SMB-poortalternatieven voor toegang op afstand

SMB (Server Message Block) was oorspronkelijk bekend als Common Internet File System (CIFS). Het SMB-protocol ondersteunt het toewijzen van stations via verouderde poort 139 voor NetBIOS of poort 445 via TCP. SMB is een protocol voor het delen van bestanden dat mapped drive-toegang mogelijk maakt met behulp van ingebouwde native tools op Windows-pc's, zoals "Net Use".

In de loop van de tijd is het SMB-protocol bijgewerkt om de beveiliging te verbeteren (SMB1/CIFS), chattiness (SMB2) te verminderen en de prestaties te verbeteren (SMB3).

Beveiligingsproblemen bij het MKB

Doorgaans blokkeren internetproviders SMB-poorten om problemen met beveiliging en malware te voorkomen door directe toegang tot externe toegewezen schijven via SMB-poort 445 te voorkomen. SMB vereist dat poort 445 open is, wat vatbaar is voor malware, waaronder beruchte overtreders zoals Wannacry, Sasser , Nimda, Petya/NotPetya en meer. Als SMB-poorten open zijn, zoekt een geïnfecteerde computer in zijn Windows-netwerk naar servershares die verkeer op TCP-poorten 135-139 of 445 accepteren, wat aangeeft dat het systeem is geconfigureerd om SMB uit te voeren. Het is een constante zorg en terugkerende nachtmerrie om na te denken over het open hebben van poorten 137-139 en/of poort 445 voor internet, wachtend op de volgende exploit - daarom zijn ze altijd geblokkeerd.

Het SMB-protocol heeft geen ingebouwde opties om te voorkomen dat bestanden worden versleuteld of hernoemd, waardoor ransomware-aanvallen worden gewaarschuwd of gedetecteerd. Dit betekent dat ransomware zoals WannaCry zich automatisch kan verspreiden zonder tussenkomst van het slachtoffer.

SMB-poort toegang op afstand

Om toegang op afstand tot toegewezen schijven mogelijk te maken, hebben bedrijven vaak toegang verleend tot SMB-poorten via een VPN-tunnel. Dit biedt een zekere mate van beveiliging, maar naast SMB-poort 445 zijn er andere poorten nodig om externe pc's in staat te stellen servernamen en shares intern te verifiëren en op te lossen. Dit vergroot het aanvalsoppervlak voor potentiële malware en ransomware en voegt een extra ondersteuningslast toe aan IT-personeel dat op afstand toegewezen schijven voor gebruikers moet onderhouden en ondersteunen. Hoewel MAC-adresfiltering kan worden gebruikt om de toegang tot de SMB-poort te beperken, wordt het beheer van externe toegang tot bestandsshares en de bijbehorende ondersteuningskosten nog ingewikkelder.

MKB/QUIC

Binnenkort beschikbaar? We volgen het SMB/QUIC-protocol met behoorlijk wat interesse en als partner van de Microsoft Azure File Shares-teams weten we er al een tijdje van. In eerste instantie is het alleen beschikbaar in op Azure gebaseerde Windows 2022 VM's. Ons denken is een deel van de reden de meeste firewall-/beveiligingsleveranciers ondersteunen het QUIC-protocol voor routering nog niet en zijn nog niet op hun gemak bij het routeren ervan, omdat ze het netwerkverkeer binnen de https UDP-pakketten niet kunnen inspecteren, de toegang niet kunnen beperken met behulp van firewallbeleid en geen logboekregistratie en rapportage kunnen implementeren. SMB over QUIC kan op korte termijn nuttig zijn voor interne LAN-netwerken, zoals Azure File Shares-verkeer, aangezien dit zich in een gecontroleerde netwerkomgeving zou bevinden en het de toegang tot interne SMB-bestandsshares kan versnellen en beveiligen. Uit wat we zien, zelfs als firewall-leveranciers en ISP's aan boord komen, zijn niet al te veel bedrijven enthousiast om hun interne netwerkshares rechtstreeks via internet in kaart te brengen zonder enige front-endbeveiliging, blokkering van bestandstypes, groottebeperkingen of verkeer inspectie- en rapportagemogelijkheden.

Het SMB-protocol bestaat al sinds 1983 en er worden al tientallen jaren nieuwe exploits gevonden. Ondernemingen zullen terecht voorzichtig blijven bij het toestaan van directe toegang tot interne bronnen van externe netwerken via het SMB/QUIC-protocol.

In de tussentijd converteert MyWorkDrive al op Windows gebaseerde SMB/CIFS-bestandsshares naar beveiligde bestandsshares die overal toegankelijk is via TCP https/SSL-poort 443 via sterk versleutelde RSA 4096- en TLS 1.2 FIPS-compatibele protocollen die vandaag beschikbaar en ondersteund zijn.

MyWorkDrive zal hoe dan ook SMB ondersteunen, en zal onze webbrowser-gebaseerde toegang, Windows Mapped Drive en Mobile-clients blijven ondersteunen naarmate het SMB-protocol mee evolueert onze connectiviteit met Azure File Shares of Blob Storage met behulp van Azure AD Authentication (Entra) via API.