SMB1 Sicherheit innerhalb des Netzwerkes bzw. Zugriff von außen

Thlat

Benutzer
Mitglied seit
11. Jul 2022
Beiträge
43
Punkte für Reaktionen
5
Punkte
8
Hallo zusammen.

Vorab muss ich einräumen, dass ich vom SMB-Protokoll wirklich nur sehr wenig bis gar keine Ahnung habe. Ich nutze einen Dokumentenscanner (Brother ADS-1700W), der per SMB2 Dokumente auf meine DS-920 ablegen kann.

Nun möchte mein Bruder sich einen Canon-Mulitfunktionsdrucker kaufen, mit dem er Dokumente auf seine DS-420 legen kann, der Drucker unterstützt aber nur SMB1. Auf der Synology ist standardmäßig SMB2 als Mindeststandard angelegt, weil SMB1 wohl zu unsicher ist.

Die DS-420 steht hinter einer Fritz!Box mit aktiver Firewall, einige Ports sind weitergeleitet, z.B. für Hyperbackup, Homebridge, etc.

Welche Art von Risiko geht man ein, wenn man auf so einem Gerät SMB1 aktiviert? Besteht die Gefahr, dass sich jemand unberechtigt über das Internet einhackt und z.B. auf die Daten auf den Laufwerken Zugriff erlangt? Oder ist das höhere Risiko nur auf den Zugriff aus LAN der Fritz!Box beschränkt?

Letzteres wäre kein Problem, da das ein Familiennetzwerk ist, in dem eh jeder vollen Zugriff auf das NAS hat. Ersteres hingegen wäre ein Problem.

Oder ist das Sicherheitsrisiko durch SMB1, vor dem gewarnt wird grundsätzlich anderer Natur?
 

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.238
Punkte für Reaktionen
328
Punkte
109

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.069
Punkte für Reaktionen
2.267
Punkte
259

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.341
Punkte für Reaktionen
633
Punkte
174
Nun möchte mein Bruder sich einen Canon-Mulitfunktionsdrucker kaufen, mit dem er Dokumente auf seine DS-420 legen kann, der Drucker unterstützt aber nur SMB1.
Sowas würde ich heute nicht mehr kaufen.
SMB1 ist halt als nicht sicher eingestuft, also sollten Produkte, die sowas vorraussetzen, nicht mehr betrieben werden.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.995
Punkte für Reaktionen
1.203
Punkte
288
also ich weiss nicht, denke hier wird zu viel Sicherheit erwartet. Es geht doch um ein Heimnetz und einen Drucker/Scanner. Und die sind halt immer noch oft so. Ja, wenn jemand zu hause etwas angreifen will, dann wird es vielleicht einfacher mit SMB1, aber besteht so eine Gefahr?
Ja, vielleicht in einem grösseren Firmennetz macht man alles auf max , aber zu hause auf eigenem Schreibtisch?

Und wenn doch jemand unberechtigt in das Netzwerk eindringt, dann ist er drin und kann das machen was allen anderen im Netzwerk.
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.069
Punkte für Reaktionen
2.267
Punkte
259
Ich weiß zwar was Du meinst und ja ein "böser Bube" macht vielleicht auch einen Unterschied zwischen Firmennetz und privates LAN, aber sind einem die privaten Daten dann unwichtiger? Das man Angriffe auch auf private NAS nicht auschließen kann zeigen doch die Beispiele auch hier im Forum. Wenn ich dann über die Neuanschaffung eines Mulitfunktionsdrucker nachdenke, dann muss ich doch nicht unbedingt einen kaufen von dem ich weiß das dieser eine Sicherheitslücke für mein LAN bedeuten könnte, sofern es dafür keinen zwingenden Grund gibt.

VG Jim
 
  • Like
Reaktionen: Benie

Thlat

Benutzer
Mitglied seit
11. Jul 2022
Beiträge
43
Punkte für Reaktionen
5
Punkte
8
Warum ?



Ohoh. Am besten noch mit Adminrechten ... :)



Stichwort Wanacry. Sowas gibt es auch für NASen.
Warum Portfreigabe: z.B. wie gesagt für Hyperbackup. Ich fahre eine 3-2-1-Backupstrategie, habe noch ein altes QNAP hier im eigenen Haus, das drei mal die Woche für zwei Stunden hochfährt und auf dessen Einzelplatte das Synology sich dann komplett spiegelt, aber um meine wirklich wichtigen Daten auch gegen Hausbrand, Diebstahl oder Meteoriteneinschlag zu sichern werden die auch noch zwei mal die Woche auf die Synology meines Bruders in 400 km Entfernung gesichert. Er macht es umgekehrt auf meine.

Der zweite Port ist nicht Homebridge sondern der WebDAV-Server, der allerdings nur auf genau einen Ordner der Synology Schreib- und Leserechte hat, damit ich auf meine, der Bruder auf seine DS mit der Scanner-App des Handys Dokumente gleich von unterwegs digital ablegen kann.


Adminrechte: Nein, der Adminzugriff ist nicht den normalen Usern gestattet.



Aber ok, der zu kaufende Scanner wird dann wohl SMB2 oder 3 haben müssen.
 

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.970
Punkte für Reaktionen
1.278
Punkte
194
Kann der Canon kein FTP?
 

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.970
Punkte für Reaktionen
1.278
Punkte
194

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.995
Punkte für Reaktionen
1.203
Punkte
288
"böser Bube" macht vielleicht auch einen Unterschied zwischen Firmennetz und privates LAN,
so ist es nicht gemeint, aber ob ich zu hause intern was so oder so übertrage, oder gar mit Morsezeichen , das ist doch egal
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Also erstmal wäre SMB für das Internet frei zugeben der SuperSuperGau!
Der richtige Ansatz wäre eigentlich alles nach Aussen zu zu machen und den Zugriff nur via VPN zu erlauben. Dann könnte man auch SMB und alle lokalen Drucker/Scanner nutzen.
 
  • Like
Reaktionen: Jim_OS

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.995
Punkte für Reaktionen
1.203
Punkte
288
so etwa meine ich es eben, also SMB hat natürlich nichts im Internet zu suchen, aber wer versucht schon so was?

Zu hause einen Scanner betreiben und daraus ein Sicherheitsdrama zu machen finde ich einfach schon etwas übertrieben
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.135
Punkte für Reaktionen
2.093
Punkte
259
SMB ist seit mehr als 10 Jahren als „unsicher - nicht zu patchen“ eingestuft.

Falls es um ein neues MuFu geht, dass immer noch nur SMB1 kann, würde ich es schlicht nicht kaufen. Die haben den Schuß wohl nicht gehört ! Da würde ich einfach unterstellen, dass noch andere Sicherheitslücken schlummern.

Wer alte SMB1-Geräte mit niedrigen Leistungsanforderungen ohne Risiko für die Kerngeräte ins Heimnetzwerk integrieren will, kann es so machen:

https://bitfuck.net/2020/11/26/raspberry-pi-als-smb1-smb2-3-gateway/

Das macht es nicht sicher, aber vermeidet zumindest, dass man SMB1 auf kritischen Netzwerkgeräten freigeben muss.

Das betreffende Heimnetzwerk würde ich grundsätzlich nur über VPN erreichbar machen. Nimmt man diese Anleitung und einen potenten Pi 4, dann kann man darauf gleich WireGuard VPN darauf installieren. Packt er locker gleichzeitig, ohne warm zu werden.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.872
Punkte
488
Denke auch, dass SMB1, rein intern verwendet, ein überschaubares Risiko darstellt.
 

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
Es ist aber doch i.d.R. nichts rein intern. Oder hängen in dem betreffenden Netz nur Clients die nicht ins I-Net kommen?

Abgesehen davon ist es ein überschaubarer Aufwand ein Produkt nicht zu kaufen welches heute noch SMB1 voraussetzt.

gruss,
sky
 
Zuletzt bearbeitet von einem Moderator:

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.135
Punkte für Reaktionen
2.093
Punkte
259
unsicher gegen was?
es doch nur für internen Gebrauch
Unsicher dagegen, einen Zugriff über SMB1 unter Kontrolle halten zu können. Wenn auf einem Server SMB1 aktiviert ist, öffnet das faktisch eine Hintertür, über der der gesamte Server kompromittiert werden kann.

Ja, es sollte nur intern in einem sicheren Netzwerk verwendet werden. Aber es exponiert eben den gesamten Server, auf dem dieses Protokoll aktiviert wurde.

Das ist die Idee hinter der SSMB1/SMB2-Brücke auf einem Raspberry Pi: Exponiert wird nur der Pi, alle anderen Geräte können auf SMB2/3 bleiben. Damit bleibt ihre Sicherheit intakt.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.106
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Gegenfrage: nutzt ihr beiden wie so viele Menschen in Deutschland ggf. eine Fritzbox? Dann könnt ihr eure Netze darüber bequem und sicher per VPN verbinden (falls ihr nicht gerade DS lite Anschlüsse euer Eigen nennt).
Generell (wie schon hier angemerkt): VPN bietet sich dafür super an, Freigaben im Router sollten tendenziell vermieden werden, wenn das Heimnetz dann nach außen abgesichert(er) ist, dann kannst du rein intern IMHO durchaus SMBv1 noch nutzen. Egal welches SMB, niemals nicht ins offene Internet damit (nur via VPN Tunnel eben)! Und klar ist es doof, dass das neugekaufte Gerät kein SMBv2 oder höher kann, die gehen halt gerade reduziert raus. Hm, warum wohl? Jetzt ist das Ding da und wenn das Resultat ist, dass ihr beiden über eine sicherere Vernetzungsmethode als bloße Portfreigaben im Router (mit UP&P am besten noch) nachdenkt, dann ist doch top... :)
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Ich nutze seit Jahren einen Maxify Drucker ohne Probleme. Auch wenn dieser nur SMB1 kann, sehe ich kein Problem im heimischen Gebrauch. Keiner kann ausschließen, dass es keine weiteren Zero-Day-Exploits in anderen Anwendungen oder Geräten gibt. Gerade den ganzen IoT-Müll sehe ich dort weitaus gefährlicher. Wer auf Nummer sicher gehen will, kapselt das Gerät mit VLAN vom eigentlichen Netzwerk ab. Internetzugang hat mein Drucker eh nicht, auch werden bei Canon Firmwareupdates eh nur genutzt, um Fremdpatronen zu sperren bzw. unbrauchbar zu machen. Wer dazu noch VPN einsetzt, sollte gut gerüstet sein.

Auch, wenn SMB1 eine Sicherheitslücke darstellt, kann das Einfallstor noch ein viel einfacheres sein, was einen genauso großen Schaden oder sogar größeren auslöst.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat