Si aloja un servidor Samba, es importante que preste especial atención a la seguridad del servidor frente a los adversarios.
El protocolo SMB (Server Message Block) es la piedra angular del uso compartido de archivos e impresoras en entornos conectados. Sin embargo, la configuración por defecto de Samba puede plantear importantes riesgos de seguridad, dejando su red vulnerable a accesos no autorizados y ciberataques.
Si aloja un servidor Samba, debe tener especial cuidado con las configuraciones que ha establecido. Aquí tienes 10 pasos críticos para asegurar que tu servidor SMB permanece seguro y protegido.
1. Activar el cifrado para el tráfico SMB
Por defecto, el tráfico SMB no está cifrado. Puede comprobarlo capturando paquetes de red con tcpdump o Wireshark. Es fundamental que cifre todo el tráfico para evitar que un atacante pueda interceptarlo y analizarlo.
Se recomienda que configure Transport Layer Security (TLS) para encriptar y asegurar el tráfico de su servidor Linux Samba.
2. Implemente controles de acceso y permisos estrictos para los recursos compartidos
Debe implementar estrictos controles de acceso y permisos para garantizar que los usuarios conectados no puedan acceder a recursos no solicitados. Samba utiliza un archivo de configuración central /etc/samba/smb.conf que le permite definir reglas de acceso y permisos.
Usando una sintaxis especial, puedes definir recursos para compartir, usuarios/grupos para dar acceso a esos recursos, y si el recurso(s) puede ser navegado, escrito o leído. Aquí tienes un ejemplo de sintaxis para declarar un recurso e implementar controles de acceso sobre él:
[sambashare]
comment= Ejemplo Samba
ruta = /home/su_nombre_de_usuario/sambashare
navegable = sí
escritura = sí
usuarios válidos = @nombre_grupo
En las líneas anteriores, añadimos una nueva ubicación de recurso compartido con una ruta y con usuarios válidos, restringimos el acceso al recurso compartido a un único grupo. Hay muchas otras formas de definir los controles y el acceso a un recurso compartido. Puedes aprender más sobre ello en nuestra guía dedicada sobre cómo configurar una carpeta compartida en red en Linux con Samba.
3. Utilice contraseñas fuertes y únicas para las cuentas de usuario SMB
La aplicación de políticas de contraseñas robustas para las cuentas de usuario SMB es una buena práctica de seguridad fundamental. Como administrador del sistema, debe crear o instar a todos los usuarios a crear contraseñas fuertes y únicas para sus cuentas.
También puede acelerar este proceso generando automáticamente contraseñas seguras mediante herramientas. Opcionalmente, también puedes rotar regularmente las contraseñas para mitigar el riesgo de fugas de datos y accesos no autorizados.
4. Actualice regularmente Linux y Samba
La forma más sencilla de defensa pasiva contra todo tipo de ciberataques es asegurarse de que se están ejecutando versiones actualizadas de software crítico. SMB es propenso a las vulnerabilidades. Siempre es un objetivo lucrativo para los atacantes.
Ha habido múltiples vulnerabilidades críticas de SMB en el pasado que han llevado a la toma completa del sistema o a la pérdida de datos confidenciales. Debes mantener actualizados tanto tu sistema operativo como los servicios críticos que contiene.
5. Evite utilizar el protocolo SMBv1
SMBv1 es un protocolo inseguro. Siempre es recomendable que cuando uses SMB, ya sea en Windows o Linux, evites usar SMBv1 y sólo uses SMBv2 y superiores. Para desactivar el protocolo SMBv1, añada esta línea al archivo de configuración:
protocolo min = SMB2
Esto asegura que el nivel mínimo de protocolo en uso será SMBv2.
6. Aplique reglas de cortafuegos para restringir el acceso a los puertos SMB
Configure el cortafuegos de su red para permitir el acceso a los puertos SMB, generalmente el puerto 139 y el puerto 445, sólo desde fuentes de confianza. Esto ayuda a prevenir el acceso no autorizado y reduce el riesgo de ataques basados en SMB desde amenazas externas.
También deberías considerar la instalación de una solución IDS junto con un cortafuegos dedicado para tener un mejor control y registro del tráfico. ¿No está seguro de qué cortafuegos utilizar? Puede encontrar el que más le convenga en la lista de los mejores cortafuegos gratuitos para Linux.
7. Implementar la Segmentación de Red para Aislar el Tráfico SMB de Redes No Confiables
La segmentación de red es la técnica de dividir un único modelo monolítico de una red informática en múltiples subredes, cada una de ellas denominada segmento de red. Esto se hace para mejorar la seguridad, el rendimiento y la capacidad de gestión de la red.
Para aislar el tráfico SMB de las redes que no son de confianza, puede crear un segmento de red independiente para el tráfico SMB y configurar reglas de cortafuegos que sólo permitan el tráfico SMB hacia y desde este segmento. Esto le permite gestionar y supervisar el tráfico SMB de forma específica.
En Linux, puede utilizar iptables o una herramienta de red similar para configurar reglas de cortafuegos que controlen el flujo de tráfico entre segmentos de red. Puede crear reglas para permitir el tráfico SMB hacia y desde el segmento de red SMB y bloquear el resto del tráfico. Esto aislará eficazmente el tráfico SMB de las redes no fiables.
8. Supervise los registros SMB en busca de actividades sospechosas e incidentes de seguridad
Supervisar los registros SMB en busca de actividades sospechosas e incidentes de seguridad es una parte importante del mantenimiento de la seguridad de su red. Los registros SMB contienen información sobre el tráfico SMB, incluyendo acceso a archivos, autenticación y otros eventos. Si supervisa regularmente estos registros, podrá identificar posibles amenazas a la seguridad y mitigarlas.
En Linux, puede utilizar el comando journalctl y canalizar su salida al comando grep para ver y analizar los registros SMB.
journalctl -u smbd.service
Esto mostrará los registros de la unidad smbd.service que es responsable de gestionar el tráfico SMB. Puede utilizar la opción -f para seguir los registros en tiempo real o utilizar la opción -r para ver primero las entradas más recientes.
Para buscar eventos o patrones específicos en los registros, envíe la salida del comando journalctl a grep. Por ejemplo, para buscar intentos de autenticación fallidos, ejecute:
journalctl -u smbd.service | grep -i "fallo autenticación"
Esto mostrará todas las entradas de registro que contengan el texto "fallo de autenticación", permitiéndote identificar rápidamente cualquier actividad sospechosa o intentos de fuerza bruta.
9. Limite el uso del acceso de invitados y las conexiones anónimas
Habilitar el acceso de invitados permite a los usuarios conectarse al servidor Samba sin proporcionar un nombre de usuario o contraseña, mientras que las conexiones anónimas permiten a los usuarios conectarse sin proporcionar ninguna información de autenticación.
Ambas opciones pueden suponer un riesgo para la seguridad si no se gestionan adecuadamente. Se recomienda desactivar ambas opciones. Para hacerlo necesitas añadir o modificar un par de líneas en el fichero de configuración de Samba. Esto es lo que necesita añadir/modificar en la sección global del archivo smb.conf:
map to guest = never
restringir anónimo = 2
10. Implementar restricciones basadas en host
Por defecto, un servidor Samba expuesto puede ser accedido por cualquier host (dirección IP) sin restricciones. Por acceso, se entiende establecer una conexión y no, literalmente acceder a los recursos.
Para permitir el acceso a hosts específicos, y denegar al resto, puede hacer uso de las opciones hosts allow y hosts deny. Esta es la sintaxis a añadir al fichero de configuración para permitir/denegar hosts:
hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0
Aquí está ordenando a Samba que deniegue todas las conexiones excepto las del host local y la red 192.168.1.0/24. Esta es una de las formas fundamentales de asegurar su servidor SSH también.
Ahora ya sabe cómo proteger su servidor Samba Linux
Linux es genial para alojar servidores. Sin embargo, cuando se trata de servidores, hay que tener cuidado y estar muy atento, ya que los servidores Linux son siempre un objetivo lucrativo para los actores de amenazas.
Es fundamental que dediques un esfuerzo sincero a fortificar tu red y a reforzar tus servidores Linux. Además de configurar correctamente Samba, hay algunas otras medidas que debe tomar para asegurarse de que su servidor Linux está a salvo del punto de mira de los adversarios.
Fuente: somoslibres
