On 08/20/2008 10:22 AM, Dominique H. Schramm (ML) wrote:
Stefan Biegmann schrieb:Ist es möglich, einen Sambaserver so einzurichten, dass dieser übers Internet erreichbar ist?Das ist ohne Probleme machbar.
Diese Aussage ist falsch. Es ist prinzipiell möglich, allerdings praktisch nicht haltbar, da SMB/CIFS keinerlei Verschlüsselung bietet wenn man es nicht tunnelt, wodurch es, auch wenn man wie vorgeschlagen die IP-Range einschränkt, zumindest das Mithören sehr einfach gestaltet. Wenn man die IP-Range nicht beschränkt ist das Problem von noch größerer Bedeutung, da ein Angreifer sich eventuell selbst anmelden kann. SMB/CIFS unterstützt zwar ein Challenge-Response Verfahren zur Authentisierung, (da dieses üblicherweise auf (NT)LM beruht, wage ich dessen Sicherheit auf Dauer anzuzweifeln, NTLMv2 ist eventuell sicherer, wird standardmäßig aber nicht verwendet) überträgt die Nutzdaten aber unverschlüsselt.
"Von der Nutzung des Freigabedienstes über das Internet [...] wird daher abgeraten." [1]
Und genau das ist auch meine Meinung, da SMB in meinen Augen ein Protokoll ist, dass keine wirkliche Sicherheit der Verbindung bietet und daher nur in vertrauenswürdigen Netzwerken eingesetzt werden sollte.
[1] http://www.informatik.fh-nuernberg.de/Professors/Trommler/internet_security/SMB_Ausarbeitung.pdf
Mit freundlichen Grüßen, Christian Franke
Attachment:
signature.asc
Description: OpenPGP digital signature