SMBv1 tietoturva

[jultsu]

Talouteen tuli uutta ser-romua, ml. wanha Applen Time Capsule (nas-purkki) jossa vain SMBv1 sekä AFP tuki. Jos tuota alkaisi käyttämään kotiverkossa myös Windows 10 laitteiden automaattiseen varmuuskopiointiin, pitää tuo SMBv1 tuki käydä erikseen ruksimassa niihin vehkeisiin päälle, mutta isot pojat kertovat että aiheuttaa kuuleman mukaan ison tietoturvariskin.

"Turn Windows features on/off" -valikon alta löytyy kolme eri vaihtoehtoa: SMB 1.0 client, SMB 1.0 server ja SMB 1.0 Automatic removal.

Auttaako se yhtään tietoturvan kanssa jos tuota serveriä ei ruksi päälle ja ottaa vain client-paketin? Tai onko tämä turhaa murehtimista, jos kone on reitittimen NATin takana ja taloudessa vain muutama kone joissa uusin käyttis (macOS / Windows) ?

 

[Infy]

Eipä sille ole väliä kunhan mikään Smb Serveriä pyörittävä laite ei ole auki julkiseen Internetiin, eikä mitään SMBv1-yhteyksiä oteta sellaisenaan julkisen internetin yli.

GRC | ShieldsUP! — Internet Vulnerability Profiling   tuolla voi helposti tarkastaa, että SMB-protokollan portit 139 ja 445 eivät ole palomuurissa/reitittimessä auki julksieen Internetiin päin.

 

[mRkukov]

Eipä sille ole väliä kunhan mikään Smb Serveriä pyörittävä laite ei ole auki julkiseen Internetiin, eikä mitään SMBv1-yhteyksiä oteta sellaisenaan julkisen internetin yli.

Myös salaamaton ftp on ihan validi tiedonsiirtoprotokola jos voi olla 100% varma että data kulkee vain luotetussa sisäverkossa. Se että aktivoi winkkarissa sen globaalisti ei silti pakosti ole hyvä idea.