È possibile proteggere SMBv1 se utilizzato solo per il rilevamento di server SMB?

0

Ho notato che le mie condivisioni SMB da un server Samba non comparivano più nella navigazione in rete di Windows 10 (ambiente di rete) in Windows File Explorer. Il motivo è che questa funzionalità si è basata inizialmente su SMBv1 per funzionare - che sembra essere stata installata e abilitata di default fino a Windows 10 1703 - ma da allora è passata a utilizzare WS-Discovery. Samba non sembra supportare quest'ultimo.

Quali sono le implicazioni per la sicurezza di un client SMBv1 che utilizza il protocollo solo per rilevare i servizi di rete SMB, senza effettivamente effettuare una connessione a un server? Questo post del blog elenca diverse vulnerabilità, ma non lo so abbastanza su SMB per determinare se si applicano solo a un client SMBv1 che si connette / si connette a un server, o se si applica anche se sta semplicemente lì a cercare di scoprire i server senza provare a connettersi.

    
posta Andreas 26.10.2018 - 16:12
fonte

1 risposta

-1

NON USARE SMBv1. È stato deprecato per così tanto tempo che è necessario abilitarlo manualmente su Windows per farlo funzionare. È terribilmente lento, insicuro e espone quell'host agli exploit che sono esistiti su Internet da oltre 2 decenni ... NON USARLO.

EDIT:

SMBv2 era una completa riscrittura di SMBv1. Ogni riferimento alle "versioni" SMB di ordine superiore non è altro che un dialetto di SMB2 (ad esempio SMB 3.1 è solo un dialetto di SMB2). Come esempio delle differenze:

  • SMB1 invia un pacchetto per comando di file system. SMB2 invia più comandi per pacchetto.

  • SMB1 ha oltre 100 comandi specifici. A SMB2 piace 12 (che potrebbe non essere del tutto preciso, ma il numero è molto basso).

Sono essenzialmente protocolli diversi. Non attivare SMBv1. Stai esponendo il tuo host a un'intera serie di vulnerabilità per una funzione che potresti ottenere fornendo una mappatura dell'unità alla condivisione.

Modifica finale per indirizzare le modifiche dell'OP:

Il problema con SMBv1 è SMB Relay Attacks e in definitiva l'utente malintenzionato che raccoglie le credenziali che lo utilizzano.

Windows offre un modo per richiedere la firma digitale delle comunicazioni di rete, in particolare relative alle comunicazioni SMB.

Impostare questo criterio su Abilitato per tutte le comunicazioni SMBv1 in Criteri locali o Criteri di gruppo: Client di rete Microsoft: aggiungi firma digitale alle comunicazioni (sempre)

Questo probabilmente interromperà l'accesso al tuo server SAMBA a meno che tu non possa configurarlo anche per firmare digitalmente comunicazioni SMBv1.

FWIW, e se non l'avessi chiarito, non consiglio l'uso di SMBv1 alla luce delle sue inefficienze e insicurezze. Nel momento in cui si configura questo comportamento su un singolo host, è stata abilitata una delle vulnerabilità più comunemente sfruttate che esistono oggi su una rete. Buona fortuna.

    
risposta data 26.10.2018 - 16:15
fonte

Leggi altre domande sui tag