Re: Sambaserver übers Internet erreichbar machen

To: debian-user-german@lists.debian.org
Subject: Re: Sambaserver übers Internet erreichbar machen
From: "Dominique H. Schramm (ML)" <lists@schramm.es>
Date: Wed, 20 Aug 2008 11:35:20 +0200
Message-id: <[🔎] 48ABE558.7080601@schramm.es>
In-reply-to: <[🔎] 48ABE1C8.9080309@yahoo.de>
References: <[🔎] 90E61BC74C4B49AEB9DFF795B7CF68CC@smile> <[🔎] 48ABD442.70103@schramm.es> <[🔎] 48ABE1C8.9080309@yahoo.de>

Hallo,

Christian Franke schrieb:
> On 08/20/2008 10:22 AM, Dominique H. Schramm (ML) wrote:
>> Stefan Biegmann schrieb:
>>> Ist es möglich, einen Sambaserver so
>>> einzurichten, dass dieser übers
>>> Internet erreichbar ist?
>> Das ist ohne Probleme machbar.
> 
> Diese Aussage ist falsch. Es ist prinzipiell möglich, allerdings

Nein ist Sie nicht. Ich beschränke mich dabei auf die REINE
Verfügbarkeit des Dienstes über das Internet ohne jegwelchen
Sicherheitsbedenken. Danach hat der Benutzer auch nicht gefragt. Er
fragt ob es möglich ist einen solchen Dienst über das Internet
erreichbar zu machen, nicht welche Sicherheitsrisiken das mit sich bringt.

> praktisch nicht haltbar, da SMB/CIFS keinerlei Verschlüsselung bietet
> wenn man es nicht tunnelt, wodurch es, auch wenn man wie vorgeschlagen
> die IP-Range einschränkt, zumindest das Mithören sehr einfach gestaltet.

Das habe ich auch nie angezweifelt bzw. darstellen wollen, dass durch
das Einschränken der IP Range eine Sicherheit aufgebaut wird. Eine
solche Behauptung wäre schlichtweg Unsinn.

> Wenn man die IP-Range nicht beschränkt ist das Problem von noch größerer
> Bedeutung, da ein Angreifer sich eventuell selbst anmelden kann.
> SMB/CIFS unterstützt zwar ein Challenge-Response Verfahren zur
> Authentisierung, (da dieses üblicherweise auf (NT)LM beruht, wage ich
> dessen Sicherheit auf Dauer anzuzweifeln, NTLMv2 ist eventuell sicherer,
> wird standardmäßig aber nicht verwendet) überträgt die Nutzdaten aber
> unverschlüsselt.
> 
> "Von der Nutzung des Freigabedienstes über das Internet [...] wird daher
> abgeraten." [1]

Und damit wird meine Aussage oben nochmal bestätigt, es wird lediglich
ABGERATEN aber es ist nicht unmöglich, bzw. machbar und das
beantwortet die Frage des TO.

> Und genau das ist auch meine Meinung, da SMB in meinen Augen ein

Die Meinung der Sicherheit teile ich hier, allerdings hat der TO nicht
nach unserer Meinung gefragt, sondern nur über die Machbarkeit und
diese habe ich beantwortet.

-- 

Viele Grüße

Dominique H. Schramm	| Linux Administrator
schwarz-weiss.cc	| Life between PuTTy and reality
ihr-linuxadmin.eu	| Commercial Admin Service

Reply to:

Follow-Ups:
- Re: Sambaserver übers Internet erreichbar machen
  - From: "M. Houdek" <linux@houdek.de>

References:
- Sambaserver übers Internet erreichbar machen
  - From: "Stefan Biegmann" <webmaster@smileservice.de>
- Re: Sambaserver übers Internet erreichbar machen
  - From: "Dominique H. Schramm (ML)" <lists@schramm.es>
- Re: Sambaserver übers Internet erreichbar machen
  - From: Christian Franke <cfchris6@yahoo.de>

Prev by Date: Re: Frage zu AIDE
Next by Date: Re: Hardware RAID1
Previous by thread: Re: Sambaserver übers Internet erreichbar machen
Next by thread: Re: Sambaserver übers Internet erreichbar machen
Index(es):
- Date
- Thread