Cómo asegurar tu servidor Samba: opciones de configuración clave para una mayor seguridad
La seguridad es un equilibrio entre permitir que las personas adecuadas accedan fácilmente a un recurso y evitar que intrusos no deseados obtengan información que no quieras que tengan. Samba ofrece una amplia lista de opciones de configuración que te permiten ajustar la seguridad exactamente a tus necesidades. Aquí hay algunas opciones importantes que puedes usar para hacer que Samba esté disponible solo para usuarios válidos y prácticamente impenetrable para todos los demás.
Contraseñas
La mayoría de la seguridad se basa en contraseñas. Un nombre de usuario y una contraseña siguen siendo una de las mejores formas de autenticar a un usuario, siempre y cuando la contraseña sea segura. Sin embargo, esto puede ser difícil de lograr debido a la proliferación de herramientas de monitoreo de redes que son fáciles de obtener y utilizar. Obtener una contraseña de la red se ha convertido en una tarea relativamente trivial.
Limitar la transmisión de contraseñas en la red
Aunque no es visible para el usuario, Windows tiene varias formas de transmitir y recibir contraseñas. Hasta Windows 2000 Service Pack 3, la opción de texto plano era una de esas opciones. Básicamente, el nombre de usuario y la contraseña se empaquetaban y transmitían sin protección a través de la red.
El primer paso es configurar la opción global Encrypted Passwords en Sí. Esto hará que Samba nunca utilice contraseñas en texto plano. Sin embargo, por defecto, Samba comenzará a utilizar un formato de LAN Manager anterior para las contraseñas encriptadas. No es texto plano, pero el hash es lo suficientemente fácil de descifrar mediante fuerza bruta como para no ser recomendado.
Para desactivar las contraseñas de LAN Manager, puedes agregar la opción global Lanman Auth y establecerla en No. Esto romperá cualquier cliente o servidor que no sea de Windows NT/2000/XP, ya que estos son los únicos clientes capaces de comunicarse con la autenticación de NT. La autenticación de NT es considerablemente más difícil de descifrar que un hash de contraseña de LAN Manager. De hecho, hay dos versiones de autenticación de NT, pero cualquiera de ellas es suficientemente segura para las capacidades actuales de procesamiento.
Dónde obtener tus contraseñas
Una vez que sabes que las contraseñas se transmiten de forma segura, puedes pasar a los problemas de política. Samba es lo suficientemente flexible como para permitir que uses el servidor local UNIX, un servidor Windows independiente, un dominio de Windows 2000 o un servidor LDAP para indicar qué clientes deben y no deben estar permitidos para conectarse al servidor. Cualquiera que sea la opción que elijas, tu servidor de Samba solo será tan seguro como el sistema que uses para autenticar a los usuarios. En resumen, ten cuidado con los sistemas a los que permites que tu servidor de Samba confíe.
Cómo solucionar un controlador que está colgando tu sistema en Windows NTSi deseas que tus usuarios recuerden sus contraseñas en lugar de escribirlas en lugares obvios, es importante trabajar hacia una única sesión mediante la limitación del número de nombres de usuario y contraseñas únicos que deben utilizar para acceder a los sistemas corporativos. Al utilizar una infraestructura de nombre de usuario y contraseña existente, puedes lograr una integración sin problemas de Samba con la infraestructura existente.
Contraseñas en blanco
Tal vez no hace falta decir que permitir a tus usuarios usar contraseñas en blanco te expone a una serie de problemas potenciales, pero muchas organizaciones aún permiten contraseñas en blanco. Samba te permite alentar a los usuarios a seleccionar una contraseña al permitir al administrador evitar que los usuarios con contraseñas en blanco o nulas se conecten. Esto se hace agregando el atributo global Null Passwords y estableciéndolo en No.
Dile no a la seguridad a nivel de compartir
Samba ofrece la capacidad de configurar lo que se conoce como seguridad a nivel de compartir. En este mecanismo, se asigna una contraseña a un recurso compartido en lugar de requerir que se autorice a un usuario autenticado con una combinación de nombre de usuario y contraseña. Aunque la seguridad a nivel de compartir puede parecer atractiva para entornos pequeños, es mucho menos segura porque todos comparten la misma contraseña. No solo es más fácil que alguien descubra una única contraseña, sino que también es más difícil cambiar la contraseña logísticamente cuando tienes que notificar a varios usuarios sobre el cambio.
Limitar los hosts
Otra forma en que Samba te permite controlar quién tiene acceso es limitar los hosts desde los cuales pueden conectarse. De hecho, Samba tiene dos formas de controlar el acceso a nivel de host.
Elige las interfaces
Si tu sistema Samba tiene más de una tarjeta de red instalada, puedes limitar dónde responderá Samba. Por ejemplo, si tienes una tarjeta de red instalada en una red privada y otra conectada a Internet público porque también estás utilizando el servidor para NAT, puedes decirle a Samba que solo responda a solicitudes de la red privada.
Esto se hace configurando el atributo global Bind Interfaces Only en Sí. Esto le dirá a Samba que solo responda a solicitudes en las interfaces que especifiques. El siguiente paso es especificar las interfaces aceptables agregando un atributo global interfaces y especificando las interfaces que deseas admitir. El atributo interfaces aceptará el nombre de interfaz de UNIX o la dirección IP de la interfaz.
Cómo utilizar la utilidad Ping para obtener el nombre del host de una dirección IP en Windows 9xPermitir hosts
La segunda forma dentro de Samba para controlar qué hosts pueden conectarse es usar el atributo global Hosts Allow. Esto te permite especificar a qué hosts deseas permitir el acceso. Esta lista de direcciones puede ser máscaras de subred, de modo que puedas permitir el acceso a redes enteras de una vez. Por ejemplo, si tus redes privadas utilizan la dirección reservada de Clase A (10.x.x.x), podrías especificar ya sea 10. o 10.0.0.0/255.0.0.0 para permitir que cualquier computadora que esté en la red privada acceda al servidor de Samba.
Si estás utilizando DHCP y direcciones IP pero deseas limitar el acceso a algunos hosts, puedes listar sus nombres de host en el atributo Hosts Allow en su lugar. Además, hay un atributo global Hosts Deny que te permite denegar el acceso a un host.
Cortafuegos
Por supuesto, también puedes bloquear los puertos necesarios para que Samba funcione a nivel de cortafuegos. Esto limitaría efectivamente el acceso a Samba desde una máquina al otro lado del cortafuegos. Si deseas utilizar tu cortafuegos para evitar el tráfico de Samba, solo necesitas cerrar los puertos TCP/135, UDP/135, UDP/137, UDP/138, UDP/139 y TCP/139. Esto eliminará efectivamente el acceso al servidor de Samba, así como a cualquier otro servidor de Windows dentro de tu red.
Sin navegación
Una de las formas en que puedes ayudar a proteger tu sistema es evitar que los usuarios sepan que existe. Al detener a los usuarios de incluso navegar por tu sistema, reduces drásticamente la posibilidad de que sea un objetivo de ataque.
Desactivar la navegación por compartir es bastante sencillo. Una forma es simplemente configurar la opción browseable en No en cada sección de recurso compartido. También puedes nombrar un recurso compartido con un signo $ al final. Esta es una convención estándar de Windows que impide que los recursos compartidos sean visibles.
Alternativamente, puedes interrumpir todas las conexiones de navegación configurando manualmente el recurso compartido IPC$ con un conjunto de restricciones que impidan que las personas se conecten a él. El recurso compartido IPC$ es un recurso oculto de comunicación entre procesos que SMB utiliza para cosas como navegación. Para evitar la navegación para todos los recursos compartidos, solo necesitas crear la sección de recurso compartido IPC$ y poner un hosts deny = 0.0.0.0/0. También debes poner un hosts allow = 127.0.0.1 para que la computadora local pueda usar el recurso compartido IPC$.
Cómo garantizar la seguridad en las redes inalámbricasProtección simple contra virus
En la mayoría de los entornos, los recursos compartidos de archivos a los que los usuarios tienen acceso no deberían tener archivos ejecutables. Los recursos compartidos de archivos están destinados a que los usuarios almacenen sus documentos, hojas de cálculo, presentaciones, etc. Samba se puede configurar para que no permita ciertos tipos de archivos en un recurso compartido de archivos. Esto se hace con el atributo Veto Files en cada recurso compartido. La opción Veto Files separa las especificaciones de archivo con el carácter de barra diagonal (/) y admite los caracteres comodín estándar, asterisco (*) y signo de interrogación (?). Si deseas evitar archivos EXE, archivos COM o archivos DLL, puedes tener un atributo veto files que se vea así:
Veto files = /*.exe/*.com/*.dll/
Esto evitaría el acceso o el almacenamiento de estos tipos de archivos y, efectivamente, evitaría que un servidor de Samba propague la mayoría de los tipos de gusanos y virus de Windows. Es posible que desees vetar otros tipos de archivos para excluir efectivamente todas las extensiones de archivo utilizadas por los virus para propagarse.
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Redes, allí encontraras muchos artículos similares a Cómo asegurar tu servidor Samba: opciones de configuración clave para una mayor seguridad , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados