Y a-t-il une raison d'autoriser SMB sur Internet?

19

Je suis administrateur d'une société d'hébergement et je traite principalement avec des machines Linux bien que nous ayons beaucoup de clients avec des serveurs Windows.

En ma qualité, je n'ai jamais utilisé SMB que pour un serveur de fichiers / d'impression sur mon réseau local.

Y a-t-il une raison de laisser SMB ouverte? Je n'ai entendu parler d'aucune raison réelle pour l'exposer à Internet, y a-t-il une chose Windows que je ne connais pas qui l'exige?

windows security server-message-block best-practices MadRush
la source
9
Avez-vous entendu parler de la récente (mai 2017) cyberattaque mondiale appelée wannacry, qui exploitait principalement une vulnérabilité du protocole SMB? en.wikipedia.org/wiki/WannaCry_ransomware_attack . Réfléchissez bien !
krisFR
5
Is there any reason to allow SMB over the internet?- C'est une sorte de question ouverte. Y a-t-il une raison? Peut-être. Pour des raisons pratiques, non, il n'y a aucune raison.
joeqwerty
Je suis parfaitement conscient des attaques massives qui se sont produites récemment, c'est pourquoi je me demande pourquoi ne pas simplement le désactiver par défaut. Il me semble simplement qu'il n'y a probablement aucune raison de l'ouvrir, mais je suis curieux de savoir s'il y a quelque chose que beaucoup de gars de Windows feraient qui l'exigerait.
MadRush
4
Votre question, puis votre commentaire ci-dessus ne correspondent pas tout à fait. Vous dites "y a-t-il une raison de laisser SMB ouverte?" Votre question n'est pas claire. Vous demandez des informations sur la connexion entrante SMB (serveur SMB) ou sortante des postes de travail à SMB via un accès Internet sortant? En cas d'arrivée, pourquoi dites-vous "il est ouvert par défaut"? Les pare-feu par défaut ne devraient pas autoriser le trafic SMB entrant. Le serveur / machine virtuelle exécutant le service du serveur SMB le pourrait, mais le pare-feu de périphérie n'autoriserait pas uniquement ce trafic entrant, sauf si le pare-feu a été configuré pour le faire.
TheCleaner
3
En 1998 environ, lorsque l'accès à Internet était commuté, j'ai été surpris de constater un jour que les imprimantes de mon FAI étaient visibles dans Windows lorsque je me suis connecté à Internet. Je n'ai jamais essayé d'imprimer sur eux - je ne savais pas où récupérer mon travail d'impression terminé!
Craig McQueen

Réponses:

36

SMB est un protocole de partage de fichiers et, en tant que tel, il est parfois laissé ouvert à Internet pour, eh bien, le partage de fichiers.

Cependant, c'est une très mauvaise idée. Comparé à un protocole plus simple comme FTP ou WebDAV, qui ont fondamentalement de très petites interfaces GET / PUT et sont entièrement implémentés dans des processus d'espace utilisateur isolés, SMB est un protocole beaucoup plus complexe, profondément intégré dans les services Windows de base.

La nature plus complexe de SMB (et sa très faible sécurité / intégrité jusqu'à au moins la version 2) signifie que de nombreuses failles critiques ont été exploitées, et son intégration étroite avec Windows signifie que ces exploits étaient très dangereux.

Donc, non, n'ouvrez pas SMB à Internet

shodanshok
la source
1
Diriez-vous la même chose à propos de SMBv2?
Mehrdad
1
SMBv2 avec la signature activée est assez sécurisé, mais vous devez désactiver la version précédente de SMB pour empêcher une attaque de rétrogradation du protocole. Quoi qu'il en soit, je ne publierais rien sur SMB sur Internet: la surface d'attaque est tout simplement trop grande et, en raison d'une intégration étroite avec les services Windows de base, les éventuels exploits sont tout simplement dévastateurs.
shodanshok
Même s'il fonctionne sur Samba?
user1686
1
Samba est sûrement un peu plus sécurisé que son homologue Windows. Cependant, des bogues critiques se produisent même sur Samba . Donc, je pense qu'exposer SMB à Internet est une grosse erreur de sécurité. À tout le moins, vous devez filtrer l'IP source, en ne mettant en liste que très peu d'IP.
shodanshok
8

Ne le fais pas. Si quelqu'un vous demande de le faire, je vous recommande fortement de lui dire non et de vous enfuir rapidement.

Techniquement, vous pourriez fournir ce type de service sur un VPN, mais s'il se trouve sur une distance significative sur le WAN, il fonctionnera presque certainement comme une ordure totale.

Il existe des services bien supérieurs pour réaliser le partage de fichiers à distance et local que vous pourriez fournir. Considérez Amazon Storage Gateway ou Google Storage. Ces solutions permettent d'attacher des comptes de stockage cloud aux serveurs de fichiers en interne, ce qui permet un cloud de stockage hybride qui se synchronise là où tout le monde en a besoin. C'est rapide et sécurisé, et les utilisateurs distants n'ont pas besoin d'accéder à votre serveur de fichiers pour obtenir des fichiers distants tandis que les utilisateurs internes n'ont pas besoin de toucher votre canal WAN pour accéder à ces mêmes fichiers. Ces solutions prennent une lourde charge de votre part en tant qu'administrateur, et les placent dans un cloud qui peut gérer la charge quoi qu'il arrive.

Spouleur
la source
6

Non. Laissez le nombre minimum de ports exposés à Internet. Si vous devez utiliser SMB pour quelque chose (transfert de fichiers avec un tiers de confiance, avec authentification et horodatages pour chaque action entreprise), configurez un VPN pour qu'ils se connectent avant d'établir une connexion SMB.

Christophe en otage
la source
L'idée de ne pas utiliser de VPN épate simplement l'esprit.
RonJohn
@ RonJohn: C'est une pensée assez raisonnable si vous ne connaissez pas les failles de sécurité. Il nécessite une authentification par mot de passe après tout.
Mehrdad
Bien qu'il nécessite une authentification, cela n'implique pas le cryptage. Ce sont deux mécanismes distincts. Dans la plupart des cas, le chiffrement est géré via des clés plutôt que des mots de passe, tandis que les mots de passe sont généralement utilisés pour s'authentifier auprès des comptes d'utilisateurs une fois qu'un tunnel chiffré est établi. Bien que ce que je décris ci-dessus soit un modèle commun, il n'est pas nécessaire qu'il soit conçu de cette façon, bien sûr.
Spooler
5

Y a-t-il une raison? Je vous laisse cela.

  1. Ça peut être fait. Ouvrez le port 445 et configurez SMB et vous pouvez accéder à vos dossiers partagés sur Internet de la même manière que vous le feriez sur votre réseau local.

  2. Cela va être très lent car le protocole n'a pas été conçu pour fonctionner dans un tel environnement.

  3. Il existe des risques de sécurité connus. La restriction IP pourrait aider.

jarvis
la source