¿Puede SMBv1 estar seguro si se usa solo para el descubrimiento del servidor SMB?

0

Me di cuenta de que mis recursos SMB de un servidor Samba ya no aparecían en la exploración de red de Windows 10 (entorno de red) en el explorador de archivos de Windows. La razón resultó ser que esta funcionalidad originalmente dependía de SMBv1 para funcionar, que parece haberse instalado y habilitado de forma predeterminada hasta Windows 10 1703, pero que desde entonces se ha ido a utilizar WS-Discovery. Samba no parece apoyar este último.

¿Cuáles son las implicaciones de seguridad de un cliente SMBv1 que solo usa el protocolo para descubrir los servicios de red SMB, sin hacer una conexión a un servidor? Esta publicación del blog enumera varias vulnerabilidades, pero no sé basta sobre SMB para determinar si se aplican solo a un cliente SMBv1 que se conecta / conecta a un servidor, o si se aplica incluso si solo se queda ahí tratando de descubrir servidores sin intentar conectarse.

    
pregunta Andreas 26.10.2018 - 16:12
fuente

1 respuesta

-1

NO USE SMBv1. Ha estado en desuso durante tanto tiempo que realmente tiene que habilitarlo manualmente en Windows para que esto funcione. Es terriblemente lento, inseguro y expone a ese host a explotaciones que han existido en Internet durante más de 2 décadas ... NO LO USE.

EDITAR:

SMBv2 fue una reescritura completa de SMBv1. Cada referencia a las "versiones" de SMB de orden superior no es más que un dialecto de SMB2 (por ejemplo, SMB 3.1 es solo un dialecto de SMB2). Como ejemplo de las diferencias:

  • SMB1 envía un paquete por comando del sistema de archivos. SMB2 envía múltiples comandos por paquete.

  • SMB1 tiene más de 100 comandos específicos. SMB2 tiene como 12 (puede que no sea del todo exacto, pero el número es muy bajo).

Son esencialmente protocolos diferentes. No encienda SMBv1. Está exponiendo a su host a una gran cantidad de vulnerabilidades por el bien de una función que podría sortear al proporcionar un mapeo de unidades al recurso compartido.

Edición final para tratar las ediciones del OP:

El problema con SMBv1 es SMB Relay Attacks y, en última instancia, el atacante está cosechando las credenciales que lo utilizan.

Windows proporciona una forma de requerir la firma digital de las comunicaciones de red, específicamente relacionadas con las comunicaciones SMB.

Establezca esta política en habilitada para todas las comunicaciones SMBv1 en la política local o directiva de grupo: Cliente de red de Microsoft: firme digitalmente las comunicaciones (siempre)

Esto probablemente interrumpirá el acceso a su servidor SAMBA a menos que pueda configurarlo para que también firme digitalmente las comunicaciones SMBv1.

FWIW, y si no lo hubiera dejado claro, no recomiendo usar SMBv1 debido a sus ineficiencias e inseguridades. En el momento en que configura esto incorrectamente en un solo host, ha habilitado una de las vulnerabilidades más comúnmente explotadas que existen hoy en día en una red. Buena suerte.

    
respondido por el thepip3r 26.10.2018 - 16:15
fuente

Lea otras preguntas en las etiquetas