Alternatives de port SMB pour l'accès à distance

SMB (Server Message Block) était connu à l'origine sous le nom de Common Internet File System (CIFS). Le protocole SMB prend en charge le mappage des lecteurs sur le port hérité 139 pour NetBIOS ou le port 445 sur TCP. SMB est un protocole de partage de fichiers qui permet l'accès au lecteur mappé à l'aide d'outils natifs intégrés sur les PC Windows tels que "Net Use".

Au fil du temps, le protocole SMB a été mis à jour pour améliorer la sécurité (SMB1/CIFS), réduire le bavardage (SMB2) et améliorer les performances (SMB3).

Problèmes de sécurité des PME

En règle générale, les fournisseurs de services Internet bloquent les ports SMB pour éviter les problèmes de sécurité et les logiciels malveillants en empêchant l'accès direct au lecteur mappé à distance via le port SMB 445. SMB nécessite que le port 445 soit ouvert, ce qui est sujet aux logiciels malveillants, y compris des délinquants infâmes comme Wannacry, Sasser , Nimda, Petya/NotPetya, et plus encore. Si les ports SMB sont ouverts, un ordinateur infecté recherchera sur son réseau Windows des partages de serveur acceptant le trafic sur les ports TCP 135-139 ou 445 indiquant que le système est configuré pour exécuter SMB. C'est une inquiétude constante et un cauchemar récurrent de penser à avoir les ports 137-139 et/ou le port 445 ouverts sur Internet en attendant le prochain exploit - c'est pourquoi ils sont toujours bloqués.

Le protocole SMB n'a pas d'options intégrées pour empêcher les fichiers d'être chiffrés ou renommés, alertant ou détectant les attaques de ransomware. Cela signifie que les rançongiciels tels que WannaCry peuvent se propager automatiquement sans la participation de la victime.

Accès à distance au port SMB

Pour faciliter l'accès à distance aux lecteurs mappés, les entreprises ont souvent accordé l'accès aux ports SMB via un tunnel VPN. Cela fournit un certain niveau de sécurité, mais en plus du port SMB 445, d'autres ports sont nécessaires pour permettre aux PC distants de s'authentifier et de résoudre les noms de serveur et les partages en interne. Cela augmente la surface d'attaque des logiciels malveillants et des rançongiciels potentiels et ajoute une charge de support supplémentaire au personnel informatique qui doit maintenir et prendre en charge les lecteurs mappés à distance pour les utilisateurs. Bien que le filtrage des adresses MAC puisse être utilisé pour limiter l'accès au port SMB, cela ajoute encore à la complexité de la gestion de l'accès à distance au partage de fichiers et des coûts de support associés.

PME/QUIC

Bientôt disponible? Nous suivons le protocole SMB/QUIC avec beaucoup d'intérêt et, en tant que partenaire des équipes Microsoft Azure File Shares, nous le connaissons depuis un certain temps déjà. Initialement, il n'est disponible que sur les machines virtuelles Windows 2022 basées sur Azure. Notre pensée fait partie de la raison est la plupart des fournisseurs de pare-feu/sécurité ne prennent pas encore en charge le protocole de routage QUIC et ne sont pas encore à l'aise pour le router car ils ne peuvent pas inspecter le trafic réseau à l'intérieur des paquets https UDP, ne peuvent pas restreindre l'accès à l'aide de politiques de pare-feu et ne sont pas en mesure d'implémenter la journalisation et la création de rapports. SMB sur QUIC pourrait être utile à court terme pour les réseaux LAN internes tels que le trafic des partages de fichiers Azure, car il se trouverait dans un environnement réseau contrôlé et pourrait accélérer et sécuriser l'accès au partage de fichiers SMB interne. D'après ce que nous voyons, même si les fournisseurs de pare-feu et les FAI se joignent à nous, peu d'entreprises souhaitent autoriser le mappage de leurs partages réseau internes directement sur Internet sans aucune sécurité frontale, blocage de type de fichier, restrictions de taille ou trafic. capacités d'inspection et de rapport.

Le protocole SMB existe depuis 1983, avec de nouveaux exploits trouvés année après année pendant des décennies. Les entreprises resteront légitimement prudentes lorsqu'elles autoriseront un accès direct à toute ressource interne à partir de réseaux externes via le protocole SMB/QUIC.

En attendant, MyWorkDrive convertit déjà les partages de fichiers SMB/CIFS basés sur Windows en fichiers sécurisés. partages de fichiers accessible n'importe où à l'aide du port TCP https/SSL 443 sur des protocoles hautement cryptés RSA 4096 et TLS 1.2 conformes FIPS qui sont disponibles et pris en charge aujourd'hui.

MyWorkDrive prendra en charge SMB dans les deux cas et continuera à prendre en charge notre accès basé sur un navigateur Web, nos clients Windows Mapped Drive et Mobile à mesure que le protocole SMB évolue parallèlement. notre connectivité à Azure File Shares ou Blob Storage à l’aide d’Azure AD Authentication (Entra) via API.