È rischioso consentire il traffico SMB su Internet

5

SMB è un protocollo di condivisione file di rete noto e presumo che debba essere usato solo internamente. Nella mia azienda ho trovato qualcuno che si collega a una condivisione su un server su Internet tramite la porta 445 utilizzando SMB. C'è qualche rischio nel consentire tali connessioni? Sto pensando che se qualcuno fosse in grado di MitM sarà in grado di acquisire dati sensibili.

    
posta expertsnipo 28.03.2017 - 23:24
fonte

3 risposte

2

Non sono sicuro di quale sistema operativo si sta utilizzando o se / quali firewall sono stati implementati, ma l'esposizione del servizio SMB con accesso non filtrato da Internet richiede di essere compromessa.

Inoltre, un attacco Man in the Middle sarebbe l'ultima delle tue preoccupazioni. Qualcuno potrebbe facilmente ottenere l'accesso come root al tuo computer e di conseguenza all'intera rete. Notoriamente, ms08_067_netapi sfrutta il servizio SMB su Windows XP sulla porta 445 utilizzando un correttore relativo allo stack del percorso. Potrei facilmente eseguirlo e ottenere l'accesso come root in meno di un minuto presumendo di conoscere un indirizzo IP. Per qualsiasi utente malintenzionato, le scansioni delle porte vengono eseguite su Internet in modo continuo. Qualcuno troverà il tuo porto aperto.

Ti consigliamo di chiudere quella porta e trovare una soluzione diversa per ciò che stai cercando di realizzare.

    
risposta data 29.03.2017 - 00:10
fonte
2

Esiste il rischio di esporre le credenziali tramite l'implementazione SMB NTLMSSP_NEGOTIATE, come descritto qui di seguito: link

    
risposta data 29.03.2017 - 03:22
fonte
1

Sì, è rischioso.

Anche se non conosco alcun "exploit" che potrebbe esserci là fuori in natura, quello che so è che chiunque abbia il nome utente e la password corretti potrebbe ottenere l'accesso alle unità disco esposte.

Presumibilmente sul computer è presente un account a livello di amministratore che consente l'accesso completo.

Non credo che SMB limiti la velocità con cui qualcuno potrebbe eseguire un dizionario delle password più utilizzate per cercare di entrare in Administrator, ma è possibile farlo lentamente, anche se lo fa.

Tutto sommato, sembra una cattiva idea farlo senza prima impostare un tunnel crittografato di qualche tipo come una VPN. O come SCP in Linux.

    
risposta data 28.03.2017 - 23:28
fonte

Leggi altre domande sui tag