在被 DMZ 的 Windows Server 上开网络发现和文件共享安全吗?
longislet 2021-06-16 12:54:43 +08:00 via Android 2443 次点击这是一个创建于 1589 天前的主题,其中的信息可能经有所发展或是发生改变。
先说环境,是运行 qBittorrent 的下载服务器,基于在看电影的同时不打断做种的需求,打算开文件共享。但是因为想从别的地点访问 qB 的管理页面,签了张证书就在路由器那把设备映射出去了。
这种情况下如果开了文件共享服务,设备可以在公网被访问到吗?需要加强密码吗?(以及加了强密码就安全了吗?)
另外,如果可以在公网被访问到,有没有办法实现修改端口,或者对访问的 ip 段进行限制?
这种情况下如果开了文件共享服务,设备可以在公网被访问到吗?需要加强密码吗?(以及加了强密码就安全了吗?)
另外,如果可以在公网被访问到,有没有办法实现修改端口,或者对访问的 ip 段进行限制?
 | 1 Tianao 2021-06-16 13:03:55 +08:00 via iPhone 这看你具体怎么做的映射,现在很少有 DMZ 这种说法。SMB 共享开自动更新积极打补丁是基本安全的(当然 Windows 要受支持)。必须强密码。 |
 | 2 bpf2049 2021-06-16 13:06:42 +08:00 如果是 win 自己的 smb 协议,运营商会帮你把 ip 的 445 之类的 samba 端口封掉,基本不怕。但最好检查一下服务器开了啥端口,对公网开放 3389 rdp 端口是很危险的 |
 | 3 ysc3839 2021-06-16 15:28:47 +08:00 via Android 我认为不安全,因为 SMB 似乎没有验证证书的机制吧?那遇到了中间人攻击该如何防范呢? |
 | 4 keepeye 2021-06-16 15:39:24 +08:00 路由器有防火墙吗?可以设置下特定端口只允许内网访问 |
 | 5 jim9606 2021-06-16 16:46:08 +08:00 一般的 Standalone 配置的 Windows Server 的 SMB 共享是简单的帐户+密码,证书是你开 Web 服务器用的吧? 建议禁用 SMBv1,按微软说法这个版本容易出漏洞。 至少个人认为有非特权文件共享专用账户+强密码,安全性应该跟一些第三方 FTP 差不多。 SMB 不支持更改端口。 |
| 6 jim9606 2021-06-16 16:54:37 +08:00 不过只是图方便的话,还是套个 VPN 吧,我想了下 SMB 的应用优势是在 Win 下可以像本地文件那样原地打开,也不需要上层软件专门适配。 SMB 有很多脚本会在公网扫描,那一堆失败日志会把危险信息淹没掉。 至于防中间人攻击的问题,SMB 确实没解决方案,用 WebDAV 吧。 |
 | 7 volks &nbs;2021-06-16 16:58:17 +08:00 via Android Windows 防火墙默认是不允许外网访问文件共享的 |
 | 8 FISHA 2021-06-17 08:52:31 +08:00 via Android 个人认为不安全,也访问不到,但是可以使用端口转发,之前有试过转发各种端口,但发现效率并不可观,如果确定是使用 smb 协议推荐使用 zerotier 组虚拟内网安全性会更好一些,考虑效率的话还是推荐使用 WebDav 传输文件。 |
 | 9 yulgang 2021-06-17 10:22:50 +08:00 运营商在公网上默认已经封了 Windows 的默认文件共享吧。 |
 | 10 longislet OP @suifengdang666 谢谢!装完系统就检查过一遍端口,ssh 和远程桌面相关都堵了 |
| 12 longislet OP @jim9606 谢谢!就是想问 smb 是否支持类似 web 服务器的证书加密方案,看了一圈似乎有难度。 但 smb 还是方便。我目前的方案是内网 smb 外网 WebDav,不转发端口,靠运营商屏蔽确保内网安全,开两个服务性能开销大了些,也只能这样了。 |
 | 13 hahaha777 2021-06-17 12:46:00 +08:00 @suifengdang666 咨询下大佬,如果对公网开放 rdp 端口,且密码是强密码,也会很危险吗? |
Select Language