Guía de puertos SMB: compartir archivos en el puerto 445

SMB permite a los clientes explorar recursos compartidos, leer y escribir archivos, bloquear archivos, usar impresoras y acceder a canalizaciones con nombre a través de la red. Un cliente se conecta al servidor SMB, negocia el dialecto SMB, se autentica con credenciales locales, de dominio o respaldadas por directorio y luego solicita acceso a un recurso compartido específico.

Las implementaciones modernas deben usar SMB 2 o SMB 3. SMB 1 está obsoleto y debe deshabilitarse a menos que una dependencia heredada estrechamente aislada realmente lo requiera. SMB 3 puede admitir firma, cifrado, rendimiento multicanal y mejor resiliencia, pero esas características aún dependen de la política correcta del servidor y del cliente.

SMB es el protocolo. Samba es una implementación de código abierto que permite que los sistemas Linux y Unix proporcionen recursos compartidos de archivos SMB e se integren con redes Windows. En Windows, SMB está integrado en el sistema operativo y se expone a través de funciones para compartir archivos e impresoras.

El puerto 445 es SMB alojado directamente y es el puerto principal para comprobar el uso compartido de archivos moderno. Los SMB más antiguos basados ​​en NetBIOS pueden incluir UDP 137, UDP 138 y TCP 139. Esos puertos heredados son diferentes del SMB directo en 445 y normalmente deberían permanecer cerrados a menos que tenga un requisito de red más antiguo específico.

En la mayoría de los casos, no. Las PYMES deben permanecer en redes privadas, VPN, túneles de sitio a sitio, rutas de acceso de confianza cero o listas permitidas de IP de origen de alcance estricto. La exposición pública de las PYMES invita a la distribución de contraseñas, la enumeración de recursos compartidos, la preparación de ransomware y la explotación de sistemas obsoletos.

Si un usuario remoto necesita acceso a archivos, prefiera una VPN, un servicio de transferencia de archivos administrado, una puerta de enlace de archivos en la nube, un punto final privado o una plataforma de documentos basada en web. Si un socio externo debe llegar a SMB, restrinja la red de origen, exija controles de identidad estrictos, supervise cada conexión y evite permisos de escritura amplios.

Antes de permitir TCP 445, confirme que un servicio SMB real esté escuchando y que los recursos compartidos, usuarios, grupos y permisos coincidan con el flujo de trabajo previsto. Decida si el acceso de invitados está deshabilitado, si se requiere firma o cifrado SMB y si los dialectos más antiguos, como SMB 1, están bloqueados.

Un verificador de puertos puede indicarle si se puede acceder a TCP 445 desde fuera de la red, pero no puede probar que un usuario pueda acceder a un recurso compartido de forma segura. Utilice pruebas de clientes SMB y registros del servidor para validar la autenticación, los permisos de nivel compartido, las ACL del sistema de archivos o NTFS y la política de auditoría.

En Windows Server o Windows Pro, habilite Compartir archivos e impresoras o la función de Servidor de archivos, cree el recurso compartido, establezca permisos compartidos y ACL del sistema de archivos y permita TCP 445 entrante en el Firewall de Windows Defender. Los entornos de dominio deberían utilizar grupos en lugar de asignar permisos a usuarios individuales.

En Linux, instale y configure Samba, defina recursos compartidos en smb.conf, cree o asigne usuarios y permita TCP 445 a través de ufw, firewalld, nftables o su grupo de seguridad en la nube. Para entornos mixtos, confirme la resolución de nombres y la integración de autenticación antes de exponer el recurso compartido a los usuarios.

En dispositivos NAS, habilite SMB solo para las redes que lo necesiten, deshabilite los recursos compartidos invitados a menos que sea intencional y mantenga el firmware actualizado. Muchos incidentes de seguridad de NAS provienen de interfaces de administración expuestas a Internet y servicios de intercambio de archivos que nunca debieron ser públicos.

Comience con una verificación del puerto externo con el nombre de host o la dirección IP y el puerto 445. Si el resultado está abierto, un cliente remoto puede comunicarse con el oyente SMB. Luego pruebe el recurso compartido real con una ruta UNC de Windows como \\server\share, smbclient en Linux o un administrador de archivos que admita SMB.

En el servidor, confirme el oyente con PowerShell, netstat, ss o la página de estado de su NAS. Si el puerto está abierto pero el acceso compartido falla, inspeccione las credenciales, la confianza del dominio, los permisos compartidos, las ACL del sistema de archivos, la política de dialecto SMB, los requisitos de firma y los registros de eventos del servidor.

Si el puerto 445 está cerrado, el servicio SMB puede estar deshabilitado, bloqueado por el firewall del host, vinculado solo a una interfaz privada u oculto detrás de una ruta VPN. Si la conexión se agota, es posible que un enrutador, un firewall en la nube, un ISP, una política de salida corporativa o una lista permitida de IP de origen estén interrumpiendo el tráfico.

Si el puerto 445 está abierto pero los usuarios no pueden acceder a un recurso compartido, verifique el nombre exacto del recurso compartido, el formato del nombre de usuario, la membresía del dominio, la sincronización del reloj, el estado de la contraseña, los permisos NTFS o POSIX, las restricciones de invitados y la política de cifrado o firma SMB. Muchas fallas de SMB se deben a problemas de permisos o de identidad en lugar de problemas de puertos.

Mantenga a las PYMES alejadas de la Internet pública siempre que sea posible. Deshabilite SMB 1, requiera una autenticación sólida, elimine el acceso de invitados, aplique permisos con privilegios mínimos y parchee rápidamente el firmware de Windows, Samba y NAS. Para recursos compartidos confidenciales, solicite la firma o el cifrado de SMB cuando el rendimiento y la asistencia al cliente lo permitan.

Realice una copia de seguridad de los datos compartidos, pruebe las restauraciones, registre el acceso a carpetas confidenciales y alerte sobre un volumen de escritura inusual, inicios de sesión fallidos o acceso desde redes inesperadas. Si las PYMES deben cruzar sitios, transfiéralo a través de una VPN, un circuito privado o una capa de acceso de confianza cero en lugar de una exposición directa a Internet.