互联网 – >调制解调器 – > WRT54G – >集线器 – > winxp工作站& linux smb服务器.
它基本上是一个家庭式的分布式互联网连接设置,除了它在学校.我想要的是远程,异地smb访问.我想我需要找出哪些端口需要转发,然后将它们转发到路由器上的服务器.我在SF的另一个问题上告诉我,多个端口需要转发,而且有点复杂.我需要知道的一件事是哪些端口需要转发,以及由此产生的并发症或漏洞.在您这样做之前,您认为我应该拥有的任何其他信息都会很棒.我被告知SMB不支持加密,这很好.鉴于我设置了身份验证/访问控制,所有这一切意味着,一旦我的一个用户进行身份验证并开始下载数据,未加密的流量就会被MITM拦截并读取,对吗?鉴于这是由于缺乏加密而引起的唯一问题,这对我来说并不重要.我想它也可能意味着MITM将错误数据注入数据流,例如:用户请求文件A,MITM拦截并用一些错误数据替换文件A的内容.这也不是一个真正的问题,因为我的用户会知道出了什么问题,并且不管怎样,任何人都不可能有这样做的动机.
我被告知的另一件事是微软对SMB的不良实施,以及其安全性的废话记录.如果只有客户端是MS,这是否适用?我的服务器是linux.
解决方法
SMB不是您已经找到的加密协议,因此我强烈建议不要直接向外界打开它,而不是允许用户通过SSH提供的安全隧道或某种形式的更通用VPN进行连接.我相信所使用的身份验证方法在平原上是安全的(这是一种挑战响应安排,不需要传输纯文本凭据)所以如果你能保证共享上的内容不敏感,你就可以逃脱没有使用隧道/ VPN,但我仍然建议将其作为额外的安全级别,如果只是为了让你可以控制谁与远程访问者分开远程访问. SSH隧道或VPN也可以支持压缩,这将在远程访问共享时降低带宽要求.
在我最近的记忆中没有成功报告针对Samba的未经身份验证的远程攻击,所以从这个角度来看你可能是安全的,尽管我再次提出隧道协议而不是打开它.如果发现任何可远程利用的问题,请将端口139和其他人打开以进行尝试.
另一个严重的问题是用户密码安全性.如果服务是打开的,并且用户有一个不安全的密码(不够复杂,或者是一个可以被破解者猜出的东西,等等)那么你就会遇到严重的问题.所以你需要确保你有一个好的密码策略.使用像OpenVPN这样的VPN可以缓解这种情况,因为人们也需要拥有VPN的密钥集,尽管你不能保证用户也能保证他们的私钥安全……
