Saya seorang admin di perusahaan hosting dan saya terutama berurusan dengan mesin Linux meskipun kami memiliki banyak pelanggan dengan server Windows.
Dalam kapasitas saya, saya hanya pernah menggunakan SMB untuk server file / print pada LAN lokal saya.
Apakah ada alasan untuk membiarkan SMB terbuka? Saya belum pernah mendengar alasan yang sebenarnya untuk mengeksposnya ke internet, apakah ada beberapa hal Windows yang tidak saya sadari yang mengharuskannya?
wannacry
, yang terutama mengeksploitasi kerentanan dalam protokol SMB? en.wikipedia.org/wiki/WannaCry_ransomware_attack . Pikirkan baik-baik!Is there any reason to allow SMB over the internet?
- Itu semacam pertanyaan terbuka. Apakah ada setiap alasan? Mungkin. Untuk tujuan praktis, tidak ada alasan.Jawaban:
SMB adalah protokol berbagi file dan, dengan demikian, kadang dibiarkan terbuka untuk internet, juga, berbagi file.
Namun, ini ide yang sangat buruk. Dibandingkan dengan protokol yang lebih sederhana seperti FTP atau WebDAV, yang pada dasarnya memiliki antarmuka GET / PUT yang sangat kecil dan sepenuhnya diimplementasikan dalam proses userspace yang terisolasi, SMB adalah protokol yang jauh lebih kompleks, sangat terintegrasi ke dalam layanan inti Windows.
Sifat SMB yang lebih kompleks (dan keamanan / integritasnya sangat rendah sampai setidaknya versi 2) berarti bahwa banyak kelemahan kritis dieksploitasi, dan integrasi yang ketat dengan Windows berarti eksploit ini sangat berbahaya.
Jadi, tidak, jangan buka SMB ke internet
sumber
Tapi jangan lakukan itu. Jika ada yang meminta Anda untuk melakukannya, saya akan sangat menyarankan mengatakan tidak dan lari cepat.
Secara teknis Anda bisa menyediakan layanan semacam ini melalui VPN, tetapi jika jaraknya jauh lebih besar dari WAN, hampir pasti akan berkinerja seperti sampah total.
Ada layanan yang jauh lebih unggul untuk mencapai berbagi file jarak jauh dan lokal yang dapat Anda berikan. Pertimbangkan Amazon Storage Gateway, atau Google Storage. Solusi ini memungkinkan akun penyimpanan cloud untuk dilampirkan ke server file di rumah, memungkinkan cloud penyimpanan hybrid yang disinkronkan di mana pun orang membutuhkannya. Ini cepat dan aman, dan pengguna jarak jauh tidak perlu menekan server file Anda untuk mendapatkan file jarak jauh sementara pengguna di rumah tidak perlu menekan pipa WAN Anda untuk mendapatkan file yang sama. Solusi ini mengambil beban besar dari Anda, administrator, dan membuatnya menjadi awan yang dapat menangani beban apa pun yang terjadi.
sumber
Tidak. Biarkan jumlah port minimum yang terpapar ke Internet. Jika Anda perlu menggunakan SMB untuk sesuatu (mentransfer file dengan pihak lain yang tepercaya, dengan autentikasi dan stempel waktu pada setiap tindakan yang diambil), kemudian siapkan VPN untuk disambungkan sebelum membuat koneksi SMB.
sumber
Apakah ada alasannya? Aku akan menyerahkannya padamu.
Itu bisa dilakukan. Buka port 445 dan konfigurasikan SMB dan Anda dapat mengakses folder bersama Anda melalui internet, sama seperti bagaimana Anda melakukannya melalui jaringan lokal Anda.
Ini akan menjadi sangat lambat karena protokol tidak dirancang untuk mengatasi lingkungan seperti itu.
Ada risiko keamanan yang diketahui. Pembatasan IP dapat membantu.
sumber