it-swarm.com.de

Gibt es einen Grund, SMB über das Internet zuzulassen?

Ich bin Administrator bei einem Hosting-Unternehmen und beschäftige mich hauptsächlich mit Linux-Computern, obwohl wir viele Kunden mit Windows-Servern haben.

In meiner Eigenschaft habe ich bisher nur SMB für einen Datei-/Druckserver in meinem lokalen LAN verwendet.

Gibt es einen Grund, SMB offen zu lassen? Ich habe noch keinen tatsächlichen Grund gehört, es dem Internet zugänglich zu machen. Gibt es eine Windows-Sache, von der ich nicht weiß, dass sie dies erfordert?

20
MadRush

SMB ist ein Dateifreigabeprotokoll und wird daher manchmal für das Internet freigegeben, um Dateien gemeinsam zu nutzen.

dies ist jedoch eine sehr schlechte Idee. Im Vergleich zu einfacheren Protokollen wie FTP oder WebDAV, die im Grunde genommen sehr kleine GET/haben PUT-Schnittstellen und sind vollständig in isolierten Userspace-Prozessen implementiert. SMB ist ein viel komplexeres Protokoll, das tief in die wichtigsten Windows-Dienste integriert ist.

Die komplexere Natur von SMB (und die Sicherheit/Integrität bis mindestens Version 2 ist sehr gering) bedeutet, dass viele kritische Fehler ausgenutzt wurden, und die enge Integration mit Windows bedeutet, dass diese Exploits sehr gefährlich.

Also, nein, nicht öffnen SMB ins Internet

38
shodanshok

Tu es einfach nicht. Wenn jemand Sie darum bittet, würde ich dringend empfehlen, nein zu sagen und schnell wegzulaufen.

Sie könnten diese Art von Dienst technisch über ein VPN bereitstellen, aber wenn es über eine signifikante Entfernung über WAN) ist, wird es mit ziemlicher Sicherheit wie totaler Müll funktionieren.

Es gibt weit überlegene Dienste für die Remote- und lokale Dateifreigabe, die Sie bereitstellen können. Betrachten Sie Amazon Storage Gateway oder Google Storage. Mit diesen Lösungen können Cloud-Speicherkonten intern an Dateiserver angehängt werden, sodass eine hybride Speicherwolke synchronisiert werden kann, wo immer sie benötigt wird. Es ist schnell und sicher, und Remotebenutzer müssen nicht auf Ihren Dateiserver zugreifen, um Remotedateien abzurufen, während interne Benutzer nicht auf Ihre WAN -Pipe) klicken müssen, um diese zu erreichen Dateien. Diese Lösungen entlasten Sie als Administrator erheblich und stellen sie in eine Cloud, die die Last unabhängig von der jeweiligen Situation bewältigen kann.

8
Spooler

Gibt es einen Grund? Das überlasse ich dir.

  1. Es kann getan werden. Öffnen Sie Port 445 und config SMB und Sie können über das Internet auf Ihre freigegebenen Ordner zugreifen, ähnlich wie Sie es über Ihr lokales Netzwerk tun würden.

  2. Es wird sehr langsam sein, da das Protokoll nicht für eine solche Umgebung ausgelegt ist.

  3. Es sind Sicherheitsrisiken bekannt. IP-Einschränkung könnte helfen.

6
jarvis

Nein. Lassen Sie die Mindestanzahl der Ports dem Internet ausgesetzt. Wenn Sie SMB für etwas verwenden müssen (Übertragen von Dateien mit einer vertrauenswürdigen anderen Partei, mit Authentifizierung und Zeitstempeln für jede ausgeführte Aktion)), richten Sie ein VPN ein, mit dem diese eine Verbindung herstellen können, bevor Sie ein = erstellen SMB Verbindung.

6