V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
longislet
V2EX  ›  Windows

在被 DMZ 的 Windows Server 上开网络发现和文件共享安全吗?

  •  
  •   longislet · 2021-06-16 12:54:43 +08:00 via Android · 1972 次点击
    这是一个创建于 1259 天前的主题,其中的信息可能已经有所发展或是发生改变。
    先说环境,是运行 qBittorrent 的下载服务器,基于在看电影的同时不打断做种的需求,打算开文件共享。但是因为想从别的地点访问 qB 的管理页面,签了张证书就在路由器那把设备映射出去了。
    这种情况下如果开了文件共享服务,设备可以在公网被访问到吗?需要加强密码吗?(以及加了强密码就安全了吗?)
    另外,如果可以在公网被访问到,有没有办法实现修改端口,或者对访问的 ip 段进行限制?
    14 条回复    2021-06-22 14:09:47 +08:00
    Tianao
        1
    Tianao  
       2021-06-16 13:03:55 +08:00 via iPhone
    这看你具体怎么做的映射,现在很少有 DMZ 这种说法。SMB 共享开自动更新积极打补丁是基本安全的(当然 Windows 要受支持)。必须强密码。
    suifengdang666
        2
    suifengdang666  
       2021-06-16 13:06:42 +08:00
    如果是 win 自己的 smb 协议,运营商会帮你把 ip 的 445 之类的 samba 端口封掉,基本不怕。但最好检查一下服务器开了啥端口,对公网开放 3389 rdp 端口是很危险的
    ysc3839
        3
    ysc3839  
       2021-06-16 15:28:47 +08:00 via Android
    我认为不安全,因为 SMB 似乎没有验证证书的机制吧?那遇到了中间人攻击该如何防范呢?
    keepeye
        4
    keepeye  
       2021-06-16 15:39:24 +08:00
    路由器有防火墙吗?可以设置下特定端口只允许内网访问
    jim9606
        5
    jim9606  
       2021-06-16 16:46:08 +08:00
    一般的 Standalone 配置的 Windows Server 的 SMB 共享是简单的帐户+密码,证书是你开 Web 服务器用的吧?
    建议禁用 SMBv1,按微软说法这个版本容易出漏洞。
    至少个人认为有非特权文件共享专用账户+强密码,安全性应该跟一些第三方 FTP 差不多。
    SMB 不支持更改端口。
    jim9606
        6
    jim9606  
       2021-06-16 16:54:37 +08:00
    不过只是图方便的话,还是套个 VPN 吧,我想了下 SMB 的应用优势是在 Win 下可以像本地文件那样原地打开,也不需要上层软件专门适配。
    SMB 有很多脚本会在公网扫描,那一堆失败日志会把危险信息淹没掉。
    至于防中间人攻击的问题,SMB 确实没解决方案,用 WebDAV 吧。
    volks
        7
    volks  
       2021-06-16 16:58:17 +08:00 via Android
    Windows 防火墙默认是不允许外网访问文件共享的
    FISHA
        8
    FISHA  
       2021-06-17 08:52:31 +08:00 via Android
    个人认为不安全,也访问不到,但是可以使用端口转发,之前有试过转发各种端口,但发现效率并不可观,如果确定是使用 smb 协议推荐使用 zerotier 组虚拟内网安全性会更好一些,考虑效率的话还是推荐使用 WebDav 传输文件。
    yulgang
        9
    yulgang  
       2021-06-17 10:22:50 +08:00
    运营商在公网上默认已经封了 Windows 的默认文件共享吧。 😂
    longislet
        10
    longislet  
    OP
       2021-06-17 12:20:09 +08:00 via Android
    @suifengdang666 谢谢!装完系统就检查过一遍端口,ssh 和远程桌面相关都堵了
    longislet
        11
    longislet  
    OP
       2021-06-17 12:21:01 +08:00 via Android
    @keepeye 没有,电信的家宽很烂
    longislet
        12
    longislet  
    OP
       2021-06-17 12:35:25 +08:00 via Android
    @jim9606 谢谢!就是想问 smb 是否支持类似 web 服务器的证书加密方案,看了一圈似乎有难度。
    但 smb 还是方便。我目前的方案是内网 smb 外网 WebDav,不转发端口,靠运营商屏蔽确保内网安全,开两个服务性能开销大了些,也只能这样了。
    hahaha777
        13
    hahaha777  
       2021-06-17 12:46:00 +08:00
    @suifengdang666 咨询下大佬,如果对公网开放 rdp 端口,且密码是强密码,也会很危险吗?
    suifengdang666
        14
    suifengdang666  
       2021-06-22 14:09:47 +08:00
    @hahaha777 只要是密码,终究会被破出来,建议套 vpn
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3845 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 10:26 · PVG 18:26 · LAX 02:26 · JFK 05:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.