在被 DMZ 的 Windows Server 上开网络发现和文件共享安全吗?

2021-06-16 12:54:43 +08:00
 longislet
先说环境,是运行 qBittorrent 的下载服务器,基于在看电影的同时不打断做种的需求,打算开文件共享。但是因为想从别的地点访问 qB 的管理页面,签了张证书就在路由器那把设备映射出去了。
这种情况下如果开了文件共享服务,设备可以在公网被访问到吗?需要加强密码吗?(以及加了强密码就安全了吗?)
另外,如果可以在公网被访问到,有没有办法实现修改端口,或者对访问的 ip 段进行限制?
1995 次点击
所在节点    Windows
14 条回复
Tianao
2021-06-16 13:03:55 +08:00
这看你具体怎么做的映射,现在很少有 DMZ 这种说法。SMB 共享开自动更新积极打补丁是基本安全的(当然 Windows 要受支持)。必须强密码。
suifengdang666
2021-06-16 13:06:42 +08:00
如果是 win 自己的 smb 协议,运营商会帮你把 ip 的 445 之类的 samba 端口封掉,基本不怕。但最好检查一下服务器开了啥端口,对公网开放 3389 rdp 端口是很危险的
ysc3839
2021-06-16 15:28:47 +08:00
我认为不安全,因为 SMB 似乎没有验证证书的机制吧?那遇到了中间人攻击该如何防范呢?
keepeye
2021-06-16 15:39:24 +08:00
路由器有防火墙吗?可以设置下特定端口只允许内网访问
jim9606
2021-06-16 16:46:08 +08:00
一般的 Standalone 配置的 Windows Server 的 SMB 共享是简单的帐户+密码,证书是你开 Web 服务器用的吧?
建议禁用 SMBv1,按微软说法这个版本容易出漏洞。
至少个人认为有非特权文件共享专用账户+强密码,安全性应该跟一些第三方 FTP 差不多。
SMB 不支持更改端口。
jim9606
2021-06-16 16:54:37 +08:00
不过只是图方便的话,还是套个 VPN 吧,我想了下 SMB 的应用优势是在 Win 下可以像本地文件那样原地打开,也不需要上层软件专门适配。
SMB 有很多脚本会在公网扫描,那一堆失败日志会把危险信息淹没掉。
至于防中间人攻击的问题,SMB 确实没解决方案,用 WebDAV 吧。
volks
2021-06-16 16:58:17 +08:00
Windows 防火墙默认是不允许外网访问文件共享的
FISHA
2021-06-17 08:52:31 +08:00
个人认为不安全,也访问不到,但是可以使用端口转发,之前有试过转发各种端口,但发现效率并不可观,如果确定是使用 smb 协议推荐使用 zerotier 组虚拟内网安全性会更好一些,考虑效率的话还是推荐使用 WebDav 传输文件。
yulgang
2021-06-17 10:22:50 +08:00
运营商在公网上默认已经封了 Windows 的默认文件共享吧。 😂
longislet
2021-06-17 12:20:09 +08:00
@suifengdang666 谢谢!装完系统就检查过一遍端口,ssh 和远程桌面相关都堵了
longislet
2021-06-17 12:21:01 +08:00
@keepeye 没有,电信的家宽很烂
longislet
2021-06-17 12:35:25 +08:00
@jim9606 谢谢!就是想问 smb 是否支持类似 web 服务器的证书加密方案,看了一圈似乎有难度。
但 smb 还是方便。我目前的方案是内网 smb 外网 WebDav,不转发端口,靠运营商屏蔽确保内网安全,开两个服务性能开销大了些,也只能这样了。
hahaha777
2021-06-17 12:46:00 +08:00
@suifengdang666 咨询下大佬,如果对公网开放 rdp 端口,且密码是强密码,也会很危险吗?
suifengdang666
2021-06-22 14:09:47 +08:00
@hahaha777 只要是密码,终究会被破出来,建议套 vpn

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/783709

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX