SMB-Port-Alternativen für den Remotezugriff

SMB (Server Message Block) war ursprünglich als Common Internet File System (CIFS) bekannt. Das SMB-Protokoll unterstützt die Zuordnung von Laufwerken über Legacy-Port 139 für NetBIOS oder Port 445 über TCP. SMB ist ein File-Sharing-Protokoll, das den Zugriff auf gemappte Laufwerke mithilfe von integrierten nativen Tools auf Windows-PCs wie „Net Use“ ermöglicht.

Im Laufe der Zeit wurde das SMB-Protokoll aktualisiert, um die Sicherheit zu verbessern (SMB1/CIFS), die Geschwätzigkeit zu reduzieren (SMB2) und die Leistung zu verbessern (SMB3).

SMB-Port-Alternativen

SMB-Sicherheitsbedenken

In der Regel blockieren Internetdienstanbieter SMB-Ports, um Probleme mit Sicherheit und Malware zu verhindern, indem sie den direkten Zugriff auf zugeordnete Remote-Laufwerke über SMB-Port 445 verhindern. SMB erfordert, dass Port 445 geöffnet ist, was anfällig für Malware ist, einschließlich berüchtigter Angreifer wie Wannacry, Sasser , Nimda, Petya/NotPetya und mehr. Wenn SMB-Ports geöffnet sind, durchsucht ein infizierter Computer sein Windows-Netzwerk nach Serverfreigaben, die Datenverkehr auf den TCP-Ports 135-139 oder 445 akzeptieren, was darauf hinweist, dass das System für die Ausführung von SMB konfiguriert ist. Es ist eine ständige Sorge und ein wiederkehrender Albtraum, daran zu denken, dass die Ports 137-139 und/oder Port 445 für das Internet offen sind und auf den nächsten Exploit warten – weshalb sie immer blockiert sind.

Das SMB-Protokoll verfügt über keine integrierten Optionen, um zu verhindern, dass Dateien verschlüsselt oder umbenannt werden, und alarmiert oder erkennt Ransomware-Angriffe. Dies bedeutet, dass sich Ransomware wie WannaCry ohne Beteiligung des Opfers automatisch verbreiten kann.

SMB-Port-Fernzugriff

Um den Fernzugriff auf gemappte Laufwerke zu erleichtern, haben Unternehmen den Zugriff auf SMB-Ports oft über einen VPN-Tunnel gewährt. Dies bietet ein gewisses Maß an Sicherheit, jedoch werden zusätzlich zum SMB-Port 445 weitere Ports benötigt, damit Remote-PCs Servernamen und -freigaben intern authentifizieren und auflösen können. Dies erhöht die Angriffsfläche für potenzielle Malware und Ransomware und fügt den IT-Mitarbeitern, die remote zugeordnete Laufwerke für Benutzer warten und unterstützen müssen, eine zusätzliche Support-Belastung hinzu. Während die MAC-Adressfilterung verwendet werden kann, um den Zugriff auf den SMB-Port zu beschränken, erhöht dies die Komplexität der Verwaltung des Remotezugriffs auf Dateifreigaben und die damit verbundenen Supportkosten.

KMU/QUIC

Bald erhältlich? Wir verfolgen das SMB/QUIC-Protokoll mit großem Interesse, und als Partner der Microsoft Azure File Shares-Teams kennen wir es schon seit einiger Zeit. Zunächst ist es nur in Azure-basierten Windows 2022-VMs verfügbar. Unser Denken ist ein Teil des Grundes Die meisten Firewall-/Sicherheitsanbieter unterstützen das Routing des QUIC-Protokolls noch nicht und sind noch nicht damit vertraut, es zu routen, da sie den Netzwerkverkehr innerhalb der https-UDP-Pakete nicht überprüfen, den Zugriff nicht mithilfe von Firewall-Richtlinien einschränken und Protokollierung und Berichterstellung nicht implementieren können. SMB über QUIC könnte kurzfristig für interne LAN-basierte Netzwerke wie Azure File Shares-Datenverkehr nützlich sein, da es sich in einer kontrollierten Netzwerkumgebung befinden würde und den internen SMB-Dateifreigabezugriff beschleunigen und sichern kann. Selbst wenn Firewall-Anbieter und ISPs an Bord kommen, sind nicht allzu viele Unternehmen daran interessiert, die Zuordnung ihrer internen Netzwerkfreigaben direkt über das Internet ohne Front-End-Sicherheit, Blockierung von Dateitypen, Größenbeschränkungen oder Datenverkehr zuzulassen Inspektions- und Berichtsfunktionen.

Das SMB-Protokoll gibt es seit 1983, und seit Jahrzehnten werden Jahr für Jahr neue Exploits gefunden. Unternehmen werden zu Recht vorsichtig bleiben, wenn sie den direkten Zugriff auf interne Ressourcen von externen Netzwerken über das SMB/QUIC-Protokoll zulassen.

Inzwischen konvertiert MyWorkDrive bereits Windows-basierte SMB/CIFS-Dateifreigaben in sichere Dateifreigaben auf die überall mit TCP https/SSL-Port 443 über stark verschlüsselte RSA 4096- und TLS 1.2 FIPS-konforme Protokolle zugegriffen werden kann die heute verfügbar sind und unterstützt werden.

MyWorkDrive unterstützt SMB in beiden Fällen und unterstützt weiterhin unseren webbrowserbasierten Zugriff, Windows Mapped Drive und mobile Clients, während sich das SMB-Protokoll parallel weiterentwickelt unsere Konnektivität zu Azure-Dateifreigaben oder Blob-Speicher mithilfe der Azure AD-Authentifizierung (Entra) über die API.

Daniel, Gründer von MyWorkDrive.com, ist seit 1992 in verschiedenen Funktionen im Technologiemanagement für Unternehmen, Behörden und Bildungseinrichtungen in der San Francisco Bay Umgebung tätig. Daniel ist in Microsoft-Technologien zertifiziert und schreibt über Informationstechnologie, Sicherheit und Strategie, und hat überdies das US Patent Nr. #9985930 für "Remote Access Networking" erlangt.