AFP или SAMBA более безопасны для внешнего доступа?

Question 1

Я бегу 12,04 LTS. Название говорит само за себя: AFP или Samba более безопасны для внешнего доступа?

Question 2

Я не уверен, что вы подразумеваете под «внешним доступом». Как правило, ни один из них не должен использоваться, за исключением локальной сети или защищенной VPN-сети WAN, как говорит Митч . В дополнение к тому, что трафик не шифруется, эти протоколы не предназначены для доступа ко всему Интернету; уязвимость, которая будет считаться критической для такой службы, как SSH, часто будет считаться лишь умеренно серьезной для реализации SMB / CIFS или AFP. Реализация SMB / CIFS в Windows имеет много уязвимостей, и хотя Samba в Ubuntu может быть более безопасным, я не знаю ни одного исследования, которое бы указывало на это.

Но есть и другое соображение.

Windows практически не поддерживает AFP. AFP поддерживается в OS X, но OS X также поддерживает SMB / CIFS. При условии, что вы подготовили все для обеспечения надлежащей безопасности (например, если люди обращаются к нему через Интернет, это должно быть только через соответствующую VPN), вам, вероятно, следует использовать SMB / CIFS, если вы не знаете, что у вас не будет собственной Windows клиенты (что кажется маловероятным, даже для магазина Ubuntu или OS X).

Но это может быть ложной дилеммой.

Для предоставления доступа к одним и тем же файлам можно включить несколько служб. Вы даже можете настроить их с теми же ограничениями. SMB / CIFS (через Samba в Ubuntu), AFP, NFS и ряд других сервисов могут работать одновременно.

Конечно, вы не должны запускать дополнительные службы без причины - каждая дополнительная служба требует, чтобы вы (или какой-либо сетевой администратор, работающий в вашей организации) изучили ее работу, обеспечили ее безопасную настройку и предоставили поддержку, а также дополнительная услуга несколько увеличивает общую поверхность атаки .

Но обычно лучше запускать больше сервисов, чем делать что-то с сервисом, для которого он не предназначен.

В частности, если вам нужно облегчить доступ к файлам через Интернет без VPN, то даже если у вас уже настроены SMB / CIFS, AFP и / или NFS, вы все равно должны использовать их только в локальной сети, и настроить дополнительную, соответствующую службу для доступа к файлам через незащищенную сеть. SSH с SFTP, как правило, является хорошим сервисом для этого.

Question 3

Question 4

Вообще говоря, AFP, CIFS / SMB (т.е. SAMBA) и NFS не являются защищенными протоколами, так как они предназначены для работы в локальной «доверенной» сети.

Вы можете иметь некоторую форму аутентификации, но, например, трафик не зашифрован.

Если вам нужен безопасный доступ, вы должны туннелировать трафик через SSH или даже использовать VPN.

2 revs · Answer 1 · 31 August 2013 в 01:50

Я не уверен, что вы подразумеваете под «внешним доступом». Как правило, ни один из них не должен использоваться, за исключением локальной сети или защищенной VPN-сети WAN, как говорит Митч . В дополнение к тому, что трафик не шифруется, эти протоколы не предназначены для доступа ко всему Интернету; уязвимость, которая будет считаться критической для такой службы, как SSH, часто будет считаться лишь умеренно серьезной для реализации SMB / CIFS или AFP. Реализация SMB / CIFS в Windows имеет много уязвимостей, и хотя Samba в Ubuntu может быть более безопасным, я не знаю ни одного исследования, которое бы указывало на это.

Но есть и другое соображение.

Windows практически не поддерживает AFP. AFP поддерживается в OS X, но OS X также поддерживает SMB / CIFS. При условии, что вы подготовили все для обеспечения надлежащей безопасности (например, если люди обращаются к нему через Интернет, это должно быть только через соответствующую VPN), вам, вероятно, следует использовать SMB / CIFS, если вы не знаете, что у вас не будет собственной Windows клиенты (что кажется маловероятным, даже для магазина Ubuntu или OS X).

Но это может быть ложной дилеммой.

Для предоставления доступа к одним и тем же файлам можно включить несколько служб. Вы даже можете настроить их с теми же ограничениями. SMB / CIFS (через Samba в Ubuntu), AFP, NFS и ряд других сервисов могут работать одновременно.

Конечно, вы не должны запускать дополнительные службы без причины - каждая дополнительная служба требует, чтобы вы (или какой-либо сетевой администратор, работающий в вашей организации) изучили ее работу, обеспечили ее безопасную настройку и предоставили поддержку, а также дополнительная услуга несколько увеличивает общую поверхность атаки .

Но обычно лучше запускать больше сервисов, чем делать что-то с сервисом, для которого он не предназначен.

В частности, если вам нужно облегчить доступ к файлам через Интернет без VPN, то даже если у вас уже настроены SMB / CIFS, AFP и / или NFS, вы все равно должны использовать их только в локальной сети, и настроить дополнительную, соответствующую службу для доступа к файлам через незащищенную сеть. SSH с SFTP, как правило, является хорошим сервисом для этого.

Mitch · Answer 2 · 31 August 2013 в 01:50

Вообще говоря, AFP, CIFS / SMB (т.е. SAMBA) и NFS не являются защищенными протоколами, так как они предназначены для работы в локальной «доверенной» сети.

Вы можете иметь некоторую форму аутентификации, но, например, трафик не зашифрован.

Если вам нужен безопасный доступ, вы должны туннелировать трафик через SSH или даже использовать VPN.

AFP или SAMBA более безопасны для внешнего доступа?

2 ответа

Но есть и другое соображение.

Но это может быть ложной дилеммой.

Другие вопросы по тегам:

Похожие вопросы: