Alternativas de porta SMB para acesso remoto

SMB (Server Message Block) era conhecido originalmente como Common Internet File System (CIFS). O protocolo SMB suporta unidades de mapeamento pela porta legada 139 para NetBIOS ou porta 445 por TCP. SMB é um protocolo de compartilhamento de arquivos que permite o acesso à unidade mapeada usando ferramentas nativas integradas em PCs com Windows, como “Net Use”.

Ao longo do tempo, o protocolo SMB foi atualizado para melhorar a segurança (SMB1/CIFS), reduzir a conversa (SMB2) e melhorar o desempenho (SMB3).

Preocupações de segurança para pequenas e médias empresas

Normalmente, os provedores de serviços de Internet bloqueiam as portas SMB para evitar problemas com segurança e malware, impedindo o acesso direto à unidade remota mapeada pela porta SMB 445. SMB Requer que a porta 445 esteja aberta, que é propensa a malware, incluindo criminosos infames como Wannacry, Sasser , Nimda, Petya/NotPetya e muito mais. Se as portas SMB estiverem abertas, um computador infectado procurará em sua rede Windows por compartilhamentos de servidor que aceitem tráfego nas portas TCP 135-139 ou 445, indicando que o sistema está configurado para executar SMB. É uma preocupação constante e um pesadelo recorrente pensar em ter as portas 137-139 e/ou 445 abertas para a Internet esperando pelo próximo exploit – e é por isso que elas estão sempre bloqueadas.

O protocolo SMB não possui opções integradas para impedir que arquivos sejam criptografados ou renomeados, alertando ou detectando ataques de ransomware. Isso significa que ransomwares como o WannaCry podem se espalhar automaticamente sem a participação da vítima.

Acesso remoto à porta SMB

Para facilitar as unidades mapeadas de acesso remoto, as empresas geralmente concedem acesso a portas SMB por meio de um túnel VPN. Isso fornece algum nível de segurança, no entanto, além da porta SMB 445, outras portas são necessárias para permitir que PCs remotos autentiquem e resolvam nomes de servidores e compartilhamentos internamente. Isso aumenta a superfície de ataque para Malware e Ransomware em potencial e adiciona uma carga de suporte adicional à equipe de TI que precisa manter e oferecer suporte a unidades remotas mapeadas para usuários. Embora a filtragem de endereço MAC possa ser usada para limitar o acesso à porta SMB, isso aumenta ainda mais a complexidade do gerenciamento do acesso remoto de compartilhamento de arquivos e os custos de suporte associados.

SMB/QUIC

Disponível em breve? Temos seguido o protocolo SMB/QUIC com bastante interesse e, como parceiros das equipes de compartilhamentos de arquivos do Microsoft Azure, já o conhecemos há algum tempo. Inicialmente, está disponível apenas em VMs do Windows 2022 baseadas no Azure. Nosso pensamento é parte da razão é a maioria dos fornecedores de firewall/segurança ainda não suporta o protocolo QUIC de roteamento e ainda não estão confortáveis em encaminhá-lo, pois não podem inspecionar o tráfego de rede dentro dos pacotes UDP https, não podem restringir o acesso usando políticas de firewall e não podem implementar logs e relatórios. O SMB sobre QUIC pode ser útil a curto prazo para redes internas baseadas em LAN, como o tráfego de compartilhamentos de arquivos do Azure, pois estaria em um ambiente de rede controlado e pode acelerar e proteger o acesso interno ao compartilhamento de arquivos SMB. Pelo que estamos vendo, mesmo que fornecedores de firewall e ISPs participem, poucas empresas desejam permitir o mapeamento de seus compartilhamentos de rede interna diretamente pela Internet sem qualquer segurança de front-end, bloqueio de tipo de arquivo, restrições de tamanho ou tráfego recursos de inspeção e relatórios.

O protocolo SMB existe desde 1983, com novas explorações sendo encontradas ano após ano por décadas. As empresas permanecerão cautelosas ao permitir o acesso direto a qualquer recurso interno de redes externas por meio do protocolo SMB/QUIC.

Enquanto isso, o MyWorkDrive já converte compartilhamentos de arquivos SMB/CIFS baseados em Windows em compartilhamentos de arquivos que pode ser acessado em qualquer lugar usando a porta TCP https/SSL 443 sobre protocolos compatíveis com RSA 4096 e TLS 1.2 FIPS altamente criptografados que estão disponíveis e suportados hoje.

MyWorkDrive oferecerá suporte a SMB de qualquer maneira e continuará a oferecer suporte ao nosso acesso baseado em navegador da Web, Windows Mapped Drive e clientes móveis à medida que o protocolo SMB evolui junto com nossa conectividade com Azure File Shares ou Blob Storage usando Azure AD Authentication (Entra) sobre API.