SMB là một giao thức mạng được sử dụng rộng rãi trong các môi trường doanh nghiệp và mạng nội bộ để chia sẻ tài nguyên như file và máy in. Mặc dù mang lại rất nhiều lợi ích cho người dùng, nhưng SMB vẫn còn ẩn chứa nhiều nguy cơ bảo mật nghiêm trọng. Trong bài viết dưới đây, hãy cùng Vietnix tìm hiểu SMB là gì, SMB là viết tắt của từ gì trong tiếng Anh và cách phòng chống các rủi ro khi sử dụng SMB hiệu quả.
SMB là gì?
SMB viết tắt của Server Message Block là giao thức mạng (protocol) được thiết kế để tối ưu hóa quá trình chia sẻ tệp tin, dữ liệu giữa các thiết bị trong cùng một mạng. SMB cho phép các máy tính Windows khác nhau có thể chia sẻ và truy cập tài nguyên như file, folder một cách nhanh chóng và dễ dàng. Hiện nay, SMB được ứng dụng khá phổ biến, nhất là trong các môi trường làm việc nhóm có nhu cầu chia sẻ dữ liệu cao.
Kể từ những năm 1980, giao thức SMB đã xuất hiện và phát triển qua nhiều thời kỳ với các phiên bản khác nhau. Ban đầu, giao thức này chủ yếu được ứng dụng trên các thiết bị DOS và được tích hợp trong LAN Manager của Microsoft. Về sau, nhiều phiên bản SMB mới đã được phát triển và tích hợp vào các hệ điều hành Windows mới như Windows 95, 98, NT và XP. Qua từng phiên bản, SMB lại được cải tiến với hiệu suất và độ bảo mật tốt hơn để mang lại trải nghiệm tối ưu cho người dùng. Đến những năm 1990, SMB đã được Microsoft đổi tên thành CIFS (Common Internet File System).
Cách thức hoạt động của SMB
- Client gửi yêu cầu
- Server xem xét danh sách phiên bản SMB khả dụng
- Server phản hồi nếu đáp ứng yêu cầu bảo mật
- Bảo mật và xác thực
Client gửi yêu cầu
SMB hoạt động theo mô hình yêu cầu – phản hồi, tức là client sẽ gửi request đến server SMB và server sẽ gửi lại các response tương ứng.
Server xem xét danh sách phiên bản SMB khả dụng
Trước khi quá trình giao tiếp bắt đầu, client sẽ gửi danh sách những phiên bản SMB khả dụng cho server để lựa chọn và áp dụng cho các tương tác tiếp theo. Trong trường hợp các phiên bản trong danh sách này đều không đáp ứng các yêu cầu về bảo mật, server sẽ từ chối yêu cầu của client.
Server phản hồi nếu đáp ứng yêu cầu bảo mật
Tiếp theo, client sẽ gửi request đến server và server sẽ phản hồi với thông tin tương ứng. Chẳng hạn như client muốn đăng nhập vào hệ thống với user và password, nếu yêu cầu hợp lệ, server sẽ gửi lại ID cho client để client có thể kết nối tới nguồn dữ liệu.
Bảo mật và xác thực
Cả client và server khi giao tiếp bằng SMB đều duy trì một thứ tự nhất định, được dùng để tạo messenger authentication code (MAC – Mã xác thực tin nhắn) nhằm đảm bảo an toàn và bảo mật trong suốt quá trình làm việc. Trong đó, mỗi một tin nhắn giữa client với server đều được xác thực bằng một MAC để đảm bảo tin nhắn đến từ nguồn đáng tin cậy và sẽ không bị thay đổi khi truyền đi.
Nói tóm lại, ta có:
- SMB hoạt động theo mô hình yêu cầu – phản hồi giữa client và server.
- Trước khi giao tiếp, client gửi danh sách phiên bản SMB cho server chọn.
- Yêu cầu hợp lệ từ client sẽ nhận được phản hồi tương ứng từ server.
- Xác thực và bảo mật được đảm bảo qua mã xác thực tin nhắn (MAC).
Chức năng của SMB là gì?
Dưới đây là một số chức năng cơ bản của SMB:
- Chia sẻ tài nguyên: Cho phép người dùng chia sẻ và truy cập vào các tài nguyên trong cùng một mạng như file, folder, máy chủ in ấn…
- Quản lý tệp tin, thư mục: Với SMB, người dùng có thể đọc, ghi, xóa, đổi tên, di chuyển và thực hiện các thao tác quản lý tệp tin, thư mục khác.
- Kiểm soát quyền truy cập: Quản trị viên của thể thiết lập một số chính sách bảo mật và quản lý truy cập để đảm bảo an toàn dữ liệu.
- Truy cập từ xa: Người dùng có thể truy cập từ xa vào các tài nguyên trên mạng bằng SMB với kết nối mạng.
- In ấn từ xa: Thông qua SMB, người dùng có thể chia sẻ máy in và in ấn tài liệu từ xa một cách dễ dàng.
- Tích hợp dễ dàng: Bạn có thể tích hợp SMB với một số ứng dụng và dịch vụ khác để tạo nên giải pháp tối ưu lưu trữ và chia sẻ dữ liệu tối ưu.
Tính bảo mật của SMB
Tính bảo mật là một yếu tố quan trọng mà người dùng cần cân nhắc khi sử dụng SMB. Trong quá khứ, giao thức này đã gặp nhiều sự cố về bảo mật, chẳng hạn như:
- Năm 2017, lỗ hổng bảo mật của SMBv1 đã gây ra thiệt hại lớn cho nhiều hệ thống và người dùng, hacker có thể thông qua lỗ hổng ấy để xâm nhập và kiểm soát tất cả các thiết bị trong mạng.
- Sau khi Microsoft đưa ra bản cập nhật mới để khắc phục lỗ hổng bảo mật trên, một sự cố ransomware WannaCry lại xuất hiện gây thiệt hại cho 200.000 máy tính tại hơn 150 quốc gia. Các hacker đã lợi dụng lỗ hổng MS17-010 để mã hóa dữ liệu yêu cầu nạn nhân chuộc lại bằng Bitcoin, Crypto.
Microsoft đã nhiều lần kiểm soát và khắc phục các lỗ hổng bảo mật, nhưng nhưng thiệt hại đã gây ra là nhiều vô kể. Vậy nên, khi sử dụng SMB, người dùng cần thường xuyên thực hiện các biện pháp bảo mật sau:
- Thường xuyên cập nhật các phiên bản mới để đảm bảo an toàn cho hệ thống
- Tích hợp các biện pháp bảo mật khác như: thiết lập chính sách an ninh, xác thực hai yếu tố và áp dụng các giải pháp phòng chống phần mềm độc hại hiệu quả…
Cách tắt SMB nhanh chóng
Bạn có thể bảo vệ thông tin dữ liệu và ngăn chặn virus xâm nhập vào hệ thống của mình bằng cách tắt SMB khi không sử dụng. Trên thực tế, hacker có thể tấn công SMB vì đây là một giao thức chia sẻ file cho phép kết nối với các máy tính khác thông qua các port mạng (gồm port 139 và port 445).
Người dùng có thể nâng cao bảo mật bằng cách cập nhật hệ điều hành thường xuyên, tắt SMBv1 và chặn các port mạng không cần thiết để đảm bảo an toàn và giảm thiểu rủi ro đến từ các cuộc tấn công. Dưới đây là cách thực hiện cụ thể:
Disable hỗ trợ SMBv1
Để tắt SMBv1, bạn truy cập vào Command Prompt (CMD), sau đó chạy dòng lệnh sau:
dism /online /norestart /disable-feature/featurename:SMB1Protocol
Chặn các port 135, 445
Virus có thể xâm nhập vào hệ thống thông qua các cổng SMB. Vì thế, nếu không có nhu cầu sử dụng, tốt nhất là bạn hãy đóng các cổng port lại bằng cách mở cửa sổ Command Prompt rồi chạy lệnh sau:
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135
name=”Block_TCP-135″
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=”Block_TCP-445″
Cách phòng chống tấn công khi dùng giao thức SMB
Trong trường hợp bạn cần sử dụng SMB để chia sẻ dữ liệu cho các thành viên trong mạng, nhưng vẫn muốn đảm bảo an toàn cho hệ thống, bạn có thể tham khảo một số biện pháp sau:
- Bảo vệ port SMB với firewall hoặc chế độ Endpoint Protection.
- Cập nhật danh sách blacklist để chặn kết nối từ địa chỉ IP đáng ngờ.
- Sử dụng VPN để mã hóa và bảo vệ thông tin dữ liệu khi truyền tải.
- Sử dụng mạng VLAN riêng với lưu lượng nội bộ.
- Sử dụng MAC để kịp thời phát hiện và ngăn chặn các truy cập không xác định được danh tính.
Lời kết
Bên trên là câu trả lời cho thắc mắc SMB là gì và cách phòng chống bị tấn công khi sử dụng giao thức này. Hy vọng bài viết sẽ hữu ích và đừng quên chia sẻ để mọi người cùng đón đọc, bạn nhé!