Hoy os traigo una consulta un tanto especifica. Resulta que disponemos de un Livebox 6+ de empresas con IP fija, el cual no nos permite acceder a un servidor remoto SMB (Restringido por IP) que tenemos en un centro de datos. Desde NordVPN con IP dedicada no tenemos ningún problema, por tanto el que bloquea la conexión es en Livebox. ¿Sabeis porque podría ser? Y si es posible ¿donde podría desactivar esta restricción?
Muchas gracias,
Un saludo
No accedáis jamás a un servidor remoto SMB por internet sin pasar por una VPN, salvo que queráis lamentarlo a futuro.
¿puedes ampliar un poco tu respuesta, por favor? Llevo años con uno con IP fija expuesto a internet y cero problemas.
Lo recomendable es exponer a internet la menor cantidad de servicios posible. Exponer el servicio SMB es un riesgo de seguridad a tener en cuenta, tiene una larga historia de vulnerabilidades que han sido explotadas masivamente. Hoy en día montar y usar una VPN es algo trivial y mi opinión es que se debe usar siempre que sea posible.
Gracias. Saludos.
A finales de los 90 y principios de los 2000, hasta Windows XP SP1 fue el mayor coladero de virus, gusanos y troyanos de la historia. No hacía falta entrar en ningún sitio ni ejecutar nada, solo conectarte a internet. Las conexiones por aquel entonces iban por modem y los sistemas operativos de Windows no tenían firewall integrado. SMB era directamente accesible desde internet y tiene grandes vulnerabilidades.
Es posible que no sea el router. Hace tiempo tuvimos tránsito BGP con Orange y tenían bloqueado el tráfico con destino al puerto 445 (SMB).
Pon un servidor VPN en el servidor remoto y accede siempre por VPN. El tráfico SMB por Internet seguramente esté capado.
Dadle las gracias a Orange por protegeros y un bofetón muy serio al que administra dicho servidor SMB en vuestra empresa.
SMB es un protocolo peligroso, ya no sólo porque sea inseguro por diseño sino porque también ha sido objetivo de ataques muy dirigidos por virus gusano.
Así que jamás lo tengáis expuesto a Internet ni mucho menos acceder sin una capa de cifrado por encima.
Año 2025 y seguimos sin aprender principios básicos de seguridad 🤦🏻
Publicar el puerto 445 (SMB) es dar barra libre a tus datos, es una locura. Usar una VPN para estas cosas o restringir el trafico por IP como mínimo… cosa que el Livebox ya no hace.
Se que es una locura, en producción el servidor estará con todos los puertos cerrados en el firewall y bajo WireGuard. Era por curiosidad, al intentar hacer unas pruebas no dejarme conectar ( Limitadas por IP en el Firewall ).
Si va a estar tras firewall y acceso bajo WireGuard, ¿Entonces qué más te da lo que te bloquee Orange?
Estaba haciendo unas pruebas de rendimiento, estaba teniendo una degradación en la velocidad de bajada y queria descartar que fuera el WireGuard ( Al final resultó que si era ). De todas formas que Orange bloque el puerto es un problema para los clientes de Azure con el servicio Azure Files, que usa SMB.
con el servicio Azure Files, que usa SMB
Usa SMB como integración en su API, no que tengas acceso directo a él. En la landing ya te lo deja entrever:
"Los recursos compartidos de Azure Files se pueden montar simultáneamente en implementaciones de Windows, macOS y Linux en la nube o locales. Habilite el uso compartido de archivos entre aplicaciones que se ejecuten en sus máquinas virtuales usando API de Windows o API de REST de Azure Files que ya conoce. Además, Azure File Sync permite almacenar en caché y sincronizar recursos compartidos de Azure Files en servidores Windows Server para disponer de acceso local."
Si se vende como integrado en SMB es porque son protocolos de Microsoft, pero hasta ellos saben los problemas que comporta.
