在被 DMZ 的 Windows Server 上开网络发现和文件共享安全吗?
longislet · 2021-06-16 12:54:43 +08:00 via Android · 1943 次点击这是一个创建于 1240 天前的主题,其中的信息可能已经有所发展或是发生改变。
先说环境,是运行 qBittorrent 的下载服务器,基于在看电影的同时不打断做种的需求,打算开文件共享。但是因为想从别的地点访问 qB 的管理页面,签了张证书就在路由器那把设备映射出去了。
这种情况下如果开了文件共享服务,设备可以在公网被访问到吗?需要加强密码吗?(以及加了强密码就安全了吗?)
另外,如果可以在公网被访问到,有没有办法实现修改端口,或者对访问的 ip 段进行限制?
这种情况下如果开了文件共享服务,设备可以在公网被访问到吗?需要加强密码吗?(以及加了强密码就安全了吗?)
另外,如果可以在公网被访问到,有没有办法实现修改端口,或者对访问的 ip 段进行限制?
 |
1
Tianao 2021-06-16 13:03:55 +08:00 via iPhone
这看你具体怎么做的映射,现在很少有 DMZ 这种说法。SMB 共享开自动更新积极打补丁是基本安全的(当然 Windows 要受支持)。必须强密码。
|
 |
2
suifengdang666 2021-06-16 13:06:42 +08:00
如果是 win 自己的 smb 协议,运营商会帮你把 ip 的 445 之类的 samba 端口封掉,基本不怕。但最好检查一下服务器开了啥端口,对公网开放 3389 rdp 端口是很危险的
|
 |
3
ysc3839 2021-06-16 15:28:47 +08:00 via Android
我认为不安全,因为 SMB 似乎没有验证证书的机制吧?那遇到了中间人攻击该如何防范呢?
|
 |
4
keepeye 2021-06-16 15:39:24 +08:00
路由器有防火墙吗?可以设置下特定端口只允许内网访问
|
 |
5
jim9606 2021-06-16 16:46:08 +08:00
一般的 Standalone 配置的 Windows Server 的 SMB 共享是简单的帐户+密码,证书是你开 Web 服务器用的吧?
建议禁用 SMBv1,按微软说法这个版本容易出漏洞。 至少个人认为有非特权文件共享专用账户+强密码,安全性应该跟一些第三方 FTP 差不多。 SMB 不支持更改端口。 |
|
6
jim9606 2021-06-16 16:54:37 +08:00
不过只是图方便的话,还是套个 VPN 吧,我想了下 SMB 的应用优势是在 Win 下可以像本地文件那样原地打开,也不需要上层软件专门适配。
SMB 有很多脚本会在公网扫描,那一堆失败日志会把危险信息淹没掉。 至于防中间人攻击的问题,SMB 确实没解决方案,用 WebDAV 吧。 |
 |
7
volks 2021-06-16 16:58:17 +08:00 via Android
Windows 防火墙默认是不允许外网访问文件共享的
|
 |
8
FISHA 2021-06-17 08:52:31 +08:00 via Android
个人认为不安全,也访问不到,但是可以使用端口转发,之前有试过转发各种端口,但发现效率并不可观,如果确定是使用 smb 协议推荐使用 zerotier 组虚拟内网安全性会更好一些,考虑效率的话还是推荐使用 WebDav 传输文件。
|
 |
9
yulgang 2021-06-17 10:22:50 +08:00
运营商在公网上默认已经封了 Windows 的默认文件共享吧。 😂
|
 |
10
longislet OP @suifengdang666 谢谢!装完系统就检查过一遍端口,ssh 和远程桌面相关都堵了
|
|
12
longislet OP @jim9606 谢谢!就是想问 smb 是否支持类似 web 服务器的证书加密方案,看了一圈似乎有难度。
但 smb 还是方便。我目前的方案是内网 smb 外网 WebDav,不转发端口,靠运营商屏蔽确保内网安全,开两个服务性能开销大了些,也只能这样了。 |
 |
13
hahaha777 2021-06-17 12:46:00 +08:00
@suifengdang666 咨询下大佬,如果对公网开放 rdp 端口,且密码是强密码,也会很危险吗?
|
|
14
suifengdang666 2021-06-22 14:09:47 +08:00
@hahaha777 只要是密码,终究会被破出来,建议套 vpn
|
Select Language