Все о брандмауэре для портов SMB, о котором вы должны знать

Протокол SMB обеспечивает межпроцессное взаимодействие. Этот протокол позволяет службам и приложениям в сетевых системах взаимодействовать друг с другом. Другими словами, можно сказать, что SMB является одним из распространенных языков, которые системы используют для общения друг с другом. Вот все о SMB Ports Firewall для вас.

Как работает этот протокол SMB?

В более ранних версиях Windows SMB использовался для работы в сетевой архитектуре NetBIOS. Microsoft модифицировала SMB в Windows 2000 для работы с некоторыми основными TCP, где она использовала выделенный порт IP. В последних версиях Windows он продолжает использовать тот же порт.

Microsoft даже внесла улучшения в SMB для повышения безопасности и производительности. С SMB2 это уменьшило всю детализацию протокола. С другой стороны, SMB3 состоит из улучшений и производительности для виртуализированной среды и поддержки сквозного и надежного шифрования.

Протоколы SMB

Как и другие языки, программисты создали разнообразные диалекты SMB для использования в разных целях. Например, CIFS (Common Internet File System) — это конкретная реализация SMB, которая позволяет осуществлять общий доступ к файлам. Большинство людей рассматривают CIFS в качестве другого протокола вместо SMB, где на самом деле они используют одинаковую базовую архитектуру.

Некоторые из важных реализаций SMB включают в себя:

• самбаЭто относится к реализации с открытым исходным кодом из Microsoft Active Directory. Эта реализация позволяет системам, отличным от Windows, взаимодействовать с системой Windows.
• CIFS: Это типичный протокол разделения огня, который используют серверы Windows. CIFS также совместим с устройствами NAS.
• MoSMB: Эта реализация является частным SMB, который был представлен Рюсси Технологии.
• NQЭто еще одна портативная реализация SMB для обмена файлами. Системы визуальности разработал эту реализацию SMB.
• также: Это многопротокольный сетевой протокол с поддержкой идентификации для обмена файлами. EMC приобрел этот протокол в 2012 году.
• смокинг SMBЭто еще одна проприетарная реализация SMB, которая работает либо в пользовательском пространстве, либо в ядре.

Теперь пришло время узнать о брандмауэре портов SMB и о других вещах о портах SMB. Начнем с разговоров о портах SMB 445 и 139.

Кроме того, нажмите здесь, чтобы прочитать больше о полной IDS VS. Межсетевой экран VS. IPS сравнение и Mikrotik Firewall правила.

Что вы подразумеваете под SMB-портами 445 и 139?

SMB — это сетевой протокол для обмена файлами. Для связи с другими системами требуются сетевые порты SMB на сервере или компьютере. Для этого он использует порты SMB, порт 445 или 139.

• Порт 139Первоначально SMB использовался для запуска поверх NetBIOS с портом 139. Здесь NetBIOS относится к более старому транспортному уровню, который позволяет системам Windows взаимодействовать друг с другом, совместно используя аналогичную сеть.
• Порт 445: Более поздние версии SMB, появившиеся после Windows 2000, начали использовать IP-порт 445 в верхних стеках TCK. Благодаря TCP он позволяет SMB работать через Интернет.

IP-порт 139 технически называется какNBT через IP, ‘в то время как IP-порт 445 называется’SMB через IP». Здесь SMB относится кБлоки сообщений сервера.» На современном языке SMB также называетсяОбщая Интернет Файловая Система.» Он функционирует как сетевой протокол прикладного уровня, который в основном используется для предоставления общего доступа к принтерам, файлам, последовательным портам или другим видам связи между узлами в сети.

Большая часть использования SMB касалась систем, работающих на Microsoft Windows. Здесь эта сеть стала известна какСеть Microsoft Windows‘до последующего введения Active Directory. Он работает на верхних сетевых уровнях Session различными способами. Например, SMB работает непосредственно через IP / TCP в Windows без требования NetBIOS через IP / TCP. В этом случае вы будете использовать IP-порт 445. На других компьютерах вы будете сталкиваться с приложениями и службами, использующими IP-порт 139. Это означает, что межсетевой экран портов SMB работает с NetBIOS через IP / TCP.

NetBIOS относится к базовой системе ввода-вывода сети. Этот программный протокол позволяет настольным компьютерам, приложениям и ПК в локальной сети (локальной сети) взаимодействовать друг с другом или с сетевым оборудованием. Это даже позволяет им передавать данные по сети. Например, программные приложения, которые работают в сетях NetBIOS, идентифицируют и определяют местоположение друг друга по именам пользователей NetBIOS.

Имена NetBIOS имеют длину до 16 символов и обычно отличаются от имени системы. Когда клиент отправляет команду для вызова другого (сервера), два приложения начинают конференцию NetBIOS через порт TCP 139.

Злоумышленники признают, что IP-порт 445 восприимчив и имеет различные недостатки. Пример неправильного использования порта SMB — сравнительно тихий NetBIOS-черви‘ внешность. Медленно, эти черви сканируют Интернет в манере, в то время как порт использует такие инструменты, как PsExec для перевода себя в новую систему жертвы. После этого черви удваивают усилия сканирования. Таким незнакомым образом, огромныйБот Армии«Тысячи и тысячи червей NetBIOS уступали машинам, собирались и находились в Интернете.

PS: узнайте больше о том, как создать Межсетевой экран Raspberry Pi и как отключить брандмауэр, так же хорошо как важность брандмауэра.

Зачем пользователям нужен порт SMB 139?

NetBIOS через Интернет или через WAV — это риск высокого уровня безопасности. Через NetBIOS можно получить доступ ко всем видам информации, таким как имена вашей рабочей группы, системы и домена, а также сведения об учетной записи. Таким образом, важно сохранить NetBIOS в предпочтительной сети, а также убедиться, что он не покидает вашу сеть.

Брандмауэр портов SMB всегда ограничивает этот порт в первую очередь в качестве меры безопасности, если пользователи открыли его. Этот порт 139 используется для общего доступа к файлам и распечаткам. Тем не менее, это, кажется, самый опасный порт, который вы найдете в Интернете. Это связано с тем, что порт оставляет жесткий диск пользователя доступным для киберпреступников.

Как только злоумышленник обнаружил активный IP-порт 139 на любом устройстве, он запускает NBSTAT это диагностическая программа для NetBIOS через IP / TCP. Это приложение предназначено в первую очередь для устранения неполадок, связанных с разрешением имен, связанных с NetBIOS. Это делает значительный шаг в вспышке под названием Footprinting.

С помощью команды NBSTAT злоумышленники могут получить доступ ко всем или некоторым критическим данным, связанным с:

1. Имя системы
2. IP-адреса
3. Запись локальных имен пользователей NetBIOS
4. Список имен, установленный WINS
5. Содержимое сеансовой таблицы вместе с назначением IP-адресов

Наряду с этими подробностями киберпреступник получает всю важную информацию, касающуюся службы, ОС и основных приложений, которые запускаются на компьютере. Помимо этого, злоумышленник отслеживает частные IP-адреса, которые WAN / LAN, которые инженеры безопасности стараются сохранить за NAT. Более того, идентификаторы пользователей даже включаются в списки, предлагаемые запуском NBSTAT.

Он позволяет злоумышленникам получить удаленный доступ к содержимому дисков или каталогов жесткого диска. После этого они автоматически загружают и запускают предпочитаемые программы через некоторые бесплатные программы без ведома владельца системы.

Пользователи, которые используют многодомную систему, могут отключить NetBIOS на всех сетевых картах или в свойствах IP / TCP, Dial-Up Connection, который не является частью локальной сети.

Как пользователи могут обращаться с IP-портом 445?

Принимая во внимание вышеупомянутые опасности, лучше всего, чтобы пользователи не открывали порт 445 в Интернет. Тем не менее, порт 445 глубоко укоренился в Windows, как и порт 135. Таким образом, становится трудным закрыть его безопасно. Сказав это, вполне возможно, чтобы закрыть его; однако, различные другие зависимые инструменты или сервисы, такие как протокол динамической конфигурации хоста (DHCP), который часто используется для автоматического получения IP-адресов от серверов DHCP, который используется большинством интернет-провайдеров, и корпорации перестают работать.

Кстати, нажмите здесь для полной Прокси против Брандмауэра сравнение.

Различные способы обеспечения безопасности портов SMB

Сохранение сетевых SMB-портов открытыми для работы приложений сопряжено с угрозой безопасности. Таким образом, пользователи могут думать о том, как они могут защитить свои сети и поддерживать работу приложений. Здесь мы предложили несколько вариантов, которые помогут вам защитить два самых важных и популярных брандмауэра для портов SMB.

1. Загрузите VPN для защиты и шифрования сетевого трафика.
2. Разрешить защиту конечных точек или брандмауэр портов SMB для защиты портов от киберпреступников. Многие решения содержат черный список для предотвращения соединения со знакомыми IP-адресами злоумышленников.
3. Внедрить VLAN для изоляции внутреннего сетевого трафика.
4. Используйте фильтры MAC-адресов для хранения неизвестных систем для доступа к сети. Тем не менее, это требует существенного управления для поддержания списка постоянно поддерживается.

Помимо указанных выше конкретных средств защиты сети, пользователи также могут реализовать стратегию защиты, ориентированную на данные, для защиты своего наиболее значимого ресурса, а именно хранилищ данных на общих файловых ресурсах SMB.

Понять, кто все может получить доступ к конфиденциальным данным через общие ресурсы SMB, довольно сложно. Varonis отслеживает данные и права доступа. Он даже обнаруживает конфиденциальные данные, представленные на акциях SMB. Важно отслеживать данные для выявления прогрессивных атак. Кроме того, важно защитить данные от взлома.

Varonis показывает вам, где данные небезопасны на портах SMB. Он даже контролирует эти акции SMB на предмет нерегулярного доступа и надвигающихся кибератак. Прежде чем перейти к брандмауэру портов SMB, лучше всего проверить демонстрацию того, как Varonis отслеживает CIFS в EMC, общих папках NetApp, Samba и Windows для обеспечения безопасности данных.

Отслеживайте местоположения, сообщения, звонки и приложения.
Делайте это удаленно и на 100% незаметно.

Настройка файлового сервера в локальной сети на Windows/Linux

В инструкции описан процесс настройки общего файлового сервера для всех пользователей локальной или виртуальной сети с операционными системами Linux и Windows.

Что это такое?

Файловый сервер работает по протоколу SMB/CIFS и позволяет предоставить доступ к общим ресурсам в локальной сети, например, текстовым файлам или сетевым принтерам. Для его развертывания на Windows используются штатные средства ОС, на Linux используется файловый сервер Samba.

В инструкции рассмотрена настройка файлового сервера на серверах с операционными системами Linux и Windows. На сервере будет находиться 2 каталога — публичный и приватный. К файловому серверу подключение будет происходить как с операционной системы Windows, так и с Linux, т.к. в виртуальной или физической локальной сети могут находиться серверы с разными ОС.

Создание и настройка частной сети

Для начала в панели управления должны быть созданы все необходимые для сети серверы.

После создания необходимо объединить все машины в единую локальную сеть через панель управления в разделе Сети. В результате серверы получат локальные IP-адреса.

После создания частной сети необходимо настроить сетевые адаптеры на каждом сервере. Об этом можно прочитать в наших инструкциях:

Настройка файлового сервера

Прежде всего, необходимо определиться, на сервере с какой операционной системой будет находиться общий каталог.

Настройка файлового сервера на Linux (Debian/Ubuntu)

Для развертывания файлового сервера на системах Linux используется инструмент SAMBA. Ниже перечислены действия по его установке и настройке.

Прежде всего следует обновить локальную базу пакетов:

Далее установите пакеты из главного репозитория:

apt-get install -y samba samba-client

Создайте резервную копию файла конфигурации Samba:

cp /etc/samba/smb.conf /etc/samba/smb.conf.bak

Создайте или выберете директорию, к которой все пользователи будут иметь общий доступ:

mkdir -p /samba/public

Перейдите к этому каталогу и измените режим доступа и владельца:

cd /samba
chmod -R 0755 public

Создайте или выберете каталог, к которому иметь доступ будут ограниченное число пользователей:

Создайте группу пользователей, которые будут иметь доступ к приватным данным:

Создайте нужных пользователей с помощью команды useradd:

Добавьте созданных пользователей в группу:

usermod -aG smbgrp user1

Измените группу, которой принадлежит приватная директория:

chgrp smbgrp /samba/private

Задайте пароль, с помощью которого пользователь будет подключаться к каталогу:

smbpasswd -a user1

Откройте файл конфигурации на редактирование с помощью текстового редактора, например nano:

Замените содержимое файла на следующие строки:

[global]
workgroup = WORKGROUP
security = user
map to guest = bad user
wins support = no
dns proxy = no

[public]
path = /samba/public
guest ok = yes
force user = nobody
browsable = yes
writable = yes

[private]
path = /samba/private
valid users = @smbgrp
guest ok = no
browsable = yes
writable = yes

Сохраните внесенные изменения, нажав CTRL+X, затем Enter и Y.

Значения параметров выше:

• global — раздел с общими настройками для Samba сервера
• workgroup — рабочая группа Windows, WORKGROUP — значение по умолчанию для всех Windows машин, если вы не меняли самостоятельно
• security — режим безопасности, значение user означает аутентификацию по логину и паролю
• map to guest — задает способ обработки запросов, bad user — запросы с неправильным паролем будут отклонены, если такое имя пользователя существует
• wins support — включить или выключить поддержку WINS
• dns proxy — возможность запросов к DNS
• public — название общего каталога, которое будут видеть пользователи сети, может быть произвольным и не совпадать с именем директории
• path — полный путь до общего каталога
• browsable — отображение каталога в сетевом окружении
• writable — использование каталога на запись, инверсия read only
• guest ok — авторизация без пароля
• force user — пользователь по умолчанию
• valid users — список пользователей, у которых есть доступ к каталогу, через @ указывается unix-группа пользователей

Проверить настройки в smb.conf можно с помощью команды:

Чтобы изменения вступили в силу, перезапустите сервис:

service smbd restart

Далее нужно настроить firewall, открыв порты, которые использует SAMBA. Настоятельно рекомендуем разрешить только подключения из локального диапазона IP-адресов или виртуальной частной сети. Адресное пространство вашей частной сети вы можете увидеть в панели управления 1cloud.

Замените значение параметра –s в правилах ниже для соответствия адресному пространству вашей частной сети. Как правило префикс сети /24, если вы явно не подразумеваете иного:

iptables -A INPUT -p tcp -m tcp —dport 445 –s 10.0.0.0/24 -j ACCEPT
iptables -A INPUT -p tcp -m tcp —dport 139 –s 10.0.0.0/24 -j ACCEPT
iptables -A INPUT -p udp -m udp —dport 137 –s 10.0.0.0/24 -j ACCEPT
iptables -A INPUT -p udp -m udp —dport 138 –s 10.0.0.0/24 -j ACCEPT

Теперь необходимо сделать так, чтобы указанные выше правила фаервола iptables были сохранены после перезагрузки машины. Для это установим пакет iptables-persistent:

apt-get install iptables-persistent

После установки откроется окно с предложением последовать запомнить текущие правила iptables для IPv4 и IPv6. Подтвердите это действие.

Проверить актуальные правила iptables можно командой:

В выводе команды вы должны увидеть ранее добавленные разрешающие политики (Accept).

Настройка общего публичного каталога на Windows

Для общего доступа к файлам по сети в Windows используются стандартные средства ОС.

Чтобы пользователи локальной сети могли без пароля подключаться к общему ресурсу, необходимо в панели управления снять ограничения защиты. Откройте панель управления и перейдите в раздел Сеть (Network and Internet) -> Центр управления сетями и общим доступом (Network and Sharing Center) -> Расширенные настройки общего доступа (Advanced sharing settings). В разделе Все сети (All Networks) выберете опцию Отключить доступ с парольной защитой (Turn off password protected sharing) и сохраните изменения.

Далее, чтобы настроить общий доступ к каталогу на Windows необходимо создать или выбрать нужный и открыть его свойства. В свойствах перейдите во вкладку Доступ (Sharing) и нажмите Расширенная настройка (Advanced Sharing).

В открывшемся окне отметьте галочкой Открыть общий доступ к этой папке (Share this folder), для того чтобы она стала общедоступной. В поле Имя общего ресурса (Share name) введите имя, которое будет видно всем пользователям. Далее нажмите Разрешения (Permissions) для настройки прав доступа.

Выберете нужные права доступа для всех пользователей (Everyone). Нажмите Применить (Apply), чтобы изменения вступили в силу.

Теперь в свойствах каталога нажмите Общий доступ (Share).

В поле поиска введите Все пользователи (Everyone) и нажмите Добавить (Add). Для полного доступа выберете права Read/Write и нажмите Поделиться (Share).

Теперь ваш каталог Windows доступен всем пользователям локальной сети без пароля.

Настройка общего приватного каталога на Windows

Для настройки общего каталога, который будет доступен только определенным пользователям, необходимо, чтобы данные пользователи существовали на сервере с общей папкой и на Windows машине с которой будет происходить подключение (наличие пользователя на Linux сервере не требуется), причем логин и пароль пользователей должны полностью совпадать. О том как создать нового пользователя читайте в нашей инструкции.

Чтобы пользователи локальной сети могли без пароля подключаться к общему ресурсу, необходимо в панели управления снять ограничения защиты. Откройте панель управления и перейдите в раздел Сеть (Network and Internet) -> Центр управления сетями и общим доступом (Network and Sharing Center) -> Расширенные настройки общего доступа (Advanced sharing settings). В разделе Все сети (All Networks) выберете опцию Отключить доступ с парольной защитой (Turn off password protected sharing) и сохраните изменения.

Далее, чтобы настроить общий доступ к каталогу на Windows необходимо создать или выбрать нужный и открыть его свойства. В свойствах перейдите во вкладку Доступ (Sharing) и нажмите Расширенная настройка (Advanced Sharing).

Так как каталог будет доступен только определенным пользователям, необходимо удалить группу Все пользователи (Everyone) с помощью кнопки Удалить (Remove).

Далее с помощью кнопки Добавить (Add) добавьте пользователей для управления каталогом.

Введите имя и нажмите Проверить имена (Check Names), выберете полное имя пользователя и нажмите OK.

Установите нужные права и нажмите Применить (Apply).

Теперь в свойствах каталога нажмите Поделиться (Share).

В поле поиска введите имя пользователя и нажмите Добавить (Add). Для полного доступа выберете права Чтение/Запись (Read/Write) и нажмите Поделиться (Share).

В итоге каталог стает общедоступным для определенных пользователей.

Подключение к общему каталогу с помощью Linux

Чтобы подключиться к общему каталогу, необходимо установить клиент для подключения:

sudo apt-get install smbclient

Для подключения используйте следующий формат команды:

Также можно выполнить монтирование общего каталога, для этого установите дополнительный пакет утилит:

sudo apt-get install cifs-utils

Для монтирования используйте следующий формат команды:

mount -t cifs -o username= ,password= // /

Где — адрес машины, на которой расположена общая директория, а — путь до общей директории.

mount -t cifs -o username=Everyone,password= //10.0.1.2/Win /root/shares/public

Если общий каталог находится на Windows Server?

Если общий каталог находится на сервере с операционной системой Windows, то для публичного каталога используйте имя пользователя Everyone, а в качестве пароля просто нажмите Enter. Например:

smbclient -U Everyone \\\\10.0.1.2\\Win
Enter Everyone’s password:
OS=[Windows Server 2016 Standard 14393] Server=[Windows Server 2016 Standard 6.3]
smb: \>

Для приватного каталога используйте имя пользователя и пароль, которому разрешен доступ.

Если общий каталог находится на Linux?

Если общий каталог находится на сервере с операционной системой Linux, то для публичного каталога используйте имя пользователя nobody, а в качестве пароля просто нажмите Enter. Например:

smbclient -U nobody \\\\10.0.1.2\\public
Enter nobody’s password:
OS=[Windows Server 2016 Standard 14393] Server=[Windows Server 2016 Standard 6.3]
smb: \>

Для приватного каталога используйте имя пользователя и пароль, которому разрешен доступ.

Подключение к общему каталогу с помощью Windows

Для подключения используйте Проводник Windows, в адресную строку введите строку в следующем формате:

Если общий каталог находится на Windows Server?

Если вы подключаетесь к приватному каталогу, то он откроется автоматически, а если подключаетесь к публичному, то перед вами вами появится окно для ввода данных для входа. Введите логин Everyone и пустой пароль, нажмите OK. В результате вы будете подключены к общему каталогу.

Если общий каталог находится на Linux?

Для подключения к публичной папке не требуется вводить логин или пароль, достаточно в адресную строку ввести нужный ip-адрес без ввода дополнительной информации. Для подключения к приватному каталогу введите логин и пароль пользователя в появившееся окно.