SMB-poortalternatieven voor toegang op afstand

SMB (Server Message Block) was oorspronkelijk bekend als Common Internet File System (CIFS). Het SMB-protocol ondersteunt het toewijzen van schijven via legacy-poort 139 voor NetBIOS of poort 445 via TCP. SMB is een protocol voor het delen van bestanden dat toegang tot toegewezen stations mogelijk maakt met behulp van ingebouwde native tools op Windows-pc's, zoals "Net Use".

In de loop van de tijd is het SMB-protocol bijgewerkt om de beveiliging te verbeteren (SMB1/CIFS), chattiness (SMB2) te verminderen en de prestaties te verbeteren (SMB3).

Alternatieven voor SMB-poorten

Beveiligingsproblemen bij het MKB

Doorgaans blokkeren internetserviceproviders SMB-poorten om problemen met beveiliging en malware te voorkomen door directe toegang tot externe toegewezen stations via SMB-poort 445 te voorkomen. SMB vereist dat poort 445 open is, die vatbaar is voor malware, waaronder beruchte overtreders zoals Wannacry, Sasser , Nimda, Petya/NotPetya en meer. Als SMB-poorten open zijn, zoekt een geïnfecteerde computer in zijn Windows-netwerk naar servershares die verkeer accepteren op TCP-poorten 135-139 of 445, wat aangeeft dat het systeem is geconfigureerd om SMB uit te voeren. Het is een constante zorg en een steeds terugkerende nachtmerrie om te bedenken dat poorten 137-139 en/of poort 445 open staan voor internet, wachtend op de volgende exploit - en daarom worden ze altijd geblokkeerd.

Het SMB-protocol heeft geen ingebouwde opties om te voorkomen dat bestanden worden versleuteld of hernoemd, om ransomware-aanvallen te waarschuwen of te detecteren. Dit betekent dat ransomware zoals WannaCry zich automatisch kan verspreiden zonder tussenkomst van het slachtoffer.

SMB-poort toegang op afstand

Om toegewezen schijven op afstand te kunnen gebruiken, hebben bedrijven vaak toegang verleend tot SMB-poorten via een VPN-tunnel. Dit biedt een zeker beveiligingsniveau, maar naast SMB-poort 445 zijn er nog andere poorten nodig om externe pc's in staat te stellen servernamen en gedeelde mappen intern te verifiëren en op te lossen. Dit vergroot het aanvalsoppervlak voor potentiële malware en ransomware en voegt een extra ondersteuningslast toe aan het IT-personeel dat op afstand toegewezen schijven voor gebruikers moet onderhouden en ondersteunen. Hoewel MAC-adresfiltering kan worden gebruikt om de toegang tot de SMB-poort te beperken, vergroot dit de complexiteit van het beheer van externe toegang tot bestandsshares en de bijbehorende ondersteuningskosten.

MKB/QUIC

Binnenkort beschikbaar? We volgen het SMB/QUIC-protocol met behoorlijk wat interesse en als partner van de Microsoft Azure File Shares-teams weten we er al een tijdje van. In eerste instantie is het alleen beschikbaar in op Azure gebaseerde Windows 2022 VM's. Ons denken is een deel van de reden is de meeste firewall-/beveiligingsleveranciers ondersteunen het QUIC-protocol voor routering nog niet en zijn nog niet op hun gemak bij het routeren ervan omdat ze het netwerkverkeer binnen de https UDP-pakketten niet kunnen inspecteren, de toegang niet kunnen beperken met behulp van firewallbeleid en geen logboekregistratie en rapportage kunnen implementeren. SMB via QUIC kan op korte termijn nuttig zijn voor interne LAN-gebaseerde netwerken zoals Azure File Shares-verkeer, aangezien het zich in een gecontroleerde netwerkomgeving zou bevinden en het interne SMB-bestandssharetoegang zou kunnen versnellen en beveiligen. Van wat we zien, zelfs als firewall-leveranciers en ISP's aan boord komen, willen niet al te veel bedrijven hun interne netwerkshares rechtstreeks via internet in kaart brengen zonder enige front-endbeveiliging, blokkering van bestandstypes, groottebeperkingen of verkeer inspectie- en rapportagemogelijkheden.

Het SMB-protocol bestaat al sinds 1983 en er worden al tientallen jaren nieuwe exploits gevonden. Ondernemingen zullen terecht voorzichtig blijven bij het toestaan van directe toegang tot interne bronnen van externe netwerken via het SMB/QUIC-protocol.

In de tussentijd converteert MyWorkDrive al op Windows gebaseerde SMB/CIFS-bestandsshares naar beveiligde bestandsshares die overal toegankelijk is via TCP https/SSL-poort 443 via sterk versleutelde RSA 4096- en TLS 1.2 FIPS-compatibele protocollen die vandaag beschikbaar en ondersteund zijn.

MyWorkDrive ondersteunt hoe dan ook SMB en zal onze op Web Browser gebaseerde toegang, Windows Mapped Drive en mobiele clients blijven ondersteunen naarmate het SMB-protocol evolueert.

Daniel, oprichter van MyWorkDrive.com, heeft sinds 1992 verschillende functies op het gebied van technologiebeheer vervuld bij ondernemingen, de overheid en het onderwijs in de baai van San Francisco. Daniel is gecertificeerd in Microsoft Technologies en schrijft over informatietechnologie, beveiliging en strategie en is bekroond met de Amerikaanse Patent #9985930 in netwerken met externe toegang