Blokování SMBv1
Souvislost s WannaCry.
Jedno z doporučení je
Enable Firewall: Enable firewall, and if it is already there, modify your firewall configurations to block access to SMB ports over the network or the Internet. The protocol operates on TCP ports 137, 139, and 445, and over UDP ports 137 and 138.
Jak tohle nastavit v RouterOs / na Mikrotiku?
Nastavení FW na Mtiku mám tohle:
Update 10-2017 pro W7 mám nainstalované, pro XP v XP-mode (zakázáno připojení k WAN na routeru) se mi oprava nepodařila nainstalovat - respektive podařila, ale po restartu XP-mode nenajede, virtuální stoj nejde spustit, nutno kompletně obnovit ze zálohy.
Píše se i o případném zakázání SMBv1 přímo v OS. Jak to provést v XP, jsem nenašel, https://support.microsoft.com/en-in/help/2696547/h ow-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-i n-windows-vista,-windows-server-2008,-windows-7,-w indows-server-2008-r2,-windows-8,-and-windows-serv er-2012
Díky za tipy.
1. nepotřebuješ, bo NAT.
2. Pokud máš nějak nestandardně řešený FW (což nepředpokládám), nebo chceš zabránit nakaženým PC v e své síti komunikovat do netu, stačí vyblokovat porty 135-139 a 445 ve forward tabulce
3. pokud jsi to myslel v rámci LAN, tak tam ti je MKT k ničemu... Leda bys použil ebtables, ale to si nedokážu představit, jak by to ten procesůrek zvládal.
1. ne zcela rozumím. NAT = že není možnost odněkud z internetu být "skenován" a případně nakažen, předpokládám. Ale NAT asi neřeší, když si tam WannaCry spustím sám z přílohy e-mailu bigtits.jpg.exe, že
Znamená to, že za NATem se netřeba SMB zabývat? Sdílení mám v nastavení OS povoleno, abych na druhé PC W7 i na virtuální XP vuděl a mohol na ně/z nich kopírovat. A aby se mohlo s druhého PC tisknout na mé sdílené tiskárně. Ale to je možná něco jiného(?)..
Pokud nezaplátované! XP nemají přístup na internet, jen do LAN - a pokud si LAN za NATem pohlídám (nespouštění pofidérných souborů z netu, cracky, spam, bla bla..), pokud nikdo do mé sítě nemá fyzický přístup (ani notebooky, telefony, flešky, prostě nic), je stávající problém ransomware "vyřešen"?
Ano.
Ak to pouziva port 445, tak si myslim, ze ho pouziva na komunikaciu zahajenu zvnutra siete, bo pristup na port 445 do lokalnej siete z Internetu normalne neprechadza cez FW v routri pokial to nieje specialne na FW tak nastavene. Dost pochybujem, ze by exploit bol natolko inteligentny, ze by (nejako) zmenil pravidla vo FW.
Inak je to klasicka chyba v programoch Windows nazyvana ako 'buffer overflow', ktora sa riesi cele desiatky rokov a je otazne ci tie programy budu niekedy bez chyb, teda aspon bez tejto, ktora umoznuje vzdialene spustenie lubovolneho kodu.
Aha, takže blokace 445 z pohledu konkrétního PC/sítě řeší další šíření, ne vlastní nakažení.
smb: zakázat sdílení souborů a tiskáren.
nebo použít anglickou verzi xp, tam záplata nainstalovat jde.
Mně ta záplata v XP-mode nainstalovat šla, ale po vynuceném restartu už virtuální PC nenajel. Možná tam mám nějakou chybku, protože s něčím podobným jsem se už jednou setkal dříve, když jsem ještě ty virtuální XP chtěl normálně aktualizovat z WU. Takže je mám neaktualizované a odpojené od přístupu k internetu zákazem ve FW na routeru, viz obrázek výše. Možná? ty potíže vyplývají z toho, že virtuální XP obsahují dva disky (C, D) v samostatných *vhd souborech, nevím…
Ad zakázat sdílení souborů a tiskáren. Kdyby to bylo tak jednoduché.
Myslíš tohle?
Doma mám v síti dva hlavní PC v W7/Pro, na každém je i virtuální XP (XP-mode). Potřebuji kopírovat soubory mezi oběma XP a oběma W7. K jednomu W7 se fyzicky připojena tiskárna, tu využívá i druhý W7 i oba virtuální XP.
Nejsem síťař a opravdu tomu nerozumím, ale bez toho sdílení by jak kopírování (a prohlížení souborů a adresářů) mezi počítači, tak tisk, asi (nezkoušel jsem to zakazovat) nefungovalo.
jo, myslím ten obrázek.
ale pokud mezi nimi potřebuješ kopírovat data = využívat sdílený disk těch xp, pak to nejde.
(variantou by byl stop služby server v xp).
ledaže by si ty xp jen přimapovaly disk zabezpečených sedmiček, ale xp by nešly nasdílet.
jestli to bezpečně funguje u virtuálních xp uvnitř w7pro ... mrchosoftu nevěřím ani název.
třeba by to řešil firewall, ale v jeho pravidlech se nevyznám a tudy bych nešel.