SMB (Server Message Block) là một trong những giao thức quan trọng nhất trong mạng máy tính, cho phép chia sẻ tệp tin, máy in và các tài nguyên khác trên mạng nội bộ. Tuy nhiên, sự tiện ích của SMB cũng đi kèm với những rủi ro dữ liệu nếu không được bảo mật hiệu quả. Hãy cùng Mstar Corp khám phá các thức hoạt động của SMB và những biện pháp cần thiết để bảo vệ hệ thống của bạn khỏi các cuộc tấn công thông qua SMB.
SMB là gì?
SMB (Server Message Block) là một giao thức mạng dùng để chia sẻ tệp tin và thiết bị trong mạng. Chủ yếu được sử dụng trong các hệ điều hành Windows, SMB cho phép các máy tính truy cập và chia sẻ tài nguyên như tệp tin, máy in và thư mục. Giao thức này đóng vai trò quan trọng trong việc kết nối và chia sẻ thông tin giữa các máy tính trong mạng nội bộ, tạo điều kiện thuận lợi cho công việc nhóm và truyền tải dữ liệu trong môi trường làm việc.
Lịch sử ra đời của SMB như thế nào?
Giao thức SMB đã xuất hiện từ những năm 1980 và đã trải qua nhiều phiên bản khác nhau. Ban đầu, giao thức này được sử dụng trên các máy tính chạy hệ điều hành DOS và tích hợp vào mô hình LAN Manager của Microsoft. Phiên bản đầu tiên của SMB cung cấp khả năng chia sẻ dữ liệu giữa các máy tính trong mạng LAN, nhưng vẫn thiếu tính năng bảo mật đáng tin cậy.
Sau đó, các phiên bản mới của SMB được phát hành song song với các phiên bản hệ điều hành như Windows 95, Windows 98, Windows NT, và Windows XP. Những phiên bản này đã cải thiện đáng kể về khả năng bảo mật. Các máy chủ và máy khách sử dụng SMB sẽ thỏa thuận sử dụng cùng một phiên bản giao thức để đảm bảo khả năng chia sẻ và truyền thông dễ dàng.
Vào những năm 1990, Microsoft đã đổi tên giao thức SMB thành CIFS (Common Internet File System).
Giao thức SMB hoạt động như thế nào?
Thiết lập kết nối
Khi người dùng muốn truy cập vào tệp tin hoặc tài nguyên trên máy chủ qua mạng, máy khách sẽ thiết lập kết nối mạng với máy chủ bằng giao thức SMB.
Xác thực và quản lý phiên làm việc
Sau khi kết nối được thiết lập, quá trình xác thực sẽ diễn ra để xác định quyền truy cập của người dùng đối với tài nguyên trên máy chủ. Nếu xác thực thành công, một phiên làm việc (session) sẽ được thiết lập để duy trì kết nối giữa máy khách và máy chủ trong suốt thời gian truy cập.
Gửi yêu cầu và truy cập tài nguyên
Người dùng có thể gửi các yêu cầu đọc, ghi, thực thi tệp tin hoặc thực hiện các thao tác khác trên tài nguyên thông qua kết nối SMB.
Xử lý và đáp ứng yêu cầu
Máy chủ nhận các yêu cầu từ máy khách, xác định quyền truy cập, thực hiện các thao tác tương ứng trên tài nguyên, và sau đó gửi kết quả lại cho máy khách.
Đóng kết nối khi hoàn tất
Khi người dùng hoàn tất việc truy cập tài nguyên, kết nối SMB có thể được đóng. Quá trình này cho phép người dùng và các thiết bị trong mạng truy cập, chia sẻ và quản lý tệp tin cùng các tài nguyên khác một cách hiệu quả thông qua giao thức SMB.
SMB có các chức năng gì nổi bật?
SMB có những chức năng nổi bật, bao gồm:
- Chia sẻ tệp tin và tài nguyên: SMB cho phép người dùng chia sẻ và truy cập tệp tin, thư mục, máy in và các tài nguyên khác trên mạng.
- Quản lý tệp và thư mục: Người dùng có thể thực hiện các thao tác đọc, ghi, xóa, di chuyển, đổi tên và quản lý tệp tin, thư mục trên máy chủ thông qua giao thức SMB.
- Kiểm soát quyền truy cập: SMB hỗ trợ xác thực người dùng và kiểm soát quyền truy cập vào các tài nguyên mạng, cho phép quản trị viên cấu hình chính sách an toàn và quản lý truy cập linh hoạt.
- Truy cập từ xa: SMB cho phép người dùng truy cập tệp tin và tài nguyên trên mạng từ xa qua kết nối internet.
- In ấn trên mạng: SMB hỗ trợ chia sẻ máy in trên mạng, cho phép người dùng in tài liệu từ xa.
- Tích hợp với các ứng dụng và dịch vụ khác: SMB có thể tích hợp với các ứng dụng và dịch vụ mạng khác để tạo ra các giải pháp phức tạp hơn như lưu trữ đám mây, sao lưu dữ liệu và quản lý tập trung.
Bảo mật của giao thức SMB
Tính bảo mật của SMB đã gặp nhiều thách thức và sự cố trong quá khứ. Năm 2017, các lỗ hổng bảo mật trong phiên bản SMBv1 được phát hiện, cho phép hacker tận dụng để triển khai các cuộc tấn công. Điều này có thể dẫn đến việc nhiễm virus và xâm nhập vào hệ thống mà người dùng không hề hay biết. Một khi máy tính đã bị nhiễm virus, hacker có thể truy cập và kiểm soát toàn bộ các máy tính trong mạng.
Để đối phó với sự cố này, Microsoft đã phát hành các bản vá lỗi để khắc phục các lỗ hổng trong SMB. Tuy nhiên, chỉ sau một tháng, đã xảy ra sự cố ransomware WannaCry, gây ảnh hưởng lớn trên toàn cầu với gần 200.000 thiết bị Windows tại hơn 150 quốc gia. WannaCry tận dụng lỗ hổng MS17-010 (Eternalblue) trong SMB để mã hóa dữ liệu trên máy tính và yêu cầu tiền chuộc bằng Bitcoin. Mặc dù sự việc sau đó đã được kiểm soát, nhưng thiệt hại nghiêm trọng từ cuộc tấn công này là không thể bỏ qua.
Vì vậy, bảo mật SMB là rất quan trọng. Người dùng cần thường xuyên cập nhật các bản vá lỗi và đảm bảo rằng hệ thống của họ được bảo vệ an toàn trước các mối đe dọa tiềm ẩn. Ngoài ra, việc áp dụng các biện pháp bảo mật khác như cấu hình chính sách an ninh, sử dụng các giải pháp phòng chống malware và xác thực hai yếu tố là cần thiết để bảo vệ hệ thống khỏi các cuộc tấn công liên quan đến SMB.
Hướng dẫn cách tắt SMB
Việc vô hiệu hóa SMB sẽ giúp ngăn chặn khả năng xâm nhập của virus vào máy tính, bảo mật thông tin. SMB là giao thức giúp chia sẻ tệp tin, do đó nó cần mở các cổng mạng để kết nối với hệ thống máy khác. Các cổng mà SMB sử dụng là cổng 139 và cổng 445.
Các bước bảo mật hệ thống trước các lỗ hổng SMB:
- Cập nhật Windows: Hãy cập nhật Windows MS17-010 và kiểm tra kỹ các bản cập nhật trên trung tâm cập nhật để vá các lỗ hổng, đặc biệt là lỗ hổng ETERNALBLUE.
- Vô hiệu hóa hỗ trợ SMBv1: Mở cửa sổ Command Prompt và chạy lệnh sau để vô hiệu hóa SMBv1: dism /online /norestart /disable-feature /featurename:SMB1Protocol
- Chặn các cổng 135 và 445: Virus thường xâm nhập hệ thống qua các cổng SMB, vì vậy nếu không cần sử dụng, bạn nên đóng các cổng này. Mở cửa sổ Command Prompt và chạy các lệnh sau:
-
- netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name=”Block_TCP-135″
- netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=”Block_TCP-445″
Biện pháp bảo vệ khi sử dụng giao thức SMB
Một số biện pháp phòng chống khi sử dụng giao thức SMB mà bạn có thể tham khảo:
Cập nhật hệ thống định kỳ
Hãy thường xuyên cập nhật hệ thống của bạn để đảm bảo rằng tất cả các thiết bị đều được áp dụng các bản vá bảo mật mới nhất từ Microsoft. Việc này giúp giảm thiểu nguy cơ bị tấn công qua các lỗ hổng bảo mật đã biết trong giao thức SMB.
Lưu ý về việc vô hiệu hóa SMBv1
Việc tắt SMBv1 (Server Message Block version 1) đóng vai trò quan trọng trong việc tăng cường bảo mật cho hệ thống doanh nghiệp và cá nhân. Dưới đây là một số lý do cơ bản:
- Giảm nguy cơ bị tấn công: SMBv1 đã gặp phải nhiều lỗ hổng bảo mật và đã được sử dụng trong nhiều cuộc tấn công mạng. Tắt SMBv1 giúp giảm thiểu nguy cơ bị tấn công qua các lỗ hổng bảo mật liên quan và ngăn chặn nhiều mối đe dọa tiềm ẩn.
- Bảo vệ dữ liệu quan trọng: Vô hiệu hóa SMBv1 ngăn chặn các mối đe dọa tấn công và sự lây lan thông qua giao thức này, từ đó bảo vệ dữ liệu quan trọng và nâng cao bảo mật thông tin.
- Tuân thủ chuẩn bảo mật: Ngừng sử dụng SMBv1 là một biện pháp tuân thủ các chuẩn bảo mật hiện đại hơn. Vì SMBv1 được xem là không an toàn, việc loại bỏ nó khỏi môi trường mạng giúp tạo ra một cơ sở hạ tầng mạng an toàn hơn.
Chặn các cổng không cần thiết
Chặn các cổng mạng không cần thiết là một biện pháp hữu ích để tăng cường bảo mật mạng nội bộ và giảm thiểu vùng mục tiêu cho các cuộc tấn công thông qua SMB. Một số cổng mạng mà bạn có thể xem xét chặn để giảm thiểu nguy cơ tấn công qua SMB: Cổng 139, cổng 445 và các cổng khác liên quan đến SMB.
Cân nhắc sử dụng các kết nối được mã hóa
Để nâng cao tính bảo mật của mạng, bạn có thể kích hoạt kết nối được mã hóa khi sử dụng SMB (Server Message Block). Khi kết nối này được mã hóa, dữ liệu sẽ được mã hóa trước khi truyền qua mạng, làm cho việc đánh cắp thông tin trở nên khó khăn đối với các kẻ tấn công.
Có thể thấy, SMB không chỉ là công cụ quan trọng để quản lý và chia sẻ tài nguyên mạng một cách hiệu quả mà còn là một điểm nóng về bảo mật đáng ngại. Việc hiểu rõ và áp dụng các biện pháp bảo mật phù hợp là điều cần thiết để đảm bảo an toàn cho hệ thống và dữ liệu của bạn trong môi trường kết nối mạng ngày nay.
