好的,这是设置:
互联网 – >调制解调器 – > WRT54G – >集线器 – > winxp工作站及linux smb服务器。
它基本上是一个家庭式的分布式互联网连接设置,除了在学校。 我想要的是远程,异地访问。 我想我需要找出哪些端口需要转发,然后将它们转发到路由器上的服务器。 我在SF的另一个问题上被告知,多个端口需要转发,并且有点复杂。 我需要知道的一件事情是哪些端口需要转发,以及由此可能产生哪些复杂性或漏洞。 在做这件事之前,你认为我应该拥有的任何额外信息都会很棒。 我被告知SMB不支持encryption,这很好。 鉴于我设置了身份validation/访问控制,这一切意味着,一旦我的用户authentication并开始下载数据,未encryption的stream量可以被中间人拦截并读取,是正确的? 鉴于这是由于缺lessencryption而产生的唯一问题 ,这一点我不关心。 我想这也可能意味着MITM向数据stream中注入虚假数据,例如:用户请求文件A,MITM用一些虚假数据截取并replace文件A的内容。 这也不是一个问题,因为我的用户会知道有什么地方是错的,而且也不可能有任何人有这个动机。
我被告知的另外一件事是微软在中小企业的实施情况不佳,以及它在安全方面的糟糕logging。 如果只有客户端是MS,这是否适用? 我的服务器是Linux。
通过networking访问Windows或Samba共享所需的最低限度是端口139 TCP – 我已经使用它通过SSH连接多次隧道Samba连接。
SMB并不是一个encryption的协议,因为你已经find了,所以我强烈build议不要直接打开它到外部世界,而不是允许用户通过SSH提供的安全隧道或某种forms的更一般的VPN连接。 我相信所使用的身份validation方法在普通情况下是安全的(这是一种挑战响应安排,不需要传输纯文本凭据),所以如果您可以保证共享内容不敏感,您可以逃脱没有使用隧道/ VPN,但我仍然build议它作为一个额外的安全级别,如果只是这样,你可以控制谁可以远程访问谁有权访问的人。 此外,SSH隧道或VPN可以支持压缩,这将减less远程访问共享时的带宽需求。
在我最近的记忆中,没有成功的针对Samba的未经authentication的远程攻击报告,所以你可能从这个angular度来看是安全的,尽pipe我还是build议隧道协议,而不是打开它。 如果发现任何可远程利用的问题,139端口和其他端口将被邀请尝试。
另一个严重的问题是用户密码的安全性。 如果服务是开放的,并且用户有一个不安全的密码(或者不够复杂,或者是某个破解者可以猜测的东西等等),那么你就有一个严重的问题。 所以你需要确保你有一个很好的密码策略。 使用像OpenVPN这样的VPN可以缓解这个问题,因为人们也需要为VPNconfiguration一个密钥集,尽pipe你不能保证用户能保证他们的私钥安全。
你绝对不想这样做……至less不要去窗户。 端口转发[桑巴和窗口]:tcp 135,139,445.可能 – 但不是必然135-139 udp。
部分用于访问Windows工作站
135,445 tcp被复用,用于很多 目的 – 包括远程registry访问,远程pipe理,与域控制器的通信。 他们的目标是充分利用较旧的漏洞进行热情。 更多的错误可能迟早会出现..你不想接触到它们。
我build议你只转发端口3389 TCP [远程桌面],并通过远程桌面连接使用“本地资源共享”的磁盘。 这个协议似乎比微软的smb / rpc更less被利用。 如果可能的话,使用一些不同的端口,限制ips的信任源范围的连接, – 最好不要这样做,使用vpn来实例openvpn 。
部分访问linux的盒子
这是另一个故事 – 我不会害怕利用桑巴,但仍然 – 数据将通过野生互联网未encryption。 我认为真正的VPN终止在Linux上会很好。 如果这是不可能的 – 只要在linux上使用smbmount windows共享,就可以通过scp从linux上获得它们,在路由器上redirect端口22 – 你可以使用winscp来访问你的文件,但是有很多的安心。
你需要端口转发135,137-139和445。
CIFS(和LANMAN和Co.)在向互联网公开时都有一个共同点:
端口转发CIFS和其他协议的一种方法是通过SSH。
SSH允许使用密钥和encryption的身份validation,同时使用adhoc TCP隧道的方便性,确保几乎不需要通过NAT打开除SSH以外的任何端口(也可能是FTP等)。
但是,如果您需要通过WAN进行永久SMB连接,则更好的方法是投资于VPN基础架构。