Giao thức SMB là gì? Cách ngăn chặn tấn công qua SMB

SMB là gì?

Giao thức SMB là gì – là một giao thức chia sẻ file vô cùng phổ biến hiện nay khi người dùng sử dụng hệ điều hành Windows. SMB sẽ được sử dụng ở chế độ mặc định trên các nền tảng Windows 7/8/10 khi chia sẻ file.

Tuy nhiên, đối với nhiều nười dùng thì vẫn còn thấy lạ lẫm khi nói đến SMB là gì, vì thế nên BKHOST sẽ giới thiệu chị tiết đến người đọc về khái niệm, thông tin liên quan đến SMB và giao thức SMB là gì.

1984 IBM giới thiệu ra toàn thế giới về SMB trong một bản công bố tài liệu kĩ thuật của họ. Với mục đích ban đầu của thiết kế này đó là để thực hiện thiết kế một giao thức mạng cho phép đặt tên và duyệt. Mãi đến sau này khi mà Microsoft mua lại được SMB thì Microsoft đã biến SMB trở thành một giao thức giúp chia sẻ file được sử dụng vô cùng rộng rãi ngày nay. Giao thức SMB này tương thích với những người dùng sử dụng hệ điều hành IBM hoặc Microsoft.

Hiện tại, SMB đã được đổi tên thành CIFS, viết tắt của Common Internet File Sharing (đúng với nghĩa đen là công cụ chia sẻ file phổ biến nhất trên Internet. CIFS được thiết kế dựa trên các tiêu chí như đơn giản, dễ dùng, có khả năng đáp ứng số lượng lớn người dùng. CIFS phù hợp để dành cho các mô hình 1 server tập trung, dữ liệu được xử lý từ người dùng được khuyên là lưu trữ lại tại server.

Trong mô hình mạng OSI, SMB được gọi là giao thức ở tầng Application hoặc tầng Presentation, được transport từ những giao thức cấp thấp hơn. Giao thức transport (L4) mà trước đó SMB thường dùng đó là NetBEUI, còn hiện nay thì dùng NBT hoặc NetBT.

Tuy nhiên thì giao thức SMB có khả năng sử dụng mà không cần sự hỗ trợ của một giao thức truyền tải khác bằng việc kết hợp SMB với NBT, sở dĩ phải kết hợp để đảm bảo sự tương thích với nhiều phiên bản hệ điều hành Windows khác nhau. Giao thức SMB dùng trên Windows buộc phải sử dụng transport thông qua NetBT với các cổng 137, 138 (UDP), 139 (TCP). Từ Windows 2000/XP, Microsoft cấp thêm khả năng chạy SMB trực tiếp trên TCP/IP, chỉ sử dụng cổng 445 (TCP).

Giao thức SMB hoạt động như thế nào?

Trong phiên bản đầu tiên của Windows, SMB chạy trên nền tảng kiến trúc mạng NetBIOS. Từ phiên bản 2000, nhà sản xuất Microsoft đã tiến hành thay đổi SMB để giúp nó có thể chạy cả trên gaio thức TCP, chúng sử dụng port chuyên dụng, các phiên bản khác hiện tại của Windows vẫn tiếp sử dụng port của SMB.

Trong quá trình hoạt động, Microsoft luôn đưa rất nhiều các bản cập nhật cải tiến cho SMB để giúp cải thiện không chỉ hiệu suất và khả năng bảo mật cho hệ thống. SMB2, bản mới nhất SMB3 sở hữu các cải tiến vô cùng mạnh mẽ, đồng thời hiệu năng cho môi trường ảo hóa cũng được nâng cao lên rất nhiều.

Chức năng của giao thức SMB

Một điểm mạnh mà nhiều công cụ khác không có được của SMB đó là giao thức SMB hỗ trợ cả với Unicode. Bên cạnh đó thì một số các chức khác có thể kể đến đó là:

• Hỗ trợ tìm kiếm các máy chủ sử dụng giao thức SMB khác.
• Hỗ trợ in qua mạng.
• Cho phép bạn thực hiện xác thực file và thư mục được chia sẻ.
• Thông báo ngay lại sự thay đổi của file và thư mục.
• Xử lý các thuộc tính mở rộng của file.
• Hỗ trợ đàm phán, dàn xếp để tương thích giữa các hình thái SMB.
• Hỗ trợ Unicode.
• Cho phéo lập tức khóa file đang truy cập tùy theo yêu cầu.

Khi sử dụng dịch vụ SMB cùng với giao thức xác thực NTLM, sẽ cung cấp trọn gói chia sẻ file, máy in ở mức user. Chỉ cần user thực hiện đăng nhập kết nối với tài nguyên chia sẻ ở máy khác, Windows lập tức tự động gửi dữ liệu thông tin đăng nhập của user đó về SMB trước khi yêu cầu tên đăng nhập và mật khẩu.

Cách tắt SMB

Việc disable SMB sẽ giúp cho bạn ngăn chặn khả năng xâm nhâp của virus vào máy của bạn, bảo mật thông tin. Việc giao thức SMB bị tấn công bởi virus là do nó là giao thức giúp chia sẻ file, vì thế mà nó phải có các port mạng để kết nối với hệ thống máy khác, và port mà SMB sử dụng là port 139 và port 445.

• Update Windows: Update Windows MS17-010, check kĩ lượng các bản cập nhật trên trung tâm để tiến hành cập nhật vá các lỗ hổng, đặc biệt là lỗ hổng ETERNALBLUE
• Disable hỗ trợ SMBv1: để thực hiện cách này thì ở cửa sổ Command Prompt, các bạn chạy lệnh sau:

dism /online /norestart /disable-feature/featurename:SMB1Protocol

• Chặn các port 135, 445: virus rất hay xâm nhập hệ thống qua cổng SMB nên nếu không cần sử dụng, bạn nên đóng các cổng port này lại. Các bạn mở cửa sổ Command Prompt, sau đó chạy lệnh:

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135

name=”Block_TCP-135″

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=”Block_TCP-445″

Biện pháp phòng chống khi sử dụng giao thức SMB

Tuy nhiên trong trường hợp bạn muốn vẫn có thể sử dụng được các chức năng SMB, vừa có thể bảo vệ tốt nhất cho hệ thống máy tính của bạn trước những nguy cơ tấn công thì bạn có thể thực hiện các biện pháp sau đây:

• Active tường lửa hoăc chế độ Endpoint Protection để bảo vệ port SMB. Cập nhật blacklist để ngăn các kết nối từ địa chỉ IP đã từng tấn công trước đó.
• Thiết lập VPN giúp mã hóa, bảo vệ lưu lượng mạng.
• Sử dụng mạng VLAN riêng biệt với lưu lượng mạng nội bộ.
• Sử dụng bộ lọc địa chỉ MAC, phát hiển và chặn ngay những địa chỉ không xác định được nhưng muốn truy cập.

Thông qua bài viết, BKHOST giới thiệu tới các bạn những thông tin về giao thức SMB là gì. Có thể nói SMB đóng một vai trò quan trọng giúp công việc của bạn trở nên dễ dàng hơn, và chúng ta cũng cần biết cách bảo vệ hệ thống máy khi có những nguy cơ tấn công gián tiếp thông qua cổng SMB cũng như với website thì bạn nên biết chứng chỉ SSL là gì để bảo vệ cho website của mình. Chúc các bạn thành công!