web-dev-qa-db-fra.com

Est-il risqué d'autoriser SMB le trafic vers Internet

SMB est un protocole de partage de fichiers réseau bien connu, et je suppose qu'il est censé être utilisé uniquement en interne. Dans mon entreprise, j'ai trouvé quelqu'un se connectant à un partage sur un serveur sur Internet via le port 445 à l'aide de SMB. Y a-t-il un risque à autoriser de telles connexions? Je pense que si quelqu'un était capable de MitM, il pourrait capturer des données sensibles.

7
expertsnipo

Je ne sais pas quel système d'exploitation vous utilisez, ni si/quels pare-feu vous avez mis en œuvre, mais exposer le service SMB avec un accès non filtré à partir d'Internet demande à être compromis.

En outre, une attaque d'homme au milieu serait le moindre de vos soucis. Quelqu'un pourrait facilement obtenir un accès root à votre ordinateur et, par conséquent, à l'ensemble de votre réseau. De manière connue, le ms08_067_netapi exploite le service SMB sous Windows XP sur le port 445 en utilisant une corruption de pile de chemins relative. Je pourrais facilement l'exécuter et obtenir un accès root en moins d'une minute en supposant que je connais une adresse IP. Pour tout attaquant aléatoire, les analyses de port sont effectuées en continu sur Internet. Quelqu'un trouvera votre port ouvert.

Je vous recommande de fermer ce port et de trouver une solution différente pour ce que vous essayez d'accomplir.

2
SuperAdmin

Il existe un risque d'exposer vos informations d'identification via une implémentation de SMB NTLMSSP_NEGOTIATE cassée, comme décrit ici: https://www.cybersecurity-help.cz/blog/167.html =

2
Valery Marchuk

Oui, c'est risqué.

Bien que je ne connaisse aucun "exploit" qui pourrait exister dans la nature, ce que je sais, c'est que toute personne possédant le bon nom d'utilisateur et le bon mot de passe pourrait avoir accès aux lecteurs de disque qui sont exposés.

Vraisemblablement, il y a un compte de niveau administrateur sur l'ordinateur qui permettrait un accès complet.

Je ne crois pas SMB limite la vitesse à laquelle quelqu'un pourrait exécuter un dictionnaire des mots de passe les plus utilisés pour essayer d'accéder à l'administrateur, mais il est possible de le faire lentement, même s'il le fait .

Dans l'ensemble, cela semble être une mauvaise idée de le faire sans d'abord configurer un tunnel crypté d'une sorte comme un VPN. Ou comme SCP sous Linux.

1
SDsolar