Je bezpečné otevřít Sambu do Internetu?

M.

Re:Je bezpečné otevřít Sambu do Internetu?
« Odpověď #30 kdy: 26. 08. 2016, 09:03:59 »
Nebylo by lepsi pouzit nejaky prehistoricky SMB protokol bez sifrovani nebo nejakym smesnym sifrovanim a tlacit to skrz ssh tunel? Kdyz uz to tedy musi byt z tch Widli, tak skrz PuTTY by to melo jit.

Násilím snižovat používanou verzi SMB protokolu kvůli vyhnutí se šifrování v SMB vrstvě je blbost. Používal bych to, co klient nativně používá (SMB2.x pro W7 až SMB3 pro W10) a jen nezapínal šifrování přenášených dat jako povinné (smb encrypt=...).
Že by se to pak mělo něčím rozumně tunelovat přes Internet je již věc jiná a i otázka náboženské preference.
V Sambě jde požadavek na šifrování přenosu zapínat pro jednotlivé sdílené složky, takže fiemní sklad porna bez šifrování a složka s výplatníma páskama může mít nastavenu povinnost šifrovat přenášená data. Akorát Win10 klient se chová tak, že jak jednou pro nějaké sdílení dostane příkaz šifrovat, tak pak už šifruje vše přenášené s daným serverem.


Trupik

Re:Je bezpečné otevřít Sambu do Internetu?
« Odpověď #31 kdy: 26. 08. 2016, 09:51:51 »
Fail2ban není bezpečnostní opatření, je to jen hračka (dobrá akorát tak k tomu, abyste útočníkovi usnadnil DoS). Takže musíte počítat s tím, že útočník bude zkoušet jedno heslo za druhým. Pokud chcete omezovat počet pokusů o přihlášení, musí to podporovat přímo příslušný autentizační server – a Samba to pokud vím neumí.

Muzes to trochu rozvest?

Klient se pokusi pripojit a zada spatne heslo - ulozi se zaznam do logu.
Fail2ban cte logy a pokud najde napr. 3 neuspesne pokusy o prihlaseni za posledni minutu, na 10 minut nastavi DROP na IP klienta, ktery se snazil pripojit.
Aby mohl zkouset jedno heslo za druhym, musel byt mit hodne IP, nejaky botnet. Uznavam, ze proti tomu fail2ban ucinny neni.
I tak jsem presveceny, ze fail2ban ma smysl.

V reálu je už více útoků z botnetů, než z jednotlivých IP, 2 roky zpátky jsem si testoval mailserver s pár set účty. Z cca. 800 útoků bylo zhruba 300 z jedné IP, 50 3 pokusy z různých IP (ještě odchytitelné) a zbytek byl co pokus to jedna IP. A od té doby je to horší a horší. Fail2ban může fungovat, ale jen když jej máte třeba na loadbalanceru, takže analyzuje traffic/útoky na více serverů na jednom místě, ty IP se recyklují napříč více schránek/webů. Ale na jeden port/IP/web to už nemá smysl.
V reáli väčšina ľudí zomrie na kardiovaskulárne ochorenia. Na pád z výšky zomiera len nepatrné množstvo ľudí. Preto nemá zmysel na balkón montovať zábradlie.

DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re:Je bezpečné otevřít Sambu do Internetu?
« Odpověď #32 kdy: 26. 08. 2016, 11:19:15 »
První a poslední, co každý rozumný ISP blokuje, je nic. Říká se tomu síťová neutralita. Pokud ti ISP něco blokuje, reklamuj to, protože ti neposkytuje internet, ale jakousi okleštěnou cenzurovanou službu částečného přístupu kdoví kam.


Zkuste se takto  bavit s jediným (navíc nadnárodním) providerem v místě :-) Opravdu to blokuje dost poskytovatelů, třeba UPC nebo Netbox.

Lol Phirae

Re:Je bezpečné otevřít Sambu do Internetu?
« Odpověď #33 kdy: 26. 08. 2016, 16:33:49 »
Ne.  ::)

j

Re:Je bezpečné otevřít Sambu do Internetu?
« Odpověď #34 kdy: 26. 08. 2016, 17:02:21 »
První a poslední, co každý rozumný ISP blokuje, je nic. Říká se tomu síťová neutralita. Pokud ti ISP něco blokuje, reklamuj to, protože ti neposkytuje internet, ale jakousi okleštěnou cenzurovanou službu částečného přístupu kdoví kam.


Zkuste se takto  bavit s jediným (navíc nadnárodním) providerem v místě :-) Opravdu to blokuje dost poskytovatelů, třeba UPC nebo Netbox.
Vztyceny prostrednik je tak jedine, co by takovy "provider" videl ... a ne, UPC kupodivu nic neblokuje.


JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Je bezpečné otevřít Sambu do Internetu?
« Odpověď #35 kdy: 26. 08. 2016, 17:16:14 »
Vztyceny prostrednik je tak jedine, co by takovy "provider" videl ... a ne, UPC kupodivu nic neblokuje.

Chapes, co znamena "jediny provider v miste"?