SMB là gì? Làm thế nào để ngăn chặn tấn công qua SMB?

ITNavi 18 Jun 2021 23625
Bạn đã bao giờ nghe đến thuật ngữ SMB hay chưa? Bạn có tin không, mặc dù bạn chẳng biết gì về SMB hoặc thậm chí là chưa là chưa từng nghe đến thuật ngữ này nhưng có thể bạn vẫn đang sử dụng SMB hàng ngày trong học tập và làm việc đó. SMB cực kỳ tiện dụng, hữu ích và được sử dụng rộng rãi hiện nay mặc dù chúng vẫn còn một số lỗ hổng về bảo mật. Vậy bạn có tò mò về SMB là gì hay không? Cùng chúng tôi đi tìm hiểu chi tiết về thuật ngữ này ngay nhé!

SMB là gì?

SMB được viết tắt của từ Server Message Block, là một giao thức trong hệ điều hành Windows và DOS. SMB cung cấp cơ chế để các máy khách (client) có thể truy cập vào hệ thống file máy chủ (server), cũng như những thiết bị input/output (ví dụ như máy in). Đọc đến đây, chắc hẳn các bạn đã cảm thấy quen thuộc và dễ hình dung nhất là những ai làm công việc văn phòng. SMB một giao thức trong hệ điều hành Windows và DOS

SMB một giao thức trong hệ điều hành Windows và DOS

Một ví dụ cho các bạn dễ hiểu hơn nha, chẳng hạn bạn đang làm việc nhóm với dự án có khối lượng dữ liệu lớn. Thay vì phải chia sẻ tất cả các file này cho mọi người, bạn chỉ cần lưu các file này trong máy tính của mình. Giao thức SMB sẽ cho phép các thành viên khác trong nhóm của bạn truy cập và sử dụng các file này từ máy của bạn trên chính máy tính của họ. 

Lịch sử hình thành và phát triển của SMB

Giao thức SMB đã được ra đời và đưa vào sử dụng từ giữa những năm 80 của thế kỷ 20 và trải qua nhiều phiên bản. Cụ thể, vào năm 1984 IBM đã ra SMB trong một bản công bố tài liệu về kỹ thuật của mình. Mục đích thiết kế ban đầu của SMB là một giao thức mạng để đặt tên và kiểm duyệt. Những phiên bản đầu tiên của SMB, hệ thống chia sẻ dữ liệu với các máy khách có quyền ngang nhau, tuy nhiên điều này chưa thực sự đảm bảo an toàn thông tin. Về sau, SMB đã được kế thừa bởi Microsoft và trở thành một giao thức chia sẻ file phổ biến của hệ điều hành Microsoft và IBM với nhiều phiên bản đã được cải thiện về khả năng bảo mật. Các máy chủ và máy client SMB sẽ cùng sử dụng một giao thức đồng nhất để thuận tiện cho việc chia sẻ, trao đổi dữ liệu. Từ những năm 1990 cho đến nay SMB đã được Microsoft đổi tên thành CIFS viết tắt của từ Common Internet File Sharing đúng với nghĩa đen là công cụ chia sẻ file phổ biến nhất trên Internet. CIFS được thiết kế với tiêu chí đơn giản và có thể đáp ứng một số lượng lớn người sử dụng. Với mô hình một server tập trung, mọi dữ liệu đã được xử lý tại máy client đều được khuyến nghị lưu trữ tại server giúp cho CIFS ngày càng phổ biến. Bạn đọc tham khảo thêm: Single Sign-on hay SSO là gì? Ưu và nhược điểm của SSO

Giao thức SMB hoạt động như thế nào?

SMB là giao thức hoạt động theo cơ chế máy khách - máy chủ (request - response). Hiểu đơn giản là các máy khách sẽ gửi những yêu cầu đến máy chủ SMB sau đó máy chủ sẽ gửi phản hồi lại đến từng yêu cầu. Trong lần giao tiếp đầu tiên, máy khách sẽ gửi danh sách các bản giao thức khả dụng đến máy chủ, máy chủ sẽ lựa chọn một giao thức phù hợp để sử dụng về sau. Nếu trong danh sách này không có giao thức nào phù hợp, máy chủ sẽ từ chối. SMB hoạt động theo cơ chế máy chủ - máy khách

SMB hoạt động theo cơ chế máy chủ - máy khách

Khi bản giao thức đã được xác nhận, máy khách bắt đầu gửi các yêu cầu để máy chủ phản hồi lại kèm theo các thông tin cần thiết. Chẳng hạn như máy khách yêu cầu đăng nhập vào hệ thống với tên đăng nhập và mật khẩu bất kỳ. Nếu yêu cầu đăng nhập thành công, máy chủ sẽ gửi về một số ID. Từ đó máy khách có thể yêu cầu kết nối với dữ liệu nguồn thông qua số ID này. Máy chủ và máy khách khi sử dụng SMB sẽ duy trì một số thứ tự đồng bộ. Số thứ tự này phục vụ cho việc tạo mã xác thực tin nhắn (messenger authentication code - MAC) để phòng tránh các cuộc tấn công mạng. Mỗi một tin nhắn có thể xác nhận bởi một MAC nhất định. Mã này được thiết lập để xác thực nguồn tin nhắn và bảo đảm tính toàn vẹn của tin nhắn. Ví dụ máy in văn phòng được kết nối với máy tính tại phòng nhân sự. Nếu bạn muốn in bất kỳ một tài liệu nào đó, máy tính của bạn (máy client) sẽ gửi yêu cầu đến máy tính tại phòng nhân sự (máy chủ) bằng giao thức SMB. Tiếp sau đó, máy chủ sẽ gửi các phản hồi nêu rõ các dữ liệu đang được in hoặc bị từ chối. Bạn đọc tham khảo thêm: Slack là gì? Làm thế nào để sử dụng thành thạo Slack?

Chức năng của giao thức SMB

Một điểm mạnh của giao thức SMB mà nhiều công cụ khác không có được chính là hỗ trợ cả Unicode. Bên cạnh đó thì SMB còn có những chức năng quan trọng khác như:
  • Hỗ trợ tìm kiếm máy chủ sử dụng giao thức SMB khác.
  • Hỗ trợ in qua mạng.
  • Cho phép xác thực các file và thư mục được chia sẻ.
  • Thông báo những thay đổi của file và thư mục.
  • Xử lý những thuộc tính mở rộng của file.
  • Hỗ trợ dàn xếp, đàm phán để tương thích giữa các hình thái của SMB.
  • Cho phép khóa file đang truy cập tùy theo yêu cầu.
Khi sử dụng SMB kết hợp với giao thức xác thực NTLM người dùng sẽ được cung cấp trọn gói chia sẻ file, máy in ở mức user. Chỉ cần thực hiện đăng nhập kết nối với dữ liệu ở máy khác, Windows sẽ lập tức gửi dữ liệu thông tin đăng nhập của người dùng đó về SMB trước khi yêu cầu tên đăng nhập và mật khẩu. SMB cho phép xác thực các file và thư mục được chia sẻ

SMB cho phép xác thực các file và thư mục được chia sẻ

Làm thế nào để tắt được SMB?

Để ngăn chặn sự xâm nhập của virus vào máy tính của bạn và bảo mật thông tin các bạn có thể disable SMB. Tai sao SMB lại dễ bị tấn công bởi virus? Vì là giao thức chia sẻ các file nên nó phải có các port mạng để kết nối các hệ thống máy tính với nhau, hơn thế nữa SMB sử dụng port 139 và port 445.  Để tắt được SMB trên máy tính của mình, các bạn có thể thực hiện như sau:
  • Update Windows: nên thường xuyên cập nhật các bản mới của Windows để vá các lỗ hổng, đặc biệt là lỗ hổng ETERNALBLUE.
  • Disable hỗ trợ SMBv1: để tắt được SMB bằng cách này, bạn mở cửa sổ Command Prompt và cho chạy lệnh: “dism/online/norestart/disable-feature/featurename:SMB1Protocol”.
  • Chặn các port 135, 445: SMB sử dụng các port này và đây cũng là cách mà virus hay xâm nhập vào hệ thống. Do vậy nếu không cần sử dụng, các bạn nên đóng các port này bằng cách mở cửa sổ Command Prompt và chạy lệnh:
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name=”Block_TCP-135″ netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=”Block_TCP-445″. Việc tắt SMB có thể ngăn chặn sự xâm nhập và tấn công của virus

Việc tắt SMB có thể ngăn chặn sự xâm nhập và tấn công của virus

Cách phòng chống khi sử dụng giao thức SMB

Nếu bạn vẫn có nhu cầu sử dụng giao thức SMB nhưng vẫn muốn bảo vệ tốt nhất cho hệ thống máy tính của mình, các bạn có thể thực hiện một vài biện pháp sau:
  • Khởi chạy tường lửa hoặc để chế độ Endpoint Protection để bảo vệ port SMB và cập nhật blacklist để ngăn chặn các kết nối từ địa chỉ IP đã tấn công trước đó.
  • Thiết lập VPN để mã hóa và bảo vệ lưu lượng mạng.
  • Sử dụng mạng VLAN riêng với lưu lượng nội bộ.
  • Sử dụng bộ lọc địa chỉ MAC để phát hiện và ngăn chặn những địa chỉ không xác định đang muốn truy cập.
Thông qua bài viết, chúng tôi đã giới thiệu đến các bạn những thông tin về giao thức SMB là gì? Có thể nói nhờ có SMB mà công việc của chúng ta trở nên dễ dàng hơn nhất là trong việc chia sẻ file và thư mục. Tuy nhiên chúng ta cũng cần biết những cách phòng chống và bảo vệ hệ thống máy tính của mình khi có những nguy cơ tấn công thông qua cổng SMB nữa nhé. Khi sử dụng SMB, ai cũng có thể trở thành mục tiêu bị tấn công do đó hãy làm những gì tốt nhất để bảo vệ dữ liệu và thiết bị của bạn trước khi có những sự cố đáng tiếc xảy ra nhé!
ITNavi - Nền tảng kết nối việc làm IT

Nguồn: SMB là gì? Làm thế nào để ngăn chặn tấn công qua SMB?

Bài viết liên quan

NEWSLETTER

Nhập địa chỉ email của bạn dưới đây để đăng ký nhận tin mới nhất

KẾT NỐI VÀ THEO DÕI