¿Es peligroso permitir el tráfico SMB a Internet?

5

SMB es un conocido protocolo de intercambio de archivos en red, y asumo que se supone que se debe usar solo internamente. En mi empresa, encontré a alguien que se conectaba a un recurso compartido en un servidor en Internet a través del puerto 445 mediante SMB. ¿Existe algún riesgo en permitir tales conexiones? Estoy pensando que si alguien pudiera mitigar, podrían capturar datos confidenciales.

    
pregunta expertsnipo 28.03.2017 - 23:24
fuente

3 respuestas

2

No estoy seguro de qué sistema operativo está usando, o si / qué firewalls ha implementado, pero al exponer el servicio SMB con acceso sin filtros desde Internet está pidiendo un compromiso.

Además, un ataque de Man in the Middle sería la menor de tus preocupaciones. Alguien podría obtener fácilmente acceso de root a su computadora y, en consecuencia, a toda su red. Famoso, el ms08_067_netapi explota el servicio SMB en Windows XP en el puerto 445 usando una corrupción de pila de ruta relativa. Podría ejecutar esto fácilmente y obtener acceso a la raíz en menos de un minuto, suponiendo que conozco una dirección IP. Para cualquier atacante aleatorio, los escaneos de puertos se realizan a través de Internet de manera continua. Alguien encontrará su puerto abierto.

Le recomendaría que cierre ese puerto y encuentre una solución diferente para lo que está tratando de lograr.

    
respondido por el SuperAdmin 29.03.2017 - 00:10
fuente
2

Existe un riesgo de exponer sus credenciales a través de la implementación SMB NTLMSSP_NEGOTIATE rota, como se describe aquí: enlace

    
respondido por el Valery Marchuk 29.03.2017 - 03:22
fuente
1

Sí, es arriesgado.

Si bien no conozco ningún "exploit" que pueda haber en el mundo real, lo que sí sé es que cualquiera con el nombre de usuario y la contraseña correctos podría tener acceso a las unidades de disco expuestas.

Es de suponer que hay una cuenta de nivel de administrador en la computadora que permitiría el acceso completo.

No creo que SMB limite la velocidad a la que alguien puede ejecutar un diccionario de las contraseñas más utilizadas para intentar ingresar al Administrador, pero es posible hacerlo lentamente, incluso si lo hace.

En general, parece una mala idea hacerlo sin configurar primero un túnel cifrado de algún tipo, como una VPN. O como SCP en Linux.

    
respondido por el SDsolar 28.03.2017 - 23:28
fuente

Lea otras preguntas en las etiquetas