Che cos'è SMB?

Il protocollo Server Message Block (SMB) è un protocollo di condivisione di file di rete che consente ai computer di comunicare tra loro e accedere a file, stampanti e altre risorse condivise sulla rete. SMB esiste da oltre 30 anni e continua ad essere ampiamente utilizzato nelle reti aziendali e in Internet.

Cos'è SMB e come funziona?

SMB funziona come un protocollo client-server, in cui un client effettua richieste a un server. Facilita la condivisione di file e stampanti tra computer e consente l'accesso remoto ai file.

Con SMB, un utente può accedere ai file o alle applicazioni archiviati su un server remoto come se fossero locali. Gli utenti possono aprire, leggere, creare, modificare ed eliminare file sul server remoto.

SMB è stato originariamente progettato da IBM negli anni '80 per trasformare l'accesso locale ai file del DOS in un file system di rete. Consentiva l'accesso ai file su computer separati come se si trovassero sul disco rigido locale dell'utente, utilizzando un protocollo di rete comune.

La prima versione di SMB funzionava su NetBIOS utilizzando le porte TCP/IP 137, 138 e 139. Il software che si localizzava tramite i nomi NetBIOS utilizzava la porta TCP 139 per i servizi di sessione NetBIOS.

Nel 1990, Microsoft ha incorporato SMB nel suo prodotto LAN Manager per soluzioni server in rete. Nei decenni successivi, Microsoft ha continuato a sviluppare e potenziare SMB con nuove funzionalità e miglioramenti delle prestazioni.

Breve storia ed evoluzione delle PMI

Ecco una rapida panoramica di come le PMI si sono evolute negli ultimi 30 anni:

• Anni '80 — SMB1.0 creato da IBM per consentire la condivisione di file su una rete
• 1992 — Rilascio di Samba, un server SMB open source per sistemi UNIX
• 1996 — Microsoft ha rilasciato CIFS, Common Internet File System, un dialetto di SMB con miglioramenti
• Anni 2000: SMB2.0 ha introdotto importanti miglioramenti delle prestazioni
• 2012 — SMB3.0 ha introdotto funzionalità di disponibilità, sicurezza e gestione
• 2016 — SMB3.1 ha aggiunto la crittografia avanzata e l'integrità della preautenticazione

Alcuni sviluppi chiave nella storia delle PMI:

SMB 1.0 Il protocollo SMB1 originale è stato sviluppato da IBM a metà degli anni '80 per consentire la condivisione di file tra computer su una LAN.

Samba Nel 1991, Andrew Tridgell sviluppò un server SMB open source chiamato Samba in modo che i sistemi operativi simili a Unix potessero interagire con le reti Windows e SMB. Samba implementa anche CIFS.

CIFS Nel 1996, Microsoft tentò di rinominare SMB in Common Internet File System (CIFS) con Windows 95. CIFS ha aggiunto funzionalità per file di dimensioni maggiori, collegamenti simbolici, trasporto diretto TCP/IP e altro ancora.

SMB 2.0 Rilasciato con Windows Vista e Windows Server 2008, SMB 2.0 ha ridotto drasticamente le interruzioni del protocollo e migliorato la scalabilità.

SMB 3.0 Introdotto con Windows 8 e Windows Server 2012, SMB 3.0 ha apportato importanti miglioramenti come crittografia avanzata, prestazioni migliori, clustering di failover e maggiore efficienza energetica.

SMB 3.1
L'ultimo dialetto, SMB 3.1, ha aggiunto la crittografia end-to-end, i controlli di integrità della preautenticazione e il supporto per la tolleranza ai guasti di rete.

Nel complesso, SMB si è evoluto da un protocollo di condivisione di file di base a un protocollo robusto di livello aziendale ottimizzato per prestazioni, sicurezza e affidabilità. Microsoft continua a rilasciare nuove versioni di SMB con miglioramenti.

Principali versioni e dialetti SMB

Esistono numerose versioni e «dialetti» di SMB che sono stati implementati nel corso degli anni. Ecco alcune delle principali:

• SMB 1.0: il protocollo originale progettato da IBM negli anni '80
• Samba: server SMB open source, compatibile con CIFS
• CIFS — Dialetto SMB introdotto da Microsoft nel 1996
• SMB 2.0: importante aggiornamento di Microsoft nel 2006 per Windows Vista
• SMB 2.1: aggiornamento minore in Windows 7
• SMB 3.0: importanti miglioramenti delle prestazioni e della sicurezza in Windows 8/Server 2012
• SMB 3.02: piccolo aggiornamento in Windows 8.1
• SMB 3.1.1: ultimo dialetto con crittografia avanzata in Windows 10/Server 2016

Inoltre, ci sono state varie implementazioni di terze parti di SMB per sistemi operativi come Linux, Unix, Mac OS, iOS e Android. Il variegato ecosistema di versioni SMB può rendere difficili la compatibilità e l'interoperabilità.

Cosa sono le porte 139 e 445?

Per la comunicazione SMB tra dispositivi, il protocollo richiede l'apertura di determinate porte TCP. Le porte principali utilizzate da SMB sono:

• Porta 139 (TCP): utilizzata per i vecchi dialetti SMB che utilizzano NetBIOS come SMB1
• Porta 445 (TCP): utilizzata per i dialetti più recenti (SMB2, SMB3, ecc.) eseguiti direttamente su TCP anziché su NetBIOS

Porta 139 La porta 139 viene utilizzata dalle versioni di SMB che si basano su NetBIOS per il networking. NetBIOS fornisce servizi come la risoluzione e il rilevamento dei nomi per i dispositivi in rete.

La porta 139 collega i client SMB a un NetBIOS Session Service, che gestisce la creazione di sessioni tra dispositivi per la condivisione e la comunicazione di file. I sistemi operativi più vecchi, come Windows XP, si affidano in larga misura a NetBIOS e alla Porta 139 per il collegamento in rete dei dispositivi.

Porta 445 La porta 445 viene utilizzata dalle nuove implementazioni di SMB che possono operare direttamente su TCP/IP, senza la necessità di NetBIOS. Microsoft ha introdotto questa funzionalità nelle versioni successive di SMB a partire da Windows 2000, Windows XP e Windows Server 2003.

L'utilizzo diretto della porta TCP 445 è più efficiente rispetto a NetBIOS sulla porta 139 per ogni comunicazione. Quasi tutte le versioni moderne di Windows utilizzano SMB sulla porta 445 per impostazione predefinita per la condivisione di file.

Le porte 139 e 445 sono pericolose?

Le porte 139 e 445 non sono intrinsecamente pericolose o insicure. Tuttavia, a causa delle falle presenti nelle versioni precedenti di SMB, gli aggressori sono riusciti a sfruttare queste porte per infettare i computer delle vittime.

Alcune vulnerabilità chiave associate alle porte SMB:

• L'autenticazione debole in SMB1 consente l'accesso non autorizzato
• Le vulnerabilità note in SMB1 obsoleto consentono l'esecuzione di codice in modalità remota
• L'apertura delle porte SMB alla rete Internet pubblica consente gli attacchi
• Le vulnerabilità wormable come EternalBlue hanno portato a una diffusione ransomware attacchi

Il problema non sono le porte stesse, ma i servizi SMB vulnerabili in ascolto su tali porte. L'esposizione diretta di SMB a Internet consente agli aggressori di trovare e prendere di mira facilmente i vostri sistemi.

L'epidemia di ransomware WannaCry nel 2017 ha sfruttato pesantemente la vulnerabilità EternalBlue SMB per diffondersi rapidamente attraverso le reti e infettare oltre 200.000 sistemi in tutto il mondo.

Come proteggere le porte SMB

Ecco alcuni suggerimenti per proteggere correttamente le porte SMB da attacco:

• Disabilita o blocca SMB1, applica SMB v2 o versioni successive
• Non esporre mai le porte SMB direttamente a Internet
• Installa le ultime patch di sicurezza per i difetti delle PMI come EternalBlue
• Usa le regole del firewall per limitare il traffico SMB
• Abilita la crittografia e la firma delle PMI per prevenire gli attacchi man-in-the-middle
• Monitora attentamente le connessioni SMB per rilevare eventuali segnali di attacco o compromissione
• Usa le VPN per connessioni remote sicure invece di SMB su Internet
• Segmenta il traffico SMB in zone di rete separate con VLAN
• Implementa sistemi di rilevamento delle intrusioni basati su endpoint e rete per rilevare gli attacchi

È importante seguire le migliori pratiche di sicurezza informatica con le PMI, anche se i rischi sono stati ridotti nelle versioni moderne. Le vulnerabilità nei servizi SMB implementati continueranno a rappresentare una minaccia se non adeguatamente protette e monitorate.

Riepilogo SMB

SMB è un protocollo importante e ampiamente utilizzato per la condivisione di file, la condivisione di stampanti e l'intercomunicazione di sistema su reti locali e su Internet. Comprenderne la storia, i dettagli tecnici e le implicazioni sulla sicurezza ci consente di gestire meglio i rischi.

Le moderne versioni SMB come SMB3 forniscono significativi miglioramenti della sicurezza, ma le installazioni SMB1 precedenti possono ancora essere vulnerabili. I professionisti IT dovrebbero verificare i propri ambienti per individuare configurazioni SMB deboli e applicare in modo proattivo i controlli di sicurezza in base alle migliori pratiche.

Sebbene SMB sia stata presa di mira da attacchi informatici di alto profilo come WannaCry, rimane un protocollo essenziale per il networking Windows e l'interoperabilità multipiattaforma. Purché vengano prese le dovute precauzioni, i rischi derivanti dall'utilizzo di SMB possono essere ridotti al minimo.

‍