Харденинг для сетевых ресурсов: ФСТЭК выпустил рекомендации по защите ПО Samba
Для повышения защищенности инфраструктур, использующих разные операционные системы, ФСТЭК дал инструкции по настройке Samba. Рекомендации включают отключение устаревшего SMBv1 и NetBIOS, настройку аудита и шифрования, однако, по мнению экспертов, для полноценной защиты данных этих мер может быть недостаточно.
Федеральная служба по техническому и экспортному контролю России (ФСТЭК) опубликовала рекомендации для повышения защищенности ПО Samba. Советы по харденингу (повышению защищенности) приложения опубликованы «по результатам анализа сведений об угрозах безопасности … в условиях сложившейся обстановки». Рекомендации размещены на сайте регулятора.
Как пояснил в комментарии SecPost заместитель генерального директора по инновационной деятельности «СёрчИнформ» Алексей Парфентьев, Samba — очень старое решение, его первые версии были выпущены еще в 90-х годах. Samba использует протокол SMB и позволяет управлять доступом к различным файлам, папкам, устройствам и другим информационным ресурсам. Технология используется практически во всех организациях, но особенно востребована в случаях использования инфраструктуры на разных ОС.
«ФСТЭК в опубликованном документе впервые дает официальные указания о том, как избежать угроз ИБ при использовании этого программного продукта. Рекомендации регулятора — это конкретные инструкции о том, как обеспечить базовый уровень безопасности при использовании Samba без дополнительных ИБ-средств, — говорит Парфентьев. — Неправильная настройка Samba может оставлять уязвимости и возможности для нелегитимного доступа к информации».
В рекомендациях описано, как отключить NetBIOS (по возможности) и использовать для SMB только порт 445/tcp. Также рекомендуется отключить использование устаревшего протокола SMBv1, даны инструкции о том, как построить аудит ПО, проверить шифрование при LDAP Bind, осуществить настройку парольной политики.
Как отмечает Парфентьев, выполнение рекомендаций не поможет с защитой от нерегламентированного доступа к информации, выданного по ошибке или умышленно. По словам эксперта, такая угроза может возникнуть, если, например, администратор переносит файлы из закрытой папки на общедоступный сетевой ресурс.
«Для того чтобы полноценно защитить данные во всей инфраструктуре, правила доступа должны настраиваться в зависимости от контента файлов. Ни протокол SMB, ни какие-либо другие популярные протоколы не позволяют это сделать без применения сторонних решений», — подчеркивает Парфентьев.
SecPost ранее разбирал рекомендации по харденингу VMware. Что советует регулятор и что об этом думают эксперты, читайте здесь.
Читайте также
