Alternative alle porte SMB per l'accesso remoto

SMB (Server Message Block) era originariamente conosciuto come Common Internet File System (CIFS). Il protocollo SMB supporta la mappatura delle unità sulla porta legacy 139 per NetBIOS o sulla porta 445 su TCP. SMB è un protocollo di condivisione file che consente l'accesso alle unità mappate utilizzando strumenti nativi integrati su PC Windows come "Net Use".

Nel corso del tempo il protocollo SMB è stato aggiornato per migliorare la sicurezza (SMB1/CIFS), ridurre la chattiness (SMB2) e migliorare le prestazioni (SMB3).

Preoccupazioni per la sicurezza delle PMI

In genere, i provider di servizi Internet bloccano le porte SMB per prevenire problemi di sicurezza e malware impedendo l'accesso diretto all'unità mappata remota sulla porta SMB 445. SMB richiede che la porta 445 sia aperta, che è soggetta a malware inclusi artisti del calibro di famigerati trasgressori come Wannacry, Sasser , Nimda, Petya/NotPetya e altro ancora. Se le porte SMB sono aperte, un computer infetto cercherà nella propria rete Windows le condivisioni del server che accettano traffico sulle porte TCP 135-139 o 445 indicando che il sistema è configurato per eseguire SMB. È una preoccupazione costante e un incubo ricorrente pensare di avere le porte 137-139 e/o la porta 445 aperte su Internet in attesa del prossimo exploit, motivo per cui sono sempre bloccate.

Il protocollo SMB non dispone di opzioni integrate per impedire che i file vengano crittografati o rinominati, avvisando o rilevando attacchi ransomware. Ciò significa che ransomware come WannaCry possono diffondersi automaticamente senza la partecipazione delle vittime.

Accesso remoto alla porta SMB

Per facilitare l'accesso remoto alle unità mappate, le aziende hanno spesso concesso l'accesso alle porte PMI tramite un tunnel VPN. Ciò fornisce un certo livello di sicurezza, tuttavia oltre alla porta SMB 445 sono necessarie altre porte per consentire ai PC remoti di autenticare e risolvere internamente nomi di server e condivisioni. Ciò aumenta la superficie di attacco per potenziali malware e ransomware e aggiunge un ulteriore onere di supporto al personale IT che deve mantenere e supportare le unità mappate remote per gli utenti. Sebbene il filtraggio degli indirizzi MAC possa essere utilizzato per limitare l'accesso alla porta SMB, ciò aumenta ulteriormente la complessità della gestione dell'accesso remoto alla condivisione di file e dei costi di supporto associati.

PMI/QUIC

Disponibile a breve? Seguiamo il protocollo SMB/QUIC con un certo interesse e, in qualità di partner dei team di condivisione file di Microsoft Azure, lo sappiamo già da un po'. Inizialmente è disponibile solo nelle VM Windows 2022 basate su Azure. Il nostro pensiero è parte della ragione la maggior parte dei fornitori di firewall/sicurezza non supporta ancora il protocollo di routing QUIC e non si sentono ancora a proprio agio nell'instradarlo poiché non possono ispezionare il traffico di rete all'interno dei pacchetti https UDP, non possono limitare l'accesso utilizzando criteri firewall e non sono in grado di implementare la registrazione e il reporting. SMB su QUIC potrebbe essere utile a breve termine per le reti interne basate su LAN come il traffico delle condivisioni file di Azure poiché si troverebbe in un ambiente di rete controllato e potrebbe accelerare e proteggere l'accesso alla condivisione file SMB interna. Da quello che stiamo vedendo, anche se i fornitori di firewall e gli ISP si uniscono a noi, non molte aziende sono disposte a consentire la mappatura delle proprie condivisioni di rete interne direttamente su Internet senza alcuna sicurezza front-end, blocco del tipo di file, restrizioni sulle dimensioni o traffico capacità di ispezione e reporting.

Il protocollo SMB esiste dal 1983 e da decenni vengono scoperti nuovi exploit anno dopo anno. Le aziende rimarranno giustamente caute nel consentire l’accesso diretto a qualsiasi risorsa interna da reti esterne tramite il protocollo SMB/QUIC.

Nel frattempo, MyWorkDrive converte già le condivisioni di file SMB/CIFS basate su Windows in file sicuri condivisioni di file a cui è possibile accedere ovunque utilizzando la porta TCP https/SSL 443 su protocolli conformi RSA 4096 e TLS 1.2 FIPS altamente crittografati che sono disponibili e supportati oggi.

MyWorkDrive supporterà le PMI in ogni caso e continuerà a supportare il nostro accesso basato su browser Web, Windows Mapped Drive e i client mobili man mano che il protocollo SMB si evolve di pari passo la nostra connettività alle condivisioni file di Azure o all'archiviazione BLOB utilizzando l'autenticazione Azure AD (Entra) tramite API.