인터넷을 통해 SMB를 허용 할 이유가 있습니까?


19

저는 호스팅 회사의 관리자이며 Windows 서버에 많은 고객이 있지만 주로 Linux 시스템을 다루고 있습니다.

필자의 경우 로컬 LAN의 파일 / 인쇄 서버에 SMB 만 사용했습니다.

SMB를 개방해야 할 이유가 있습니까? 인터넷에 노출 해야하는 실제 이유를 들어 보지 못했습니다. 알지 못하는 Windows 항목이 필요합니까?


9
wannacrySMB 프로토콜의 취약점을 주로 악용 한 최근 (2017 년 5 월) 전폭적 인 사이버 공격에 대해 들어 보셨습니까 ? en.wikipedia.org/wiki/WannaCry_ransomware_attack . 잘 생각 해봐 !
krisFR

5
Is there any reason to allow SMB over the internet?-이것은 일종의 개방형 질문입니다. 거기에 있는 이유는? 혹시. 그러나 실용적인 목적을 위해 아무런 이유가 없습니다.
joeqwerty

최근에 발생한 대규모 공격에 대해 심각하게 알고 있으므로 기본적으로 사용하지 않는 이유가 궁금합니다. 그것은 아마도 그것을 열 이유가 없을 것 같지만, 많은 Windows 사람들이해야 할 일이 있는지 궁금합니다.
MadRush

4
귀하의 질문과 위의 의견이 일치하지 않습니다. "SMB를 개방해야 할 이유가 있습니까?" 질문이 불분명합니다. 아웃 바운드 인터넷 액세스를 통해 인바운드 SMB (SMB 서버) 또는 워크 스테이션에서 SMB 로의 아웃 바운드 연결을 요청하고 있습니까? 인바운드 인 경우 왜 "기본적으로 열려 있습니다"라고 말합니까? 방화벽은 기본적으로 인바운드 SMB 트래픽을 허용하지 않아야합니다. SMB 서버 서비스를 실행하는 서버 / VM은 방화벽을 구성하지 않으면 에지 방화벽에서이 트래픽을 인바운드로 허용하지 않습니다.
TheCleaner

3
1998 년쯤 인터넷에 전화 접속했을 때 인터넷에 전화를 걸었을 때 ISP의 프린터가 Windows에 표시되는 것을보고 놀랐습니다. 나는 그들에게 인쇄를 시도하지 않았다 – 나는 완성 된 인쇄 작업을 어디에서 수령해야할지 몰랐다!
Craig McQueen

답변:


36

SMB는 파일 공유 프로토콜이므로 파일 공유를 위해 인터넷에 공개되어 있습니다.

그러나 이것은 매우 나쁜 생각입니다. 기본적으로 매우 작은 GET / PUT 인터페이스를 가지고 있으며 격리 된 사용자 공간 프로세스로 완전히 구현되는 FTP 또는 WebDAV와 같은 간단한 프로토콜에 비해 SMB는 훨씬 복잡한 프로토콜이며 핵심 Windows 서비스에 깊게 통합되어 있습니다.

SMB의 복잡한 특성 (최소 버전 2까지 보안 / 무결성이 매우 낮음)은 많은 중요한 결함이 악용되었음을 의미하며 Windows와의 긴밀한 통합으로 인해 악용이 매우 위험합니다.

그래서, 더, 인터넷에 열지 SMB를하지 않는다


1
SMBv2에 대해서도 같은 말을 하시겠습니까?
메흐 다드

1
서명이 활성화 된 SMBv2는 매우 안전하지만 프로토콜 다운 그레이드 공격을 방지 하려면 이전 SMB 버전을 비활성화 해야합니다 . 어쨌든, 나는 인터넷에 SMB 기반의 어떤 것도 출판 하지 않을 것 입니다. 공격 영역은 너무 커서 핵심 Windows 서비스와의 긴밀한 통합으로 인해 최종 악용은 치명적입니다.
shodanshok

삼바에서 실행 되더라도?
grawity

1
Samba는 Windows보다 훨씬 안전합니다. 그러나 중요한 버그는 Samba에서도 발생합니다 . 따라서 SMB를 인터넷에 노출시키는 것은 큰 보안 실수라고 생각합니다. 최소한 소스 IP를 필터링하여 소수의 IP 만 허용해야합니다.
shodanshok

8

하지 마십시오. 누군가 당신에게 요청하면, 그들에게 말하지 말고 빨리 도망가는 것이 좋습니다.

기술적으로 VPN을 통해 이러한 종류의 서비스를 제공 할 수 있지만 WAN을 통해 상당한 거리를 넘어 서면 거의 총 쓰레기처럼 작동 할 것입니다.

제공 할 수있는 원격 및 로컬 파일 공유를 달성하기위한 훨씬 우수한 서비스가 있습니다. Amazon Storage Gateway 또는 Google 스토리지를 고려하십시오. 이러한 솔루션을 사용하면 클라우드 스토리지 계정을 사내 파일 서버에 연결할 수 있으므로 누구나 필요할 때 동기화 할 수있는 하이브리드 스토리지 클라우드가 가능합니다. 빠르고 안전하며 원격 사용자는 원격 파일을 얻기 위해 파일 서버를 누르지 않아도되며 사내 사용자는 동일한 파일을 얻기 위해 WAN 파이프를 칠 필요가 없습니다. 이러한 솔루션은 관리자의 큰 부담을 겪고 무엇이든로드를 처리 할 수있는 클라우드에 배치합니다.


6

아니요. 인터넷에 노출되는 최소 포트 수를 유지하십시오. 무언가를 위해 SMB를 사용해야하는 경우 (모든 작업에서 인증 및 타임 스탬프가있는 신뢰할 수있는 상대방과 파일 전송) SMB 연결을하기 전에 VPN이 연결되도록 설정하십시오.


VPN을 사용 하지 않는다는 생각은 마음을 혼란스럽게합니다.
RonJohn

@ RonJohn : 보안 허점에 대해 모른다면 꽤 합리적인 생각입니다. 결국 비밀번호 인증이 필요합니다.
Mehrdad

인증이 필요하지만 암호화를 의미하지는 않습니다. 그것들은 두 가지 별도의 메커니즘입니다. 대부분의 경우 암호화는 암호가 아닌 키를 통해 처리되는 반면 암호는 일반적으로 암호화 된 터널이 설정되면 사용자 계정으로 인증하는 데 사용됩니다. 위에서 설명한 것은 일반적인 모델이지만 물론 이런 식으로 디자인 할 필요는 없습니다.
스풀러

5

이유가 있습니까? 나는 당신에게 맡길 것입니다.

  1. 할 수 있습니다. 포트 445 및 구성 SMB를 열고 로컬 네트워크를 통한 방법과 유사한 방법으로 인터넷을 통해 공유 폴더에 액세스 할 수 있습니다.

  2. 프로토콜이 그러한 환경에서 작동하도록 설계되지 않았기 때문에 속도가 매우 느려질 것입니다.

  3. 알려진 보안 위험이 있습니다. IP 제한이 도움이 될 수 있습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.