SMB là gì? Mách bạn những cách ngăn chặn các cuộc tấn công qua SMB hiệu quả

SMB là gì? Một thuật ngữ vô cùng quen thuộc do chúng ta vẫn luôn sử dụng chúng hằng ngày. Giao thức SMB xuất hiện trên cổng trình duyệt phổ biến để người dùng thực hiện các thao tác máy tính cơ bản. Để hiểu hơn về công cụ này và cách ngăn chặn lỗ hổng bảo mật, mời bạn theo dõi bài viết của FPT Shop dưới đây. 

Giới thiệu đôi nét về SMB

SMB là gì?

SMB (Server Message Block") là một giao thức mạng được sử dụng trong hệ điều hành Windows và DOS. Nền tảng này cung cấp cơ chế cho phép các máy khách (client) truy cập vào hệ thống file máy chủ (server) và các thiết bị input/output, chẳng hạn như máy in.

Khi áp dụng trong môi trường văn phòng hoặc dự án nhóm, SMB cho phép người dùng chia sẻ và truy cập các file trên mạng một cách hiệu quả. Nền tảng góp phần tối ưu hóa quản lý và sử dụng dữ liệu trong môi trường làm việc nhóm. 

SMB có đặc điểm như thế nào? 

SMB thiết lập kết nối giữa máy khách và máy chủ. Công nghệ cho phép truy cập, đọc, ghi và thực thi các tệp trên máy chủ từ xa thông qua mạng. Người dùng có quyền chia sẻ tài nguyên với nhau một cách hiệu quả. 

Trong trường hợp dự án có khối lượng dữ liệu lớn, các thành viên nhóm chỉ cần lưu trữ dữ liệu trên máy tính của họ và chia sẻ tài nguyên đó với những người khác thông qua SMB mà không cần phải sao chép dữ liệu sang nhiều máy khác nhau.

SMB cũng cung cấp các phương tiện để kiểm soát quyền truy cập và bảo mật thông tin. Điều này sẽ giúp người quản trị mạng thiết lập các chính sách an toàn thông tin phù hợp. Giao thức SMB không ngừng phát triển để cải thiện hiệu suất và đáp ứng các yêu cầu mới của người dùng và các tiêu chuẩn an toàn thông tin.

Khám phá lịch sử ra đời và phát triển của SMB

Giao thức SMB (Server Message Block) bắt đầu hình thành từ thập kỷ 1980 khi Microsoft phát triển cho hệ điều hành MS-DOS. Ban đầu, SMB được thiết kế để cho phép các máy tính chia sẻ tệp tin và các nguồn tài nguyên khác qua mạng nội bộ.

Sau đó, SMB được mở rộng và tích hợp sâu rộng vào hệ điều hành Windows và trở thành công cụ chính để chia sẻ dữ liệu, in ấn trong môi trường mạng doanh nghiệp. Với sự phát triển của internet và các mạng LAN phức tạp hơn, SMB cũng đã trải qua nhiều phiên bản và các bản cập nhật để đáp ứng với các yêu cầu về hiệu suất, an toàn và tính năng mở rộng.

Một trong những bước phát triển quan trọng của SMB là khi nó được kết hợp với giao thức CIFS (Common Internet File System). Điều này đã tạo nên một tiêu chuẩn chung cho việc chia sẻ tệp tin trên nhiều hệ điều hành và nền tảng khác nhau.

Tiếp theo, với sự bùng nổ của Cloud Computing và điều kiện yêu cầu tích hợp linh hoạt giữa các hệ thống truy cập từ xa, SMB đã được mở rộng nhằm hỗ trợ các kịch bản làm việc phức tạp hơn.

Nguyên tắc hoạt động của giao thức SMB

Giao thức SMB (Server Message Block) hoạt động theo các bước cơ bản sau:

Thiết lập kết nối

Khi một người dùng muốn truy cập vào một tệp tin hoặc tài nguyên trên một máy chủ thông qua mạng, máy khách sẽ thiết lập một kết nối mạng với máy chủ sử dụng giao thức SMB.

Xác thực và quản lý phiên làm việc

Sau khi kết nối được thiết lập, quá trình xác thực sẽ diễn ra để xác định quyền truy cập của người dùng đối với tài nguyên trên máy chủ. Nếu xác thực thành công, một phiên làm việc (session) sẽ được thiết lập để duy trì kết nối giữa máy khách và máy chủ trong suốt thời gian truy cập.

Gửi yêu cầu và truy cập tài nguyên

Người dùng có thể gửi các yêu cầu đọc, ghi, thực thi tệp tin hoặc thực hiện các thao tác khác trên tài nguyên mà họ muốn truy cập thông qua kết nối SMB.

Xử lý và đáp ứng yêu cầu

Máy chủ nhận các yêu cầu từ máy khách, xác định quyền truy cập, thực hiện các thao tác tương ứng trên tài nguyên và sau đó gửi kết quả trở lại cho máy khách.

Đóng kết nối khi hoàn tất

Khi người dùng hoàn tất việc truy cập tài nguyên thì kết nối SMB có thể được đóng. Quá trình này giúp người dùng và các thiết bị trong mạng có thể truy cập, chia sẻ và quản lý tệp tin và các tài nguyên khác một cách hiệu quả thông qua giao thức SMB.

Những chức năng chính của giao thức SMB

Giao thức Server Message Block cung cấp hàng loạt các chức năng quan trọng trong môi trường mạng. Dưới đây giới thiệu một số tiện ích cơ bản của SMB:

• Chia sẻ tệp tin và tài nguyên: SMB cho phép người dùng chia sẻ và truy cập vào tệp tin, thư mục, máy chủ in ấn, và các tài nguyên khác trên mạng.
• Quản lý tệp và thư mục: Người dùng có thể thực hiện các thao tác đọc, ghi, xóa, di chuyển, đổi tên và quản lý tệp tin và thư mục trên máy chủ qua giao thức SMB.
• Kiểm soát quyền truy cập: SMB hỗ trợ việc xác thực người dùng và kiểm soát quyền truy cập vào các tài nguyên mạng, cho phép quản trị viên định cấu hình các chính sách an toàn và quản lý truy cập một cách linh hoạt.
• Truy cập từ xa: SMB cho phép người dùng truy cập vào các tệp tin và tài nguyên trên mạng từ xa thông qua kết nối mạng internet.
• In ấn trên mạng: Giao thức SMB cũng hỗ trợ việc chia sẻ các máy in trên mạng, cho phép người dùng in ấn tài liệu từ xa.
• Tích hợp với các ứng dụng và dịch vụ khác: SMB có thể tích hợp với các ứng dụng và dịch vụ mạng khác để tạo ra các giải pháp phức tạp hơn như lưu trữ trên đám mây, sao lưu dữ liệu và quản lý tập trung.

Phương pháp tắt SMB ngăn chặn lỗi

SMB dễ bị tấn công bởi các virus và malware vì nó được sử dụng rộng rãi trong việc chia sẻ tệp tin và tài nguyên trên mạng nội bộ. Đặc biệt, việc sử dụng các port mạng như port 139 và port 445 để thực hiện hoạt động kết nối và truyền thông tin qua giao thức SMB chắc chắn sẽ tạo ra điểm yếu.

Trên thực tế, các lỗ hổng bảo mật liên quan đến SMB như ETERNALBLUE đã được sử dụng trong quá khứ bởi các phần mềm độc hại để tấn công và lây lan trên mạng nội bộ. Điều này đã gây ra những vụ tấn công lớn như WannaCry. 

Do đó, việc tắt SMBv1 hoặc cập nhật hệ điều hành, chặn các port mạng không cần thiết chính là những biện pháp quan trọng để ngăn chặn các mối đe dọa từ các virus và malware. Người dùng có thể tắt SMBv1 bằng cửa sổ Command Prompt và chặn các port 135 và 445. Hãy dùng đến dòng lệnh: 

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name=”Block_TCP-135″ netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=”Block_TCP-445″.

Giải pháp phòng chống khi sử dụng giao thức SMB

Cập nhật hệ thống định kỳ

Hãy đảm bảo rằng tất cả các hệ thống của bạn đều được cập nhật với các bản vá bảo mật mới nhất từ Microsoft. Hoạt động này có tác dụng giảm thiểu nguy cơ bị tấn công thông qua các lỗ hổng bảo mật đã biết trong giao thức SMB.

Ngoài cập nhật hệ điều hành Windows, nhiều ứng dụng cũng có các bản vá và cập nhật bảo mật. Hãy đảm bảo rằng bạn cài đặt các cập nhật cho các ứng dụng khác như trình duyệt web, phần mềm an ninh và các ứng dụng mà bạn sử dụng thường xuyên.

Lưu ý cách tắt SMBv1

Việc tắt SMBv1 (Server Message Block version 1) có ý nghĩa quan trọng trong việc tăng cường bảo mật hệ thống doanh nghiệp và cá nhân. Người dùng nên tham khảo một số lý do cơ bản như sau: 

• Giảm nguy cơ bị tấn công

SMBv1 đã gặp phải nhiều lỗ hổng bảo mật và đã được sử dụng trong nhiều cuộc tấn công mạng. Việc tắt SMBv1 giúp giảm thiểu nguy cơ bị tấn công thông qua các lỗ hổng bảo mật liên quan và ngăn chặn nhiều mối đe dọa tiềm ẩn.

• Bảo vệ dữ liệu quan trọng

Khi tắt SMBv1, bạn đang ngăn chặn các mối đe dọa hệ thống tấn công và lây lan thông qua giao thức này. Điều này giúp bảo vệ dữ liệu quan trọng và tăng cường bảo mật thông tin.

• Tuân thủ chuẩn bảo mật

Ngưng kết nối SMBv1 là một biện pháp tuân thủ các chuẩn bảo mật hiện đại hơn. SMBv1 đã bị coi là không an toàn và việc loại bỏ nó khỏi môi trường mạng giúp tạo ra một cơ sở hạ tầng mạng an toàn hơn.

Chặn các Port không quan trọng

Quá trình chặn các port mạng không cần thiết là một phương pháp hữu ích để tăng cường bảo mật mạng nội bộ và giảm thiểu vùng mục tiêu cho các tấn công thông qua SMB. Một số cổng mạng mà bạn có thể xem xét chặn để giảm thiểu nguy cơ tấn công qua SMB bao gồm:

• Cổng 139

Đây là cổng mặc định được sử dụng cho SMB trên các phiên bản Windows cũ. Nếu không cần thiết, bạn có thể xem xét chặn cổng này để ngăn chặn các tấn công thông qua SMBv1.

• Cổng 445

Cổng này được sử dụng cho SMB trên các phiên bản Windows hiện đại. Nếu không cần thiết, bạn cũng có thể xem xét chặn cổng này để giảm thiểu vùng mục tiêu cho các tấn công thông qua SMB.

• Các cổng khác liên quan đến SMB

Ngoài cổng 139 và 445, có thể có các cổng khác cũng liên quan đến SMB hoặc các dịch vụ mạng khác trong môi trường của bạn. Hãy kiểm tra và xác định các cổng không cần thiết để chặn chúng nếu cần.

Sử dụng kết nối được mã hóa

Để tăng cường khả năng bảo mật nguồn mạng thì bạn có thể kích hoạt kết nối được mã hóa khi sử dụng SMB (Server Message Block). Khi kết nối được mã hóa, dữ liệu được mã hóa trước khi truyền đi qua mạng, làm cho việc đánh cắp thông tin trở nên khó khăn đối với kẻ tấn công. 

Điều này giúp bảo vệ dữ liệu quan trọng và thông tin cá nhân khỏi các mối đe dọa mạng. Đặc biệt là trong các môi trường cần tuân thủ các chuẩn bảo mật như HIPAA, GDPR, PCI DSS thì việc kích hoạt kết nối được mã hóa là điều cần thiết.

Khi triển khai kết nối mã hóa cho SMB, bạn cần đảm bảo rằng cả hai điểm cuối của kết nối (máy chủ và máy khách) đều hỗ trợ và đã cấu hình đúng để sử dụng kết nối được mã hóa. Người dùng nên thiết lập chính sách và cấu hình đúng trên máy chủ và máy khách để đảm bảo rằng kết nối được thiết lập với mức độ bảo mật cao nhất có thể.

Tạm kết

Như vậy là FPT Shop đã giúp bạn đọc hiểu về SMB là gì? Quá trình kích hoạt kết nối được mã hóa cho SMB là một biện pháp quan trọng nhằm tăng cường bảo mật và bảo vệ dữ liệu trong môi trường mạng.

Xem thêm: 

• Google Colab là gì? Khám phá những tiện ích tuyệt vời và cách sử dụng Google Colab
• Kubernetes là gì? Giải pháp tự động hóa, mở rộng và phục hồi ứng dụng toàn diện

Đặc biệt hơn, tại FPT Shop cung cấp nhiều loại máy tính và điện thoại có chất lượng cao. Mẫu mã đa dạng, giá thành cạnh tranh, ưu đãi khuyến mãi là những loại ích mà bạn sẽ nhận được khi mua hàng tại đây.

• Laptop