인터넷을 통해 SMB를 허용 할 이유가 있습니까?

19

저는 호스팅 회사의 관리자이며 Windows 서버에 많은 고객이 있지만 주로 Linux 시스템을 다루고 있습니다.

필자의 경우 로컬 LAN의 파일 / 인쇄 서버에 SMB 만 사용했습니다.

SMB를 개방해야 할 이유가 있습니까? 인터넷에 노출 해야하는 실제 이유를 들어 보지 못했습니다. 알지 못하는 Windows 항목이 필요합니까?

— 매드 러쉬
소스

9

wannacrySMB 프로토콜의 취약점을 주로 악용 한 최근 (2017 년 5 월) 전폭적 인 사이버 공격에 대해 들어 보셨습니까 ? en.wikipedia.org/wiki/WannaCry_ransomware_attack . 잘 생각 해봐 !

— krisFR

5

Is there any reason to allow SMB over the internet?-이것은 일종의 개방형 질문입니다. 거기에 있는 이유는? 혹시. 그러나 실용적인 목적을 위해 아무런 이유가 없습니다.

— joeqwerty

최근에 발생한 대규모 공격에 대해 심각하게 알고 있으므로 기본적으로 사용하지 않는 이유가 궁금합니다. 그것은 아마도 그것을 열 이유가 없을 것 같지만, 많은 Windows 사람들이해야 할 일이 있는지 궁금합니다.

— MadRush

4

귀하의 질문과 위의 의견이 일치하지 않습니다. "SMB를 개방해야 할 이유가 있습니까?" 질문이 불분명합니다. 아웃 바운드 인터넷 액세스를 통해 인바운드 SMB (SMB 서버) 또는 워크 스테이션에서 SMB 로의 아웃 바운드 연결을 요청하고 있습니까? 인바운드 인 경우 왜 "기본적으로 열려 있습니다"라고 말합니까? 방화벽은 기본적으로 인바운드 SMB 트래픽을 허용하지 않아야합니다. SMB 서버 서비스를 실행하는 서버 / VM은 방화벽을 구성하지 않으면 에지 방화벽에서이 트래픽을 인바운드로 허용하지 않습니다.

— TheCleaner

3

1998 년쯤 인터넷에 전화 접속했을 때 인터넷에 전화를 걸었을 때 ISP의 프린터가 Windows에 표시되는 것을보고 놀랐습니다. 나는 그들에게 인쇄를 시도하지 않았다 – 나는 완성 된 인쇄 작업을 어디에서 수령해야할지 몰랐다!

— Craig McQueen

36

SMB는 파일 공유 프로토콜이므로 파일 공유를 위해 인터넷에 공개되어 있습니다.

그러나 이것은 매우 나쁜 생각입니다. 기본적으로 매우 작은 GET / PUT 인터페이스를 가지고 있으며 격리 된 사용자 공간 프로세스로 완전히 구현되는 FTP 또는 WebDAV와 같은 간단한 프로토콜에 비해 SMB는 훨씬 복잡한 프로토콜이며 핵심 Windows 서비스에 깊게 통합되어 있습니다.

SMB의 복잡한 특성 (최소 버전 2까지 보안 / 무결성이 매우 낮음)은 많은 중요한 결함이 악용되었음을 의미하며 Windows와의 긴밀한 통합으로 인해 악용이 매우 위험합니다.

그래서, 더, 인터넷에 열지 SMB를하지 않는다

— 쇼 단쇼
소스

1

SMBv2에 대해서도 같은 말을 하시겠습니까?

— 메흐 다드

1

서명이 활성화 된 SMBv2는 매우 안전하지만 프로토콜 다운 그레이드 공격을 방지 하려면 이전 SMB 버전을 비활성화 해야합니다 . 어쨌든, 나는 인터넷에 SMB 기반의 어떤 것도 출판 하지 않을 것 입니다. 공격 영역은 너무 커서 핵심 Windows 서비스와의 긴밀한 통합으로 인해 최종 악용은 치명적입니다.

— shodanshok

삼바에서 실행 되더라도?

— grawity

1

Samba는 Windows보다 훨씬 안전합니다. 그러나 중요한 버그는 Samba에서도 발생합니다 . 따라서 SMB를 인터넷에 노출시키는 것은 큰 보안 실수라고 생각합니다. 최소한 소스 IP를 필터링하여 소수의 IP 만 허용해야합니다.

— shodanshok

8

하지 마십시오. 누군가 당신에게 요청하면, 그들에게 말하지 말고 빨리 도망가는 것이 좋습니다.

기술적으로 VPN을 통해 이러한 종류의 서비스를 제공 할 수 있지만 WAN을 통해 상당한 거리를 넘어 서면 거의 총 쓰레기처럼 작동 할 것입니다.

제공 할 수있는 원격 및 로컬 파일 공유를 달성하기위한 훨씬 우수한 서비스가 있습니다. Amazon Storage Gateway 또는 Google 스토리지를 고려하십시오. 이러한 솔루션을 사용하면 클라우드 스토리지 계정을 사내 파일 서버에 연결할 수 있으므로 누구나 필요할 때 동기화 할 수있는 하이브리드 스토리지 클라우드가 가능합니다. 빠르고 안전하며 원격 사용자는 원격 파일을 얻기 위해 파일 서버를 누르지 않아도되며 사내 사용자는 동일한 파일을 얻기 위해 WAN 파이프를 칠 필요가 없습니다. 이러한 솔루션은 관리자의 큰 부담을 겪고 무엇이든로드를 처리 할 수있는 클라우드에 배치합니다.

— 스풀러
소스

6

아니요. 인터넷에 노출되는 최소 포트 수를 유지하십시오. 무언가를 위해 SMB를 사용해야하는 경우 (모든 작업에서 인증 및 타임 스탬프가있는 신뢰할 수있는 상대방과 파일 전송) SMB 연결을하기 전에 VPN이 연결되도록 설정하십시오.

— 크리스토퍼 인질
소스

VPN을 사용 하지 않는다는 생각은 마음을 혼란스럽게합니다.

— RonJohn

@ RonJohn : 보안 허점에 대해 모른다면 꽤 합리적인 생각입니다. 결국 비밀번호 인증이 필요합니다.

— Mehrdad

인증이 필요하지만 암호화를 의미하지는 않습니다. 그것들은 두 가지 별도의 메커니즘입니다. 대부분의 경우 암호화는 암호가 아닌 키를 통해 처리되는 반면 암호는 일반적으로 암호화 된 터널이 설정되면 사용자 계정으로 인증하는 데 사용됩니다. 위에서 설명한 것은 일반적인 모델이지만 물론 이런 식으로 디자인 할 필요는 없습니다.

— 스풀러

5

이유가 있습니까? 나는 당신에게 맡길 것입니다.

할 수 있습니다. 포트 445 및 구성 SMB를 열고 로컬 네트워크를 통한 방법과 유사한 방법으로 인터넷을 통해 공유 폴더에 액세스 할 수 있습니다.
프로토콜이 그러한 환경에서 작동하도록 설계되지 않았기 때문에 속도가 매우 느려질 것입니다.
알려진 보안 위험이 있습니다. IP 제한이 도움이 될 수 있습니다.

— 자비스
소스