İnternet üzerinden KOBİ'lere izin vermek için herhangi bir neden var mı?

19

Bir hosting şirketinde yöneticiyim ve Windows sunucuları ile bol miktarda müşterimiz olmasına rağmen öncelikle Linux makineleri ile ilgileniyorum.

Kapasitemde SMB'yi yalnızca yerel LAN'ımdaki bir dosya / yazdırma sunucusu için kullandım.

KOBİ'leri açık bırakmak için herhangi bir neden var mı? İnternete maruz kalması için gerçek bir neden duymadım, bilmediğim bazı Windows şeyleri var mı?

windows  security  server-message-block  best-practices 
MadRush
kaynak
9
wannacryKOBİ protokolünde bir güvenlik açığından büyük ölçüde yararlanan son zamanlarda (Mayıs 2017) dünya çapında siber saldırı denildiğini duydunuz mu? en.wikipedia.org/wiki/WannaCry_ransomware_attack . Dikkatli düşün !
krisFR
5
Is there any reason to allow SMB over the internet?- Bu bir tür açık uçlu soru. Var mı herhangi bir neden? Muhtemelen. Yine de pratik amaçlar için, hiçbir sebep yok.
joeqwerty
Son zamanlarda meydana gelen büyük saldırıların farkındayım, bu yüzden varsayılan olarak neden devre dışı bırakmadığımı merak ediyorum. Bana öyle geliyor ki, büyük olasılıkla açık olması için bir neden yok, ama bunu gerektiren bir sürü Windows erkeğinin yapacağı bir şey olup olmadığını merak ediyorum.
MadRush
4
Sorunuz ve daha sonra yukarıdaki yorumunuz tam olarak uyuşmuyor. "KOBİ'yi açık bırakmak için herhangi bir neden var mı?" Sorunuz belirsiz. Giden internet erişimi üzerinden gelen SMB (SMB sunucusu) veya iş istasyonlarından SMB'ye giden bağlantıyı mı soruyorsunuz? Geliyorsa, neden "varsayılan olarak açık" diyorsunuz? Güvenlik duvarları varsayılan olarak gelen SMB trafiğine izin vermemelidir. SMB sunucu hizmetini çalıştıran sunucu / VM olabilir, ancak kenar güvenlik duvarı, güvenlik duvarı bunu yapmak üzere yapılandırılmadığı sürece yalnızca bu trafiğin içeri girmesine izin vermez.
TheCleaner
3
1998 yılında, Internet erişimi çevirmeli olduğunda, bir gün internete bağlandığımda ISS'm yazıcılarının Windows'ta göründüğünü fark ettim. Onlara hiç baskı yapmayı denemedim - bitmiş baskı işimi nereden alacağımı bilmiyordum!
Craig McQueen

Yanıtlar:

36

SMB bir dosya paylaşım protokolüdür ve bu nedenle, bir zamanlar dosya paylaşımı için internete açık bırakılır.

Ancak, bu çok kötü bir fikir. Temelde çok küçük GET / PUT arayüzlerine sahip olan ve tamamen yalıtılmış kullanıcı alanı süreçlerinde uygulanan FTP veya WebDAV gibi daha basit protokollerle karşılaştırıldığında, SMB temel Windows hizmetlerine derinlemesine entegre olan çok daha karmaşık bir protokoldür.

SMB'nin daha karmaşık doğası (ve en azından sürüm 2'ye kadar çok düşük güvenlik / bütünlük) birçok kritik kusurdan faydalandığı ve Windows ile sıkı entegrasyonunun bu istismarın çok tehlikeli olduğu anlamına gelir .

Yani, hayır, KOBİ'leri internete açmayın

shodanshok
kaynak
1
SMBv2 için de aynı şeyi söyler misiniz?
Mehrdad
1
İmzalama etkin SMBv2 oldukça güvenlidir, ancak protokol düşürme saldırısını önlemek için önceki SMB sürümünü devre dışı bırakmanız gerekir . Neyse, olur değil şey internette SMB tabanlı yayınlama: nedeniyle çekirdek Windows hizmetleri ile sıkı entegrasyon, saldırı yüzeyi sadece çok büyük ve nihai patlatır sadece yıkıcı olan.
shodanshok
Samba ile çalışsa bile?
user1686
1
Samba kesinlikle Windows muadillerinden biraz daha güvenlidir. Bununla birlikte, Samba'da bile kritik hatalar olur . Dolayısıyla, KOBİ'lerin internete açılmasının büyük bir güvenlik hatası olduğunu düşünüyorum. En azından kaynak IP'yi filtrelemelisiniz, sadece çok az IP'yi beyaz listeye ekleyin.
shodanshok
8

Sadece yapma. Biri sizden bunu yapmanızı isterse, onlara hayır demenizi ve hızla kaçmanızı şiddetle tavsiye ederim.

Teknik olarak bir VPN üzerinden bu tür bir hizmet sunabilirsiniz, ancak WAN üzerinde önemli bir mesafe üzerindeyse, neredeyse kesinlikle toplam çöp gibi çalışacaktır.

Sağlayabileceğiniz uzaktan ve yerel dosya paylaşımını gerçekleştirmek için çok üstün hizmetler vardır. Amazon Storage Gateway veya Google Storage'ı düşünün. Bu çözümler, bulut depolama hesaplarının şirket içi dosya sunucularına eklenmesine izin vererek, herkesin ihtiyaç duyduğu her yerde senkronize olan karma bir depolama bulutuna olanak tanır. Hızlı ve güvenlidir ve uzak kullanıcıların uzak dosyaları almak için dosya sunucunuza vurmasına gerek yoktur, şirket içi kullanıcıların da aynı dosyalara ulaşmak için WAN borunuza vurması gerekmez. Bu çözümler yöneticinizden büyük bir yük alır ve ne olursa olsun yükü kaldırabilecek bir buluta yerleştirir.

Biriktiricisi
kaynak
6

Hayır. Minimum sayıda bağlantı noktasını İnternet'e açık bırakın. SMB'yi bir şey için kullanmanız gerekiyorsa (güvenilir bir diğer tarafla dosya aktarımı, yapılan her işlemde kimlik doğrulama ve zaman damgaları ile), daha sonra bir SMB bağlantısı yapmadan önce bağlanmaları için bir VPN ayarlayın.

Christopher Hostage
kaynak
Düşüncesi değil , VPN kullanmak sadece kesinlikle çok şaşırtıcı.
RonJohn
@RonJohn: Güvenlik açıklarını bilmiyorsanız oldukça makul bir düşünce. Sonuçta şifre kimlik doğrulaması gerektirmez.
Mehrdad
Kimlik doğrulaması gerektirmesine rağmen, bu şifreleme anlamına gelmez. Bunlar iki ayrı mekanizma. Çoğu durumda, şifreleme parola yerine anahtarlarla yapılırken, parolalar genellikle şifreli bir tünel oluşturulduktan sonra kullanıcı hesaplarıyla kimlik doğrulaması yapmak için kullanılır. Yukarıda tarif ettiğim şey ortak bir model olsa da, elbette bu şekilde tasarlanması gerekli değildir.
Biriktirici
5

Sebebi var mı? Bunu size bırakacağım.

  1. Yapılabilir. 445 numaralı bağlantı noktasını açın ve SMB'yi yapılandırın, paylaşılan klasörlerinize Internet üzerinden yerel ağınızdaki gibi benzer şekilde erişebilirsiniz.

  2. Çok yavaş olacak çünkü protokol bu ortam üzerinde çalışacak şekilde tasarlanmadı.

  3. Bilinen güvenlik riskleri vardır. IP kısıtlaması yardımcı olabilir.

jarvis
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.