Apakah ada alasan untuk mengizinkan SMB melalui internet?

19

Saya seorang admin di perusahaan hosting dan saya terutama berurusan dengan mesin Linux meskipun kami memiliki banyak pelanggan dengan server Windows.

Dalam kapasitas saya, saya hanya pernah menggunakan SMB untuk server file / print pada LAN lokal saya.

Apakah ada alasan untuk membiarkan SMB terbuka? Saya belum pernah mendengar alasan yang sebenarnya untuk mengeksposnya ke internet, apakah ada beberapa hal Windows yang tidak saya sadari yang mengharuskannya?

MadRush
sumber
9
Apakah Anda pernah mendengar tentang serangan cyber cyber terbaru (Mei 2017) yang disebut wannacry, yang terutama mengeksploitasi kerentanan dalam protokol SMB? en.wikipedia.org/wiki/WannaCry_ransomware_attack . Pikirkan baik-baik!
krisFR
5
Is there any reason to allow SMB over the internet?- Itu semacam pertanyaan terbuka. Apakah ada setiap alasan? Mungkin. Untuk tujuan praktis, tidak ada alasan.
joeqwerty
Saya sangat menyadari serangan besar yang telah terjadi akhir-akhir ini, itu sebabnya saya bertanya-tanya mengapa tidak menonaktifkannya secara default. Sepertinya bagi saya bahwa kemungkinan besar tidak ada alasan untuk membukanya, tetapi saya ingin tahu apakah ada sesuatu yang banyak orang Windows akan lakukan yang memerlukannya.
MadRush
4
Pertanyaan Anda dan kemudian komentar Anda di atas tidak cukup berbaris. Anda menyatakan "apakah ada alasan untuk membiarkan SMB terbuka?" Pertanyaan Anda tidak jelas. Apakah Anda bertanya tentang SMB masuk (server SMB) atau keluar dari koneksi workstation ke SMB melalui akses internet keluar? Jika masuk, mengapa Anda mengatakan "ini terbuka secara default"? Firewall secara default seharusnya tidak mengizinkan lalu lintas SMB masuk. Server / VM yang menjalankan layanan server SMB mungkin, tetapi firewall tepi tidak akan membiarkan lalu lintas ini masuk kecuali firewall dikonfigurasikan untuk melakukannya.
TheCleaner
3
Pada 1998 atau lebih, ketika akses Internet dial-up, saya terkejut melihat suatu hari bahwa printer ISP saya terlihat di Windows ketika saya memutar ke Internet. Saya tidak pernah mencoba mencetak ke mereka - Saya tidak tahu di mana mengambil pekerjaan cetak saya yang sudah selesai!
Craig McQueen

Jawaban:

36

SMB adalah protokol berbagi file dan, dengan demikian, kadang dibiarkan terbuka untuk internet, juga, berbagi file.

Namun, ini ide yang sangat buruk. Dibandingkan dengan protokol yang lebih sederhana seperti FTP atau WebDAV, yang pada dasarnya memiliki antarmuka GET / PUT yang sangat kecil dan sepenuhnya diimplementasikan dalam proses userspace yang terisolasi, SMB adalah protokol yang jauh lebih kompleks, sangat terintegrasi ke dalam layanan inti Windows.

Sifat SMB yang lebih kompleks (dan keamanan / integritasnya sangat rendah sampai setidaknya versi 2) berarti bahwa banyak kelemahan kritis dieksploitasi, dan integrasi yang ketat dengan Windows berarti eksploit ini sangat berbahaya.

Jadi, tidak, jangan buka SMB ke internet

shodanshok
sumber
1
Apakah Anda akan mengatakan hal yang sama tentang SMBv2?
Mehrdad
1
SMBv2 dengan penandatanganan diaktifkan cukup aman, tetapi Anda harus menonaktifkan versi SMB sebelumnya untuk mencegah serangan penurunan versi protokol. Lagi pula, saya tidak akan mempublikasikan apa pun yang berbasis SMB di internet: permukaan serangannya terlalu besar dan, karena integrasi yang erat dengan layanan inti Windows, akhirnya eksploitasi hanya menghancurkan.
shodanshok
Bahkan jika itu berjalan di Samba?
grawity
1
Samba tentu agak lebih aman daripada rekan Windows-nya. Namun, bug kritis terjadi bahkan pada Samba . Jadi, saya berpendapat bahwa mengekspos SMB ke internet adalah kesalahan keamanan besar. Paling tidak Anda harus memfilter IP sumber, daftar putih hanya sedikit IP.
shodanshok
8

Tapi jangan lakukan itu. Jika ada yang meminta Anda untuk melakukannya, saya akan sangat menyarankan mengatakan tidak dan lari cepat.

Secara teknis Anda bisa menyediakan layanan semacam ini melalui VPN, tetapi jika jaraknya jauh lebih besar dari WAN, hampir pasti akan berkinerja seperti sampah total.

Ada layanan yang jauh lebih unggul untuk mencapai berbagi file jarak jauh dan lokal yang dapat Anda berikan. Pertimbangkan Amazon Storage Gateway, atau Google Storage. Solusi ini memungkinkan akun penyimpanan cloud untuk dilampirkan ke server file di rumah, memungkinkan cloud penyimpanan hybrid yang disinkronkan di mana pun orang membutuhkannya. Ini cepat dan aman, dan pengguna jarak jauh tidak perlu menekan server file Anda untuk mendapatkan file jarak jauh sementara pengguna di rumah tidak perlu menekan pipa WAN Anda untuk mendapatkan file yang sama. Solusi ini mengambil beban besar dari Anda, administrator, dan membuatnya menjadi awan yang dapat menangani beban apa pun yang terjadi.

Pengumpul informasi
sumber
6

Tidak. Biarkan jumlah port minimum yang terpapar ke Internet. Jika Anda perlu menggunakan SMB untuk sesuatu (mentransfer file dengan pihak lain yang tepercaya, dengan autentikasi dan stempel waktu pada setiap tindakan yang diambil), kemudian siapkan VPN untuk disambungkan sebelum membuat koneksi SMB.

Christopher Hostage
sumber
Pikiran untuk tidak menggunakan VPN hanya mengejutkan pikiran.
RonJohn
@ RonJohn: Ini pemikiran yang cukup masuk akal jika Anda tidak tahu tentang lubang keamanan. Itu memang membutuhkan otentikasi kata sandi.
Mehrdad
Meskipun memerlukan otentikasi, ini tidak menyiratkan enkripsi. Itu adalah dua mekanisme terpisah. Dalam kebanyakan kasus, enkripsi ditangani melalui kunci daripada kata sandi, sementara kata sandi biasanya digunakan untuk mengautentikasi dengan akun pengguna setelah terowongan terenkripsi dibuat. Meskipun apa yang saya jelaskan di atas adalah model umum, tentu saja tidak perlu dirancang seperti ini.
Spooler
5

Apakah ada alasannya? Aku akan menyerahkannya padamu.

  1. Itu bisa dilakukan. Buka port 445 dan konfigurasikan SMB dan Anda dapat mengakses folder bersama Anda melalui internet, sama seperti bagaimana Anda melakukannya melalui jaringan lokal Anda.

  2. Ini akan menjadi sangat lambat karena protokol tidak dirancang untuk mengatasi lingkungan seperti itu.

  3. Ada risiko keamanan yang diketahui. Pembatasan IP dapat membantu.

jarvis
sumber