è necessario utilizzare SMB per qualcosa (trasferimento di file con un'altra parte attendibile, con autenticazione e timestamp su ogni azione intrapresa), quindi configurare una VPN a cui connettersi prima di stabilire una connessione SMB.

Christopher Hostage
fonte
Il pensiero di non utilizzare una VPN fa impazzire la mente.
RonJohn,
@RonJohn: è un pensiero abbastanza ragionevole se non si conoscono le falle della sicurezza. Dopotutto richiede l'autenticazione con password.
Mehrdad,
Sebbene richieda l'autenticazione, ciò non implica la crittografia. Questi sono due meccanismi separati. Nella maggior parte dei casi, la crittografia viene gestita tramite chiavi anziché tramite password, mentre le password vengono generalmente utilizzate per autenticarsi con gli account utente una volta stabilito un tunnel crittografato. Mentre quello che descrivo sopra è un modello comune, non è necessario che sia progettato in questo modo, ovviamente.
Spooler,
5

C'è qualche motivo? Lo lascerò a te.

  1. Si può fare. Apri la porta 445 e configura SMB e puoi accedere alle tue cartelle condivise su Internet in modo simile a come faresti sulla rete locale.

  2. Sarà molto lento perché il protocollo non è stato progettato per funzionare su tale ambiente.

  3. Esistono rischi noti per la sicurezza. La restrizione dell'IP potrebbe essere d'aiuto.

Jarvis
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.