क्या इंटरनेट पर एसएमबी की अनुमति देने का कोई कारण है?


19

मैं एक होस्टिंग कंपनी में एक व्यवस्थापक हूं और मैं मुख्य रूप से लिनक्स मशीनों के साथ काम करता हूं, हालांकि हमारे पास विंडोज सर्वर के साथ बहुत सारे ग्राहक हैं।

अपनी क्षमता में मैंने कभी भी अपने स्थानीय LAN पर फ़ाइल / प्रिंट सर्वर के लिए SMB का उपयोग किया है।

क्या SMB को खुला छोड़ने का कोई कारण है? मैंने इसे इंटरनेट पर उजागर करने का कोई वास्तविक कारण नहीं सुना है, क्या कोई ऐसी विंडोज चीज है जिससे मैं अनजान हूं, इसके लिए इसकी आवश्यकता है?


9
क्या आपने हाल ही में (मई 2017) के बारे में सुना है कि साइबर हमले को बदतर कहा जा सकता है wannacry, जिसने मुख्य रूप से एसएमबी प्रोटोकॉल में भेद्यता का शोषण किया है? en.wikipedia.org/wiki/WannaCry_ransomware_attack । ध्यान से विचार करें !
krisFR

5
Is there any reason to allow SMB over the internet?- यह एक तरह का खुला सवाल है। क्या कोई कारण है? संभवतः। व्यावहारिक उद्देश्यों के लिए, हालांकि, कोई कारण नहीं है।
joeqwerty

मुझे बड़े पैमाने पर होने वाले हमलों के बारे में गहराई से पता है, यही कारण है कि मैं सोच रहा हूं कि इसे डिफ़ॉल्ट रूप से अक्षम क्यों नहीं किया जाए। यह सिर्फ मुझे लगता है कि सबसे अधिक संभावना है कि इसे खोलने का कोई कारण नहीं है, लेकिन मैं उत्सुक हूं कि अगर ऐसा कुछ है जो बहुत सारे विंडोज लोग कर रहे हैं, तो इसकी आवश्यकता होती है।
माद्रश

4
आपका सवाल और फिर आपकी टिप्पणी ऊपर काफी लाइन नहीं है। आप कहते हैं "क्या एसएमबी को खुला छोड़ने का कोई कारण है?" आपका प्रश्न अस्पष्ट है। क्या आप इनबाउंड SMB (SMB सर्वर) के बारे में पूछ रहे हैं या आउटबाउंड इंटरनेट एक्सेस पर SMB के वर्कस्टेशन कनेक्शन से आउटबाउंड? यदि इनबाउंड है, तो आप क्यों कहते हैं "यह डिफ़ॉल्ट रूप से खुला है"? डिफ़ॉल्ट रूप से फ़ायरवॉल इनबाउंड SMB ट्रैफ़िक की अनुमति नहीं देनी चाहिए। सर्वर / VM SMB सर्वर सेवा चलाने वाला हो सकता है, लेकिन किनारे का फ़ायरवॉल इस ट्रैफ़िक को तब तक अनुमति नहीं देगा जब तक फ़ायरवॉल को ऐसा करने के लिए कॉन्फ़िगर नहीं किया गया था।
क्लेयरर

3
1998 या इसी तरह, जब इंटरनेट एक्सेस डायल-अप हुआ, तो मुझे एक दिन यह देखकर आश्चर्य हुआ कि जब मैंने इंटरनेट पर डायल किया तो मेरे आईएसपी के प्रिंटर विंडोज में दिखाई दे रहे थे। मैंने कभी भी उन पर मुद्रण की कोशिश नहीं की - मुझे नहीं पता कि मुझे अपना प्रिंटेड काम कहां से लेना है!
क्रेग मैकक्वीन

जवाबों:


36

एसएमबी एक फाइल शेयरिंग प्रोटोकॉल है और जैसे, यह कुछ समय के लिए इंटरनेट के लिए खुला छोड़ दिया जाता है, अच्छी तरह से, फाइलों को साझा करना।

हालाँकि, यह एक बहुत बुरा विचार है। FTP या WebDAV के रूप में सरल प्रोटोकॉल की तुलना में, जो मूल रूप से बहुत छोटे GET / PUT इंटरफेस हैं और पूरी तरह से अलग-थलग यूजरस्पेस प्रक्रियाओं में कार्यान्वित किए जाते हैं, SMB एक अधिक जटिल प्रोटोकॉल है, जो गहन रूप से कोर विंडोज सेवाओं में एकीकृत है।

एसएमबी की अधिक जटिल प्रकृति (और कम से कम संस्करण 2 तक यह बहुत कम सुरक्षा / अखंडता है) का मतलब है कि कई महत्वपूर्ण खामियों का फायदा उठाया गया था, और विंडोज के साथ इसका तंग एकीकरण का मतलब है कि ये शोषण बहुत खतरनाक थे ।

तो, नहीं, इंटरनेट पर एसएमबी न खोलें


1
क्या आप SMBv2 के बारे में भी यही बात कहेंगे?
मेहरदाद

1
सक्षम हस्ताक्षर के साथ SMBv2 काफी सुरक्षित है, लेकिन प्रोटोकॉल-डाउनग्रेड हमले को रोकने के लिए आपको पिछले SMB संस्करण को अक्षम करना होगा । वैसे भी, मैं इंटरनेट पर एसएमबी-आधारित कुछ भी प्रकाशित नहीं करूंगा : हमले की सतह बस बहुत बड़ी है और, कोर विंडोज सेवाओं के साथ तंग एकीकरण के कारण, अंतिम कारनामे बस विनाशकारी हैं।
षोडशशोक

भले ही यह सांबा पर चलता हो?
user1686

1
सांबा निश्चित रूप से अपने विंडोज समकक्ष की तुलना में कुछ अधिक सुरक्षित है। हालाँकि, गंभीर कीड़े सांबा पर भी होते हैं । इसलिए, मेरा मानना ​​है कि एसएमबी को इंटरनेट पर उजागर करना एक बड़ी सुरक्षा गलती है। बहुत कम से कम आपको स्रोत आईपी को फ़िल्टर करना चाहिए, केवल बहुत कम आईपी को सफ़ेद करना।
षोडशशोक

8

बस यह मत करो। अगर कोई भी आपको ऐसा करने के लिए कहता है, तो मैं दृढ़ता से उन्हें नहीं बताने और तेजी से भागने की सलाह दूंगा।

आप तकनीकी रूप से एक वीपीएन के ऊपर इस तरह की सेवा प्रदान कर सकते हैं, लेकिन अगर यह वान से अधिक महत्वपूर्ण दूरी पर है तो यह निश्चित रूप से कुल कचरा की तरह प्रदर्शन करने वाला है।

दूरस्थ और स्थानीय फ़ाइल साझाकरण को पूरा करने के लिए बहुत बेहतर सेवाएँ हैं जो आप प्रदान कर सकते हैं। अमेज़ॅन स्टोरेज गेटवे, या Google संग्रहण पर विचार करें। ये समाधान क्लाउड स्टोरेज खातों को फाइल-इन-हाउस में संलग्न करने की अनुमति देते हैं, जिससे हाइब्रिड स्टोरेज क्लाउड को सक्षम किया जाता है जो किसी को भी इसकी आवश्यकता होती है। यह तेज़ और सुरक्षित है, और दूरस्थ उपयोगकर्ताओं को दूरस्थ फ़ाइलों को प्राप्त करने के लिए आपके फाइलरवर को हिट करने की आवश्यकता नहीं है, जबकि इन-हाउस उपयोगकर्ताओं को उन्हीं फ़ाइलों को प्राप्त करने के लिए आपके WAN पाइप को हिट करने की आवश्यकता नहीं है। ये समाधान आपको व्यवस्थापक से एक बड़ा बोझ लेते हैं, और इसे एक बादल में डालते हैं जो लोड को संभाल सकता है, चाहे जो भी हो।


6

नहीं। इंटरनेट के संपर्क में आने वाले बंदरगाहों की न्यूनतम संख्या को छोड़ दें। यदि आपको किसी चीज़ के लिए SMB का उपयोग करने की आवश्यकता है (किसी विश्वसनीय पार्टी के साथ फ़ाइलों को स्थानांतरित करना, प्रमाणीकरण और टाइमस्टैम्प के साथ हर कार्रवाई पर), तो SMB कनेक्शन करने से पहले कनेक्ट करने के लिए उनके लिए एक वीपीएन सेट करें।


एक वीपीएन का उपयोग न करने का विचार सिर्फ दिमाग को चकरा देता है।
रॉनजॉन

@ रॉन जॉन: यदि आप सुरक्षा छेद के बारे में नहीं जानते हैं तो यह बहुत ही उचित विचार है। यह सब के बाद पासवर्ड प्रमाणीकरण की आवश्यकता है।
मेहरदाद

जबकि इसे प्रमाणीकरण की आवश्यकता होती है, यह एन्क्रिप्शन नहीं करता है। वे दो अलग तंत्र हैं। ज्यादातर मामलों में, एन्क्रिप्शन पासवर्ड के बजाय कुंजी के माध्यम से नियंत्रित किया जाता है, जबकि पासवर्ड आमतौर पर एन्क्रिप्टेड सुरंग स्थापित होने के बाद उपयोगकर्ता खातों के साथ प्रमाणित करने के लिए उपयोग किया जाता है। जबकि मैं जो ऊपर वर्णित करता हूं वह एक सामान्य मॉडल है, इस तरह से डिजाइन करने की आवश्यकता नहीं है, निश्चित रूप से।
स्पूलर

5

क्या कोई कारण है? मैं तुम्हें छोड़ दूंगा।

  1. यह किया जा सकता है। पोर्ट 445 खोलें और SMB को कॉन्फ़िगर करें और आप अपने साझा किए गए फ़ोल्डरों को इंटरनेट पर समान रूप से एक्सेस कर सकते हैं कि आप इसे अपने स्थानीय नेटवर्क पर कैसे करेंगे।

  2. यह बहुत धीमा होने जा रहा है क्योंकि प्रोटोकॉल ऐसे वातावरण पर काम करने के लिए डिज़ाइन नहीं किया गया था।

  3. ज्ञात सुरक्षा जोखिम हैं। आईपी ​​प्रतिबंध मदद कर सकता है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.