Alternativas de puerto SMB para acceso remoto

SMB (Server Message Block) se conocía originalmente como Common Internet File System (CIFS). El protocolo SMB admite la asignación de unidades a través del puerto heredado 139 para NetBIOS o el puerto 445 a través de TCP. SMB es un protocolo de uso compartido de archivos que permite el acceso a unidades asignadas utilizando herramientas nativas integradas en PC con Windows, como "Net Use".

Con el tiempo, el protocolo SMB se actualizó para mejorar la seguridad (SMB1/CIFS), reducir la conversación (SMB2) y mejorar el rendimiento (SMB3).

Preocupaciones de seguridad de las PYMES

Por lo general, los proveedores de servicios de Internet bloquean los puertos SMB para evitar problemas de seguridad y malware al evitar el acceso directo a la unidad mapeada remota a través del puerto SMB 445. SMB requiere que el puerto 445 esté abierto, que es propenso a malware, incluidos delincuentes infames como Wannacry, Sasser , Nimda, Petya/NotPetya y más. Si los puertos SMB están abiertos, una computadora infectada buscará en su red de Windows recursos compartidos del servidor que acepten tráfico en los puertos TCP 135-139 o 445, lo que indica que el sistema está configurado para ejecutar SMB. Es una preocupación constante y una pesadilla recurrente pensar en tener los puertos 137-139 y/o el puerto 445 abiertos a Internet esperando el próximo exploit, razón por la cual siempre están bloqueados.

El protocolo SMB no tiene opciones integradas para evitar que los archivos se cifren o cambien de nombre, alertar o detectar ataques de ransomware. Esto significa que el ransomware como WannaCry puede propagarse automáticamente sin la participación de la víctima.

Acceso remoto al puerto SMB

Para facilitar el acceso remoto a las unidades mapeadas, las empresas a menudo otorgan acceso a los puertos SMB a través de un túnel VPN. Esto proporciona cierto nivel de seguridad; sin embargo, además del puerto SMB 445, se necesitan otros puertos para permitir que las PC remotas autentiquen y resuelvan nombres de servidores y recursos compartidos internamente. Esto aumenta la superficie de ataque para malware y ransomware potenciales y agrega una carga de soporte adicional para el personal de TI que necesita mantener y brindar soporte a unidades asignadas remotas para los usuarios. Si bien el filtrado de direcciones MAC se puede usar para limitar el acceso al puerto SMB, esto aumenta aún más la complejidad de administrar el acceso remoto a archivos compartidos y los costos de soporte asociados.

PYME/QUIC

¿Disponible pronto? Hemos estado siguiendo el protocolo SMB/QUIC con bastante interés y, como socios de los equipos de Microsoft Azure File Shares, lo conocemos desde hace un tiempo. Inicialmente, solo está disponible en máquinas virtuales Windows 2022 basadas en Azure. Nuestro pensamiento es parte de la razón es la mayoría de los proveedores de firewall/seguridad aún no admiten el protocolo QUIC de enrutamiento y aún no se sienten cómodos enrutándolo, ya que no pueden inspeccionar el tráfico de red dentro de los paquetes UDP https, no pueden restringir el acceso mediante políticas de firewall y no pueden implementar el registro y la generación de informes. SMB sobre QUIC podría ser útil a corto plazo para redes internas basadas en LAN, como el tráfico de recursos compartidos de archivos de Azure, ya que estaría en un entorno de red controlado y podría acelerar y asegurar el acceso interno a recursos compartidos de archivos SMB. Por lo que estamos viendo, incluso si los proveedores de firewall y los ISP se unen, no muchas empresas están dispuestas a permitir el mapeo de sus redes internas compartidas directamente a través de Internet sin ninguna seguridad de front-end, bloqueo de tipo de archivo, restricciones de tamaño o tráfico. capacidades de inspección y generación de informes.

El protocolo SMB ha existido desde 1983, con nuevos exploits encontrados año tras año durante décadas. Las empresas, con razón, se mantendrán cautelosas al permitir el acceso directo a cualquier recurso interno desde redes externas a través del protocolo SMB/QUIC.

Mientras tanto, MyWorkDrive ya convierte archivos compartidos SMB/CIFS basados en Windows en archivos seguros. recursos compartidos de archivos al que se puede acceder desde cualquier lugar utilizando TCP https/SSL puerto 443 sobre protocolos compatibles con RSA 4096 y TLS 1.2 FIPS altamente encriptados que están disponibles y soportados hoy.

MyWorkDrive admitirá SMB de cualquier manera y continuará admitiendo nuestro acceso basado en navegador web, Windows Mapped Drive y clientes móviles a medida que el protocolo SMB evolucione junto con nuestra conectividad a Azure File Shares o Blob Storage mediante Azure AD Authentication (Entra) a través de API.