Existe algum motivo para permitir o SMB pela internet?

Navegue suas respostas
18

Sou administrador em uma empresa de hospedagem e lidei principalmente com máquinas Linux, embora tenhamos muitos clientes com servidores Windows.

Na minha capacidade, sempre usei o SMB para um servidor de arquivos / impressão na minha LAN local.

Existe algum motivo para deixar o SMB aberto? Eu não ouvi falar de nenhuma razão real para tê-lo exposto à internet, existe alguma coisa do Windows que eu não saiba que isso requer?

    
por MadRush 22.09.2017 / 17:31

4 respostas

36

O SMB é um protocolo de compartilhamento de arquivos e, como tal, é deixado aberto à Internet para compartilhar arquivos.

No entanto, esta é uma idéia muito ruim. Comparado ao protocolo mais simples como FTP ou WebDAV, que basicamente tem interfaces GET / PUT muito pequenas e são inteiramente implementadas em interfaces isoladas. processos do userspace, o SMB é um protocolo muito mais complexo, profundamente integrado aos principais serviços do Windows.

A natureza mais complexa do SMB (e sua segurança / integridade é muito baixa até pelo menos a versão 2) significa que muitas falhas críticas foram exploradas e sua integração com o Windows significa que essas explorações eram muito perigosas .

Portanto, não, não abra o SMB na Internet

    
por 22.09.2017 / 22:29
8

Apenas não faça isso. Se alguém lhe pedir para fazer isso, recomendo strongmente que diga não a eles e fuja rapidamente.

Você poderia tecnicamente fornecer esse tipo de serviço através de uma VPN, mas se estiver acima de qualquer distância significativa sobre a WAN, é quase certo que ela funcionará como lixo total.

Existem serviços muito superiores para realizar o compartilhamento de arquivos local e remoto que você pode fornecer. Considere o Amazon Storage Gateway ou o Google Storage. Essas soluções permitem que contas de armazenamento em nuvem sejam anexadas a servidores de arquivos internos, permitindo uma nuvem de armazenamento híbrido que sincroniza onde quer que seja necessário. É rápido e seguro, e os usuários remotos não precisam acessar seu servidor de arquivos para obter arquivos remotos, enquanto os usuários internos não precisam acessar o seu canal WAN para acessar esses mesmos arquivos. Essas soluções cobram um grande fardo de você, o administrador, e a colocam em uma nuvem que pode lidar com a carga, não importa o quê.

    
por 22.09.2017 / 21:13
6

Não. Deixe o número mínimo de portas expostas à Internet. Se você precisar usar o SMB para algo (transferir arquivos com uma outra parte confiável, com autenticação e carimbo de data / hora em todas as ações realizadas), configure uma VPN para eles se conectarem antes de fazer uma conexão SMB.

    
por 22.09.2017 / 20:50
5

Existe algum motivo? Vou deixar isso para você.

  1. Isso pode ser feito. Abra a porta 445 e a configuração SMB e você poderá acessar suas pastas compartilhadas pela Internet, da mesma forma que faria na sua rede local.

  2. Vai ser muito lento porque o protocolo não foi projetado para funcionar em tal ambiente.

  3. Existem riscos de segurança conhecidos. Restrição de IP pode ajudar.

por 22.09.2017 / 17:57

Tags

É assim que os instantâneos do LVM funcionam? Existe uma maneira de ter uma máquina virtual com apenas um núcleo e usar três núcleos na máquina host? [duplicado]