SMB-poortgids: bestanden delen op poort 445

Met SMB kunnen clients door gedeelde bestanden bladeren, bestanden lezen en schrijven, bestanden vergrendelen, printers gebruiken en toegang krijgen tot Named Pipes via het netwerk. Een client maakt verbinding met de SMB-server, onderhandelt over het SMB-dialect, authenticeert met lokale, domein- of mapgebaseerde inloggegevens en vraagt ​​vervolgens toegang tot een specifieke share.

Moderne implementaties zouden SMB 2 of SMB 3 moeten gebruiken. SMB 1 is verouderd en moet worden uitgeschakeld, tenzij een strak geïsoleerde bestaande afhankelijkheid dit echt vereist. SMB 3 kan ondertekening, encryptie, meerkanaalsprestaties en een betere veerkracht ondersteunen, maar deze functies zijn nog steeds afhankelijk van het juiste server- en clientbeleid.

SMB is het protocol. Samba is een open-sourceimplementatie waarmee Linux- en Unix-achtige systemen SMB-bestandsshares kunnen bieden en kunnen integreren met Windows-netwerken. In Windows is SMB ingebouwd in het besturingssysteem en beschikbaar via de functies Bestands- en printerdeling.

Poort 445 is direct gehoste SMB en is de belangrijkste poort om te controleren op moderne bestandsdeling. Oudere, op NetBIOS gebaseerde SMB kunnen UDP 137, UDP 138 en TCP 139 omvatten. Deze oudere poorten verschillen van directe SMB op 445 en zouden normaal gesproken gesloten moeten blijven, tenzij u een specifieke oudere netwerkvereiste hebt.

In de meeste gevallen niet. Het MKB moet op particuliere netwerken, VPN's, site-to-site tunnels, zero-trust toegangspaden of strak gedefinieerde bron-IP-toelatingslijsten blijven. Publieke blootstelling aan het MKB leidt tot het opsommen van wachtwoorden, het opsommen van aandelen, het opzetten van ransomware en de exploitatie van verouderde systemen.

Als een externe gebruiker toegang tot bestanden nodig heeft, geeft u de voorkeur aan een VPN, een beheerde service voor bestandsoverdracht, een bestandsgateway in de cloud, een privé-eindpunt of een webgebaseerd documentplatform. Als een externe partner SMB moet bereiken, beperk dan het bronnetwerk, vereis krachtige identiteitscontroles, controleer elke verbinding en vermijd brede schrijfrechten.

Voordat u TCP 445 toestaat, moet u bevestigen dat een echte SMB-service luistert en dat de shares, gebruikers, groepen en machtigingen overeenkomen met de beoogde workflow. Bepaal of gasttoegang is uitgeschakeld, of SMB-ondertekening of -codering vereist is en of oudere dialecten zoals SMB 1 zijn geblokkeerd.

Een poortcontrole kan u vertellen of TCP 445 bereikbaar is van buiten het netwerk, maar kan niet bewijzen dat een gebruiker veilig toegang heeft tot een share. Gebruik SMB-clienttests en serverlogboeken om authenticatie, machtigingen op shareniveau, NTFS- of bestandssysteem-ACL's en auditbeleid te valideren.

Schakel op Windows Server of Windows Pro Bestands- en printerdeling of de rol Bestandsserver in, maak de share, stel machtigingen voor delen en bestandssysteem-ACL's in en sta inkomende TCP 445 toe in Windows Defender Firewall. Domeinomgevingen moeten groepen gebruiken in plaats van machtigingen toe te wijzen aan individuele gebruikers.

Op Linux installeert en configureert u Samba, definieert u shares in smb.conf, maakt u gebruikers aan of wijst u deze toe, en staat u TCP 445 toe via ufw, firewalld, nftables of uw cloudbeveiligingsgroep. Voor gemengde omgevingen moet u de naamomzetting en authenticatie-integratie bevestigen voordat u de share aan gebruikers beschikbaar stelt.

Schakel op NAS-apparaten SMB alleen in voor de netwerken die het nodig hebben, schakel gastshares uit tenzij dit opzettelijk gebeurt, en houd de firmware up-to-date. Veel NAS-beveiligingsincidenten komen voort uit aan het internet blootgestelde beheerinterfaces en diensten voor het delen van bestanden die nooit openbaar bedoeld waren.

Begin met een externe poortcontrole aan de hand van de hostnaam of het IP-adres en poort 445. Als het resultaat open is, kan een externe client de SMB-listener bereiken. Test vervolgens de daadwerkelijke share met een Windows UNC-pad zoals \\server\share, smbclient op Linux of een bestandsbeheerder die SMB ondersteunt.

Bevestig de luisteraar op de server met PowerShell, netstat, ss of uw NAS-statuspagina. Als de poort open is maar de toegang tot het delen mislukt, inspecteert u de inloggegevens, het domeinvertrouwen, de machtigingen voor delen, de ACL's van het bestandssysteem, het SMB-dialectbeleid, de ondertekeningsvereisten en de servergebeurtenislogboeken.

Als poort 445 gesloten is, is de SMB-service mogelijk uitgeschakeld, geblokkeerd door de hostfirewall, alleen gebonden aan een privé-interface of verborgen achter een VPN-pad. Als er een time-out optreedt bij de verbinding, kan het zijn dat een router, cloudfirewall, ISP, bedrijfsbeleid voor uitgaand verkeer of bron-IP-toelatingslijst het verkeer tegenhoudt.

Als poort 445 open is maar gebruikers geen toegang hebben tot een share, controleer dan de exacte sharenaam, gebruikersnaamindeling, domeinlidmaatschap, kloksynchronisatie, wachtwoordstatus, NTFS- of POSIX-machtigingen, gastbeperkingen en SMB-ondertekenings- of coderingsbeleid. Veel SMB-fouten zijn problemen met toestemming of identiteit en niet zozeer met poortproblemen.

Houd het MKB zoveel mogelijk buiten het openbare internet. Schakel SMB 1 uit, vereis sterke authenticatie, verwijder gasttoegang, pas machtigingen met de minste rechten toe en patch snel Windows-, Samba- en NAS-firmware. Voor gevoelige shares is SMB-ondertekening of -versleuteling vereist als de prestaties en clientondersteuning dit toelaten.

Maak een back-up van gedeelde gegevens, test herstelbewerkingen, log toegang tot gevoelige mappen en waarschuwing bij ongebruikelijk schrijfvolume, mislukte aanmeldingen of toegang vanaf onverwachte netwerken. Als het MKB sites moet oversteken, draag dit dan over een VPN, een privécircuit of een zero-trust-toegangslaag in plaats van over onbewerkte internetblootstelling.