SMB1 aktiv, wie hoch ist das Risiko für die anderen NAS?

    Hallo, ich hoffe das Thema gibt es noch nicht. Zumindest habe ich nichts gefunden, ich bin aber auch neu hier.


    Kennt sich jemand mit dem Sicherheitsrisiko bzgl. SMB 1 aus? Ich hab 4 NAS-Systeme im Netzwerk, bei 3 davon ist SMB erst ab Version 2 aufwärts aktiviert. Das letzte muss SMB 1 aktiv lassen, weil ich noch ein paar alte Geräte hab die darauf zugreifen.

    Frage 1: kann das ein Risiko für die anderen NAS sein, wenn eines davon sozusagen ein Einfallstor für Ramsonware bildet und dann auf die anderen überspringen kann?

    Frage 2: Spielt das überhaupt eine Rolle wenn keines der NAS vom Internet erreichbar ist? Oder reicht es wenn eine infizierte Datei darauf landet, kann die Ramsonware sich dann auch ohne direkten Internetzugriff von NAS zu NAS verbreiten?


    Ich kenne mich leider mit solchen Sicherheitslücken wenig aus, versuche aber alles um alle Löcher zu stopfen. Für Tipps wäre ich dankbar, die meisten mir bekannten Maßnahmen habe ich schon umgesetzt.

    Zur Frage2: Geht da wohl mehr um nicht privilegierte Geräte im LAN (z.B. von Gästen oder IOT Zeuch) die sich so Zugriff via SMB1 verschaffen können.

    Einmal editiert, zuletzt von dolbyman ()

    Zitat von dolbyman

    Zur Frage2: Geht da wohl mehr um nicht privilegierte Geräte im LAN (z.B. von Gästen oder IOT Zeuch) die sich so Zugriff via SMB1 verschaffen kann.

    Ich bin mir nicht sicher ob ich die Frage verstehe, aber ich meine das allgemein. Keines der NAS ist direkt vom Internet erreichbar, gibt's dann überhaupt ein Sicherheitsrisiko welches ich nicht auf dem Schirm habe?

    IoT Geräte sollte man auch im Heimnetz separieren.

    Denn nur sehr wenige sind gut programmiert und gegen Angriffe geschützt. Es gibt ja sogar Teile die kommen schon mit einer manipulierten Firmware an.

    So was gehört dann halt in eine interne DMZ weggesperrt.


    Ein Netzwerk ist halt immer nur so sicher wie seine Clients.

    Ja SMB 1 völlig veraltet, auch leicht angreifbar, aber wenn es keinen Angriffsvector gibt, gibts auch keinen erfolgreichen Angriff.


    Kannst ja ggf. mit der Zugriffsliste im NAS das auf notwendige IPs begrenzen.

    Aber blocke dich selber nicht gleich mit weg!

    Ich würde mir im internen Netz, wenn Zugriffe von außen nicht möglich sind, ein- und ausgehender Datenverkehr z. B. durch eine Firewall / UTM / Sicherheits Appliance geschützt ist wegen dem SMB Protokoll keine grauen Haare wachsen lassen.

    Zitat von RiMa2107

    Frage 1: kann das ein Risiko für die anderen NAS sein, wenn eines davon sozusagen ein Einfallstor für Ramsonware bildet und dann auf die anderen überspringen kann?

    Theoretisch ja, praktisch nein.

    Die Ransomware müsste dieses Überspringen extra programmiert haben. Und da es nur sehr wenige Netze geben wird, wo nur ein von mehreren NAS noch SMB1 hat, lohnt das nicht.

    Anders sähe es aus, wenn dein Netzwerk so interessant wäre, dass es sich für den Angreifer lohnte, viel Aufwand in die Attacke nur deines Netzes zu stecken.

    Zitat von RiMa2107

    Frage 2: Spielt das überhaupt eine Rolle wenn keines der NAS vom Internet erreichbar ist?

    Nein.


    Wenn das NAS nicht von außen erreichbar ist, muss der Angreifer von innen kommen. Ist er aber in deinem Netzwerk, warum soll er sich die Mühe machen. über das angreifbare NAS die anderen NAS anzugreifen, wenn er auch direkt an letztere kommt?


    In Netzen, wo alle Mitglieder vertrauenswürdig sind (das übliche Familiennetz), kann man daher SMB1 problemlos weiter nutzen. Anders sieht es in Firmennetzen aus, wo nichtsnutzige Mitarbeiter versuchen könnten, an die Daten der Personalabteilung oder der Geschäftsführung zu kommen.

    Zitat von RiMa2107

    Oder reicht es wenn eine infizierte Datei darauf landet, kann die Ramsonware sich dann auch ohne direkten Internetzugriff von NAS zu NAS verbreiten?

    Nein. Irgendwer muss die Datei auch ausführen. Und das wäre üblicherweise ein PC.

    Wenn einer der "vertrauenswürdigen Familienmitglieder" eine nicht ganz so vertrauenswürdige E-Mail öffnet, ist es sowieso egal, welches SMB man benutzt. Dann helfen bei SMB2/3 gute Passwörter, bei SMB1 könnte die Schadsoftware über die Sicherheitslücke auf das entsprechende NAS kommen. :/

    Zitat von q.tip

    Dann helfen bei SMB2/3 gute Passwörter, bei SMB1 könnte die Schadsoftware über die Sicherheitslücke auf das entsprechende NAS kommen.

    So meinte ich das.. und je nachdem was für eine Lücke ausgenutzt wird muss das NAS selber ja nicht befallen werden, alle SMB1 Freigaben (alle auf dem NAS halt) könnten so von dem infizierten Client angegriffen und verschlüsselt werden.