Verschlüsselter Zugriff auf SMB Shares?

Technology

Wie sicher ist die Kommunikation zwischen Client und Server beim Zugriff auf Shares?
SMB v3 Verschlüsselung und einiges mehr ist wichtig!

Juli 2020 - Moritz Rauch, Security Consultant

Zu den wichtigsten Assets einer Unternehmung gehören Daten. Ob Kundendokumente, Verträge, Forschungsdaten oder das Protokoll der letzten VR Sitzung – praktisch jede Firma besitzt sensitive Daten. In Windows Netzwerken werden diese Daten häufig über SMB Shares auf entsprechenden File-Servern für die Mitarbeitenden angeboten und als Netzlaufwerk angebunden.

Doch wie ‘sicher’ ist die Kommunikation zwischen Fileserver und Arbeitsstation? – Wie bei vielen Fragen lautet hier die die erste Antwort: «Es kommt darauf an».

Seit SMB Version 3 besteht die Möglichkeit einer verschlüsselten Kommunikation zwischen Arbeitsstation und Fileserver. Die Funktionalität ist jedoch nicht standardmässig aktiviert und kann pro Share einzeln konfiguriert werden.

Wird ein Share ohne diese Option konfiguriert, kann ein Angreifer durch MitM (Man-in-the-Middle) Angriffe (z.B. ARP Poisoning) gesendete und empfangene Files aus dem Netzverkehr exportieren.

Wie auf dem Bild oberhalb zu sehen ist, wird die Option «Encrypt data access» nicht automatisch aktiviert beim Erstellen. Wird der Share über den Explorer erstellt ist die Möglichkeit erst gar nicht verfügbar.

Verbindet sich eine Arbeitsstation mit dem Fileserver werden zunächst gewisse Verbindungsmerkmale «ausgehandelt», der Fileserver setzt spezifische «Flags» um die Art der Kommunikation festzulegen.

 Im Bild oberhalb ist das Antwortpaket eines Fileservers vor der finalen Kommunikation zu sehen. In diesem Beispiel wurde die Verschlüsselung aktiviert, daher ist das letzte «Flag» auf 1 gesetzt.

Wurde die Option zum verschlüsselten Zugriff nicht aktiviert, ist das entsprechende «Flag» auf 0 gesetzt und die Arbeitsstation kommuniziert im Klartext mit dem Fileserver.

Gelingt es einem Angreifer die Kommunikation zu solchen Shares auszuhorchen können sämtliche ausgetauschten Files vom Angreifer eingesehen/exportiert werden. 

Gerade in Netzwerkumgebungen, welche kaum segmentiert sind (sogenannte flache Netzwerke) können sich Angreifer so schnell Zugriff zu sensitiven Daten verschaffen, wenn nicht die nötigen Konfigurationen vorgenommen wurden.

Wie Schützen?

Verschlüsselung aktivieren

Die Verschlüsselung ist einerseits auf Share-Ebene konfigurierbar, es kann aber auch auf Fileserver-Ebene konfiguriert werden, alle neu erstellten Shares werden dann entsprechend durch verschlüsselte Kommunikation angeboten.

Mehr Informationen zur Aktivierung und Konfiguration finden Sie hier:  docs.microsoft.com/en-us/windows-server/storage/file-server/smb-security

Schutz des Netzwerks

Schutzmassnahmen gegen MitM Angriffe wie ARP Poisoning werden von diversen Netzkomponenten-Herstellern angeboten. Konsultieren Sie die Dokumentation des Herstellers, um mögliche Schutzmechanismen einzusetzen, die das Risiko einer MitM Attacke verringern.

Durchführung interner Penetration Tests

Lassen Sie Ihre Umgebung durch Sicherheitsspezialisten regelmässig prüfen, um allfällige Konfigurationsfehler und sonstige Schwachstellen aufzudecken.

Top