Diez formas de proteger su servidor Samba en Linux
Si aloja un servidor Samba, es importante que preste especial atención a proteger el servidor de los adversarios.
Conclusiones clave
- Habilite el cifrado para el tráfico SMB para evitar accesos no autorizados y ciberataques. Utilice Transport Layer Security (TLS) para proteger el tráfico de su servidor Linux Samba.
- Implemente estrictos controles de acceso y permisos para recursos compartidos utilizando el archivo de configuración /etc/samba/smb.conf. Defina reglas de acceso, permisos y restricciones para garantizar que solo los usuarios autorizados puedan acceder a los recursos.
- Aplique contraseñas seguras y únicas para las cuentas de usuarios de PYMES para mejorar la seguridad. Actualice periódicamente Linux y Samba para protegerse contra vulnerabilidades y ciberataques, y evite el uso del inseguro protocolo SMBv1.
- Configure reglas de firewall para restringir el acceso a los puertos SMB y considere la segmentación de la red para aislar el tráfico SMB de redes que no son de confianza. Supervise los registros de SMB en busca de actividades sospechosas e incidentes de seguridad, y limite el acceso de invitados y las conexiones anónimas.
- Implemente restricciones basadas en host para controlar el acceso a hosts específicos y denegar el acceso a otros. Tome medidas de seguridad adicionales para fortalecer su red y reforzar sus servidores Linux.
El protocolo SMB (Server Message Block) es la piedra angular del intercambio de archivos e impresoras en entornos conectados. Sin embargo, la configuración predeterminada de Samba puede plantear importantes riesgos de seguridad, dejando su red vulnerable a accesos no autorizados y ciberataques.
Si aloja un servidor Samba, debe tener mucho cuidado con las configuraciones que ha establecido. Aquí hay 10 pasos críticos para garantizar que su servidor SMB permanezca seguro y protegido.
1. Habilite el cifrado para el tráfico SMB
De forma predeterminada, el tráfico SMB no está cifrado. Puede verificar esto capturando paquetes de red con tcpdump o Wireshark. Es fundamental cifrar todo el tráfico para evitar que un atacante intercepte y analice el tráfico.
Se recomienda configurar Transport Layer Security (TLS) para cifrar y proteger el tráfico de su servidor Linux Samba.
2. Implementar controles de acceso estrictos y permisos para recursos compartidos
Debe implementar permisos y controles de acceso estrictos para garantizar que los usuarios conectados no puedan acceder a recursos no solicitados. Samba utiliza un archivo de configuración central /etc/samba/smb.conf que le permite definir reglas de acceso y permisos.
Usando una sintaxis especial, puede definir recursos para compartir, usuarios/grupos para dar acceso a esos recursos y si los recursos se pueden explorar, escribir o leer. Aquí está la sintaxis de muestra para declarar un recurso e implementar controles de acceso en él:
[sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname
En las líneas anteriores, agregamos una nueva ubicación compartida con una ruta y con usuarios válidos, restringimos el acceso al recurso compartido a un solo grupo. Hay muchas otras formas de definir controles y acceso a un recurso compartido. Puede obtener más información al respecto en nuestra guía dedicada sobre cómo configurar una carpeta compartida en red en Linux con Samba.
3. Utilice contraseñas seguras y únicas para cuentas de usuarios de PYMES
Hacer cumplir políticas de contraseñas sólidas para las cuentas de usuarios de PYMES es una de las mejores prácticas de seguridad fundamentales. Como administrador del sistema, debe crear o instar a todos los usuarios a que creen contraseñas seguras y únicas para sus cuentas.
También puede acelerar este proceso generando automáticamente contraseñas seguras utilizando herramientas. Opcionalmente, también puede rotar periódicamente las contraseñas para mitigar el riesgo de fugas de datos y acceso no autorizado.
4. Actualice Linux y Samba periódicamente
La forma más sencilla de defensa pasiva contra todo tipo de ataques cibernéticos es asegurarse de ejecutar versiones actualizadas del software crítico. Las PYMES son propensas a sufrir vulnerabilidades. Siempre es un objetivo lucrativo para los atacantes.
En el pasado, ha habido múltiples vulnerabilidades críticas para las PYMES que llevaron a la toma total del sistema o a la pérdida de datos confidenciales. Debes mantener actualizados tanto tu sistema operativo como los servicios críticos que contiene.
5. Evite el uso del protocolo SMBv1
SMBv1 es un protocolo inseguro. Siempre se recomienda que siempre que use SMB, ya sea en Windows o Linux, evite usar SMBv1 y solo use SMBv2 y versiones posteriores. Para deshabilitar el protocolo SMBv1, agregue esta línea al archivo de configuración:
min protocol = SMB2
Esto garantiza que el nivel mínimo de protocolo en uso sea SMBv2.
6. Hacer cumplir las reglas del firewall para restringir el acceso a los puertos SMB
Configure el firewall de su red para permitir el acceso a los puertos SMB, generalmente el puerto 139 y el puerto 445, solo desde fuentes confiables. Esto ayuda a prevenir el acceso no autorizado y reduce el riesgo de ataques de amenazas externas basados en SMB.
También debería considerar instalar una solución IDS junto con un firewall dedicado para tener un mejor control y registro del tráfico. ¿No estás seguro de qué firewall usar? Puede encontrar uno que se adapte a sus necesidades en la lista de los mejores firewalls de Linux gratuitos para usar.
7. Implementar la segmentación de la red para aislar el tráfico de las PYMES de las redes que no son de confianza
La segmentación de red es la técnica de dividir un único modelo monolítico de una red informática en múltiples subredes, cada una de las cuales se denomina segmento de red. Esto se hace para mejorar la seguridad, el rendimiento y la capacidad de administración de la red.
Para aislar el tráfico SMB de redes que no son de confianza, puede crear un segmento de red separado para el tráfico SMB y configurar reglas de firewall para permitir solo el tráfico SMB hacia y desde este segmento. Esto le permite administrar y monitorear el tráfico SMB de manera enfocada.
En Linux, puede utilizar iptables o una herramienta de red similar para configurar reglas de firewall para controlar el flujo de tráfico entre segmentos de red. Puede crear reglas para permitir el tráfico SMB hacia y desde el segmento de red SMB mientras bloquea el resto del tráfico. Esto aislará eficazmente el tráfico de las PYMES de las redes que no son de confianza.
8. Supervise los registros de SMB en busca de actividades sospechosas e incidentes de seguridad
Monitorear los registros de SMB en busca de actividades sospechosas e incidentes de seguridad es una parte importante del mantenimiento de la seguridad de su red. Los registros de SMB contienen información sobre el tráfico de SMB, incluido el acceso a archivos, la autenticación y otros eventos. Al monitorear periódicamente estos registros, puede identificar posibles amenazas a la seguridad y mitigarlas.
En Linux, puede utilizar el comando journalctl y canalizar su salida al comando grep para ver y analizar registros SMB.
journalctl -u smbd.service
Esto mostrará los registros de la unidad smbd.service que es responsable de administrar el tráfico SMB. Puede usar la opción -f para seguir los registros en tiempo real o usar la opción -r para ver primero las entradas más recientes.
Para buscar eventos o patrones específicos en los registros, canalice la salida del comando journalctl a grep. Por ejemplo, para buscar intentos de autenticación fallidos, ejecute:
journalctl -u smbd.service | grep -i "authentication failure"
Esto mostrará todas las entradas del registro que contengan el texto "fallo de autenticación", lo que le permitirá identificar rápidamente cualquier actividad sospechosa o intento de fuerza bruta.
9. Limite el uso del acceso de invitados y las conexiones anónimas
Habilitar el acceso de invitados permite a los usuarios conectarse al servidor Samba sin proporcionar un nombre de usuario o contraseña, mientras que las conexiones anónimas permiten a los usuarios conectarse sin proporcionar ninguna información de autenticación.
Ambas opciones pueden suponer un riesgo para la seguridad si no se gestionan adecuadamente. Se recomienda desactivar ambos. Para hacer eso necesita agregar o modificar un par de líneas en el archivo de configuración de Samba. Esto es lo que necesita agregar/modificar en la sección global del archivo smb.conf:
map to guest = never
restrict anonymous = 2
10. Implementar restricciones basadas en el host
De forma predeterminada, cualquier host (dirección IP) puede acceder a un servidor Samba expuesto sin restricciones. Por acceso, se entiende establecer una conexión y no, literalmente, acceder a los recursos.
Para permitir el acceso a hosts específicos y denegar el descanso, puede utilizar las opciones los hosts permiten y los hosts deniegan. Aquí está la sintaxis para agregar al archivo de configuración para permitir/denegar hosts:
hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0
Aquí le estás ordenando a Samba que niegue todas las conexiones excepto las del host local y la red 192.168.1.0/24. Esta también es una de las formas fundamentales de proteger su servidor SSH.
Ahora ya sabe cómo proteger su servidor Samba Linux
Linux es ideal para alojar servidores. Sin embargo, cuando se trata de servidores, hay que andar con cuidado y ser muy consciente, ya que los servidores Linux son siempre un objetivo lucrativo para los actores de amenazas.
Es primordial que se esfuerce sinceramente en fortalecer su red y sus servidores Linux. Además de configurar Samba correctamente, existen algunas otras medidas que debe tomar para garantizar que su servidor Linux esté a salvo del punto de mira de los adversarios.