Alternativas de porta SMB para acesso remoto
SMB (Server Message Block) era conhecido originalmente como Common Internet File System (CIFS). O protocolo SMB suporta o mapeamento de unidades na porta 139 herdada para NetBIOS ou na porta 445 sobre TCP. SMB é um protocolo de compartilhamento de arquivos que permite o acesso a unidades mapeadas usando ferramentas nativas integradas em PCs com Windows, como “Net Use”.
Ao longo do tempo, o protocolo SMB foi atualizado para melhorar a segurança (SMB1/CIFS), reduzir a conversa (SMB2) e melhorar o desempenho (SMB3).
Preocupações de segurança para pequenas e médias empresas
Normalmente, os provedores de serviços de Internet bloqueiam as portas SMB para evitar problemas de segurança e malware, impedindo o acesso direto à unidade mapeada remota pela porta SMB 445. SMB requer que a porta 445 esteja aberta, que é propensa a malware, incluindo criminosos infames como Wannacry, Sasser , Nimda, Petya/NotPetya e muito mais. Se as portas SMB estiverem abertas, um computador infectado procurará em sua rede Windows por compartilhamentos de servidor que aceitam tráfego nas portas TCP 135-139 ou 445, indicando que o sistema está configurado para executar SMB. É uma preocupação constante e um pesadelo recorrente pensar em ter as portas 137-139 e/ou a porta 445 abertas para a Internet esperando pelo próximo exploit – e é por isso que elas estão sempre bloqueadas.
O protocolo SMB não possui opções integradas para impedir que os arquivos sejam criptografados ou renomeados, alertando ou detectando ataques de ransomware. Isso significa que ransomwares como o WannaCry podem se espalhar automaticamente sem a participação da vítima.
Acesso remoto à porta SMB
Para facilitar unidades mapeadas de acesso remoto, as empresas geralmente concedem acesso a portas SMB por meio de um túnel VPN. Isso fornece algum nível de segurança, no entanto, além da porta SMB 445, outras portas são necessárias para permitir que PCs remotos autentiquem e resolvam nomes de servidores e compartilhamentos internamente. Isso aumenta a superfície de ataque para malware e ransomware em potencial e adiciona uma carga de suporte adicional à equipe de TI que precisa manter e oferecer suporte a unidades mapeadas remotas para usuários. Embora a filtragem de endereços MAC possa ser usada para limitar o acesso à porta SMB, isso aumenta ainda mais a complexidade do gerenciamento do acesso remoto ao compartilhamento de arquivos e dos custos de suporte associados.
SMB/QUIC
Disponível em breve? Temos seguido o protocolo SMB/QUIC com bastante interesse e, como parceiro das equipes de compartilhamentos de arquivos do Microsoft Azure, sabemos disso há algum tempo. Inicialmente, está disponível apenas em VMs do Windows 2022 baseadas em Azure. Nosso pensamento é parte da razão é a maioria dos fornecedores de firewall/segurança ainda não suporta o protocolo QUIC de roteamento e ainda não se sentem à vontade para roteá-lo, pois não podem inspecionar o tráfego de rede dentro dos pacotes https UDP, não podem restringir o acesso usando políticas de firewall e não podem implementar log e relatórios. O SMB sobre QUIC pode ser útil a curto prazo para redes internas baseadas em LAN, como o tráfego de compartilhamentos de arquivos do Azure, pois estaria em um ambiente de rede controlado e pode acelerar e proteger o acesso ao compartilhamento de arquivos SMB interno. Pelo que estamos vendo, mesmo que fornecedores de firewall e ISPs participem, poucas empresas desejam permitir o mapeamento de seus compartilhamentos de rede internos diretamente pela Internet sem qualquer segurança de front-end, bloqueio de tipo de arquivo, restrições de tamanho ou tráfego capacidades de inspeção e relatórios.
O protocolo SMB existe desde 1983, com novas explorações sendo encontradas ano após ano por décadas. As empresas permanecerão cautelosas ao permitir o acesso direto a qualquer recurso interno de redes externas por meio do protocolo SMB/QUIC.
Enquanto isso, o MyWorkDrive já converte compartilhamentos de arquivos SMB/CIFS baseados em Windows em compartilhamentos de arquivos que pode ser acessado em qualquer lugar usando a porta TCP https/SSL 443 sobre protocolos compatíveis com RSA 4096 e TLS 1.2 FIPS altamente criptografados que estão disponíveis e suportados hoje.
O MyWorkDrive suportará SMB de qualquer maneira e continuará a oferecer suporte ao nosso acesso baseado em Web Brower, Windows Mapped Drive e clientes Mobile à medida que o protocolo SMB evolui.