SMB1 Sicherheit innerhalb des Netzwerkes bzw. Zugriff von außen

[Thlat]

Hallo zusammen.

Vorab muss ich einräumen, dass ich vom SMB-Protokoll wirklich nur sehr wenig bis gar keine Ahnung habe. Ich nutze einen Dokumentenscanner (Brother ADS-1700W), der per SMB2 Dokumente auf meine DS-920 ablegen kann.

Nun möchte mein Bruder sich einen Canon-Mulitfunktionsdrucker kaufen, mit dem er Dokumente auf seine DS-420 legen kann, der Drucker unterstützt aber nur SMB1. Auf der Synology ist standardmäßig SMB2 als Mindeststandard angelegt, weil SMB1 wohl zu unsicher ist.

Die DS-420 steht hinter einer Fritz!Box mit aktiver Firewall, einige Ports sind weitergeleitet, z.B. für Hyperbackup, Homebridge, etc.

Welche Art von Risiko geht man ein, wenn man auf so einem Gerät SMB1 aktiviert? Besteht die Gefahr, dass sich jemand unberechtigt über das Internet einhackt und z.B. auf die Daten auf den Laufwerken Zugriff erlangt? Oder ist das höhere Risiko nur auf den Zugriff aus LAN der Fritz!Box beschränkt?

Letzteres wäre kein Problem, da das ein Familiennetzwerk ist, in dem eh jeder vollen Zugriff auf das NAS hat. Ersteres hingegen wäre ein Problem.

Oder ist das Sicherheitsrisiko durch SMB1, vor dem gewarnt wird grundsätzlich anderer Natur?

 

[Jagnix]

einige Ports sind weitergeleitet, z.B. für Hyperbackup, Homebridge, etc.

Warum ?

da das ein Familiennetzwerk ist, in dem eh jeder vollen Zugriff auf das NAS hat.

Ohoh. Am besten noch mit Adminrechten ...

Oder ist das Sicherheitsrisiko durch SMB1, vor dem gewarnt wird grundsätzlich anderer Natur?

Stichwort Wanacry. Sowas gibt es auch für NASen.

 

[Jim_OS]

Besteht die Gefahr, dass sich jemand unberechtigt über das Internet einhackt und z.B. auf die Daten auf den Laufwerken Zugriff erlangt?

Ja

VG Jim

 

[AndiHeitzer]

Nun möchte mein Bruder sich einen Canon-Mulitfunktionsdrucker kaufen, mit dem er Dokumente auf seine DS-420 legen kann, der Drucker unterstützt aber nur SMB1.

Sowas würde ich heute nicht mehr kaufen.
SMB1 ist halt als nicht sicher eingestuft, also sollten Produkte, die sowas vorraussetzen, nicht mehr betrieben werden.

 

[ottosykora]

also ich weiss nicht, denke hier wird zu viel Sicherheit erwartet. Es geht doch um ein Heimnetz und einen Drucker/Scanner. Und die sind halt immer noch oft so. Ja, wenn jemand zu hause etwas angreifen will, dann wird es vielleicht einfacher mit SMB1, aber besteht so eine Gefahr?
Ja, vielleicht in einem grösseren Firmennetz macht man alles auf max , aber zu hause auf eigenem Schreibtisch?

Und wenn doch jemand unberechtigt in das Netzwerk eindringt, dann ist er drin und kann das machen was allen anderen im Netzwerk.

 

[Jim_OS]

Ich weiß zwar was Du meinst und ja ein "böser Bube" macht vielleicht auch einen Unterschied zwischen Firmennetz und privates LAN, aber sind einem die privaten Daten dann unwichtiger? Das man Angriffe auch auf private NAS nicht auschließen kann zeigen doch die Beispiele auch hier im Forum. Wenn ich dann über die Neuanschaffung eines Mulitfunktionsdrucker nachdenke, dann muss ich doch nicht unbedingt einen kaufen von dem ich weiß das dieser eine Sicherheitslücke für mein LAN bedeuten könnte, sofern es dafür keinen zwingenden Grund gibt.

VG Jim

 

[Thlat]

Warum ?



Ohoh. Am besten noch mit Adminrechten ...



Stichwort Wanacry. Sowas gibt es auch für NASen.

Warum Portfreigabe: z.B. wie gesagt für Hyperbackup. Ich fahre eine 3-2-1-Backupstrategie, habe noch ein altes QNAP hier im eigenen Haus, das drei mal die Woche für zwei Stunden hochfährt und auf dessen Einzelplatte das Synology sich dann komplett spiegelt, aber um meine wirklich wichtigen Daten auch gegen Hausbrand, Diebstahl oder Meteoriteneinschlag zu sichern werden die auch noch zwei mal die Woche auf die Synology meines Bruders in 400 km Entfernung gesichert. Er macht es umgekehrt auf meine.

Der zweite Port ist nicht Homebridge sondern der WebDAV-Server, der allerdings nur auf genau einen Ordner der Synology Schreib- und Leserechte hat, damit ich auf meine, der Bruder auf seine DS mit der Scanner-App des Handys Dokumente gleich von unterwegs digital ablegen kann.


Adminrechte: Nein, der Adminzugriff ist nicht den normalen Usern gestattet.



Aber ok, der zu kaufende Scanner wird dann wohl SMB2 oder 3 haben müssen.

 

[Stationary]

Kann der Canon kein FTP?

 

[Stationary]

einige Ports sind weitergeleitet, z.B. für Hyperbackup, Homebridge, etc.

Warum kein VPN?

 

[ottosykora]

"böser Bube" macht vielleicht auch einen Unterschied zwischen Firmennetz und privates LAN,

so ist es nicht gemeint, aber ob ich zu hause intern was so oder so übertrage, oder gar mit Morsezeichen , das ist doch egal

 

[NSFH]

Also erstmal wäre SMB für das Internet frei zugeben der SuperSuperGau!
Der richtige Ansatz wäre eigentlich alles nach Aussen zu zu machen und den Zugriff nur via VPN zu erlauben. Dann könnte man auch SMB und alle lokalen Drucker/Scanner nutzen.

 

[ottosykora]

so etwa meine ich es eben, also SMB hat natürlich nichts im Internet zu suchen, aber wer versucht schon so was?

Zu hause einen Scanner betreiben und daraus ein Sicherheitsdrama zu machen finde ich einfach schon etwas übertrieben

 

[Synchrotron]

SMB ist seit mehr als 10 Jahren als „unsicher - nicht zu patchen“ eingestuft.

Falls es um ein neues MuFu geht, dass immer noch nur SMB1 kann, würde ich es schlicht nicht kaufen. Die haben den Schuß wohl nicht gehört ! Da würde ich einfach unterstellen, dass noch andere Sicherheitslücken schlummern.

Wer alte SMB1-Geräte mit niedrigen Leistungsanforderungen ohne Risiko für die Kerngeräte ins Heimnetzwerk integrieren will, kann es so machen:

https://bitfuck.net/2020/11/26/raspberry-pi-als-smb1-smb2-3-gateway/

Das macht es nicht sicher, aber vermeidet zumindest, dass man SMB1 auf kritischen Netzwerkgeräten freigeben muss.

Das betreffende Heimnetzwerk würde ich grundsätzlich nur über VPN erreichbar machen. Nimmt man diese Anleitung und einen potenten Pi 4, dann kann man darauf gleich WireGuard VPN darauf installieren. Packt er locker gleichzeitig, ohne warm zu werden.

 

[ottosykora]

SMB ist seit mehr als 10 Jahren als „unsicher - nicht zu patchen“ eingestuft.

unsicher gegen was?
es doch nur für internen Gebrauch

 

[Benares]

Denke auch, dass SMB1, rein intern verwendet, ein überschaubares Risiko darstellt.

 

[sky63]

Es ist aber doch i.d.R. nichts rein intern. Oder hängen in dem betreffenden Netz nur Clients die nicht ins I-Net kommen?

Abgesehen davon ist es ein überschaubarer Aufwand ein Produkt nicht zu kaufen welches heute noch SMB1 voraussetzt.

gruss,
sky

 

[Synchrotron]

unsicher gegen was?
es doch nur für internen Gebrauch

Unsicher dagegen, einen Zugriff über SMB1 unter Kontrolle halten zu können. Wenn auf einem Server SMB1 aktiviert ist, öffnet das faktisch eine Hintertür, über der der gesamte Server kompromittiert werden kann.

Ja, es sollte nur intern in einem sicheren Netzwerk verwendet werden. Aber es exponiert eben den gesamten Server, auf dem dieses Protokoll aktiviert wurde.

Das ist die Idee hinter der SSMB1/SMB2-Brücke auf einem Raspberry Pi: Exponiert wird nur der Pi, alle anderen Geräte können auf SMB2/3 bleiben. Damit bleibt ihre Sicherheit intakt.

 

[Thlat]

Warum kein VPN?

Gute Frage. Muss ich mich mal mit beschäftigen.

Kann man auf einem der Synologys einen VPN einrichten, der sich immer nur für ein oder zwei Stunden während der Backup-Zeit automatisch aktiviert und danach auch wieder ausschaltet?

 

[the other]

Moinsen,
Gegenfrage: nutzt ihr beiden wie so viele Menschen in Deutschland ggf. eine Fritzbox? Dann könnt ihr eure Netze darüber bequem und sicher per VPN verbinden (falls ihr nicht gerade DS lite Anschlüsse euer Eigen nennt).
Generell (wie schon hier angemerkt): VPN bietet sich dafür super an, Freigaben im Router sollten tendenziell vermieden werden, wenn das Heimnetz dann nach außen abgesichert(er) ist, dann kannst du rein intern IMHO durchaus SMBv1 noch nutzen. Egal welches SMB, niemals nicht ins offene Internet damit (nur via VPN Tunnel eben)! Und klar ist es doof, dass das neugekaufte Gerät kein SMBv2 oder höher kann, die gehen halt gerade reduziert raus. Hm, warum wohl? Jetzt ist das Ding da und wenn das Resultat ist, dass ihr beiden über eine sicherere Vernetzungsmethode als bloße Portfreigaben im Router (mit UP&P am besten noch) nachdenkt, dann ist doch top...

 

[EDvonSchleck]

Ich nutze seit Jahren einen Maxify Drucker ohne Probleme. Auch wenn dieser nur SMB1 kann, sehe ich kein Problem im heimischen Gebrauch. Keiner kann ausschließen, dass es keine weiteren Zero-Day-Exploits in anderen Anwendungen oder Geräten gibt. Gerade den ganzen IoT-Müll sehe ich dort weitaus gefährlicher. Wer auf Nummer sicher gehen will, kapselt das Gerät mit VLAN vom eigentlichen Netzwerk ab. Internetzugang hat mein Drucker eh nicht, auch werden bei Canon Firmwareupdates eh nur genutzt, um Fremdpatronen zu sperren bzw. unbrauchbar zu machen. Wer dazu noch VPN einsetzt, sollte gut gerüstet sein.

Auch, wenn SMB1 eine Sicherheitslücke darstellt, kann das Einfallstor noch ein viel einfacheres sein, was einen genauso großen Schaden oder sogar größeren auslöst.