SMB Zugriff über alternativen Port (von Windows aus)

bjoern07

Aktives Mitglied
Thread Starter
Dabei seit
05.02.2007
Beiträge
5.372
Reaktionspunkte
606
Hi!

Ich habe zu Testzwecken einen Server mit SMB-Zugang im Netz freigegeben.
(Um die Sicherheitsproblematik weiss ich, es geht um einen Test.)

Der SMB-Server ist erreichbar unter einer DynDNS-Adresse:4445. Auf der Fritzbox wird das auf Port 445 weitergeleitet.

Am Mac mit cmd-k Verbindung zu "Dnydns:4445" läuft.

Wie kann ich unter Windows den anderen Port angeben? Gar nicht? Im Explorer "\\DynDNS:4445\" gibt einen Fehler.

Oder kann man mit dem Windows Explorer unter einem anderen Protokoll zugreifen und Verzeichnisse mit Vorschaubildern etc. anzeigen, lesen und schreiben?


Der Standard-Port scheint vom Netzbetreiber gesperrt zu sein.
 
Was spricht gegen Zugriff über VPN?
 
Es ist ein einzelner Server, für einen kurzen Zeitraum sollen Leute Sachen draufschieben und runterziehen können, möglichst einfach.
Ist nur ne Spaß-Sache.

Da soll keiner Software installieren müssen oder große Konfigurationen vornehmen. Click - Verzeichnis da - was reinschieben und weg.
Und am nächsten Tag: Click - gucken, was drin ist - runterziehen oder nicht.
Fertig.
 
Schon die Synology File-Station über Quickconnect ist doof, wegen fehlender Vorschau-Bilder.

Gibt es ein (S) FTP-Programm, was die Thumbs.db verarbeitet?
 
Yep. Gar nicht.

Win erlaubt nur Port 139 und 445.



Gutes Verhalten vom Provider!
Standardmäßig ist das ja auch ok. Aber ich will das abschalten können.
Mir reicht schon die Bevormundung (Blacklisting) von Vodafone, so dass ich einen alternativen DNS einstellen musste, um eine Kundenwebsite besuchen zu können.
 
Grundsätzlich würde ich da niemals auf einen öffentlichen SMB Share setzen, schon gar nicht ohne Passwort.
Nutze SFTP - dann brauchen die Teilnehmer allerdings u.U. einen ftp Client.
Oder schick einen Google Drive, Dropbox oder OneDrive Link rum, im dem jeder schreiben darf, der den Link hat.
 
  • Gefällt mir
Reaktionen: dg2rbf
Du hast doch geschrieben, dass du dich mit den Sicherheitsrisiken auskennen würdest. Warum dann nun die Aufregung?

Setze einen Webserver auf mit WebDAV. Ist sinnvoller und besser geeignet übers Internet als SMB
 
  • Gefällt mir
Reaktionen: bjoern07, ruerueka, Jayway und 2 andere
Ich würde zu einer VPN Lösungen raten. Es ist aus IT Sicherheitsgründen eine ganz ganz schlechte Idee Port 445 direkt über das Internet erreichbar zu machen. Warum eigentlich genau externen Zugriff über SMB ?
 
  • Gefällt mir
Reaktionen: dg2rbf
Ich würde zu einer VPN Lösungen raten. Es ist aus IT Sicherheitsgründen eine ganz ganz schlechte Idee Port 445 direkt über das Internet erreichbar zu machen. Warum eigentlich genau externen Zugriff über SMB ?
Ich kenne auch nur Versuche das ein offener Port 445 in unter einer Sekunde von aussen gehackt wird ...
 
Ich würde zu einer VPN Lösungen raten. Es ist aus IT Sicherheitsgründen eine ganz ganz schlechte Idee Port 445 direkt über das Internet erreichbar zu machen. Warum eigentlich genau externen Zugriff über SMB ?
Und dann 60 Leuten erklären wie sie ein VPN Profil auf ihren Kisten einrichten?
Und wenn das konstrukt nicht mehr gebraucht wird noch 20 Leuten erklären wie sie die VPN sachen wieder runterbekommen.
Und bei dreien darf man helfen den Computer neu aufzusetzen.

Kann man machen, aber dann kann man halt längere zeit nicht mehr schlafen...
-> Anforderung: Einfach!

VPN ist etwas für eine "Geschlossene Benutzergruppe", das ist hier scheinbar nicht der fall.
VPN ist nicht unbedingt einfach.
VPN ist deshalb kein zielführender Vorschlag.

Und es muss auch was Lohnenwertes da sein.
Ein temporärer fileserver der einen Fluchtwegplan für eine Lan-Party bereithält ist nicht zwingend ein Lohnenswertes ziel...
Mozilla hat z.b. auch Öffentliche FTP Server. Das ist jetzt auch kein enorm gesteigertes Risiko, aber wenn man mal nen alten firefox braucht sehr praktisch.

Übrigens ist ja nicht Port 445 sondern port 4445 von aussen erreichbar...
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: dg2rbf
Und dann 60 Leuten erklären wie sie ein VPN Profil auf ihren Kisten einrichten?
Und wenn das konstrukt nicht mehr gebraucht wird noch 20 Leuten erklären wie sie die VPN sachen wieder runterbekommen.
Und bei dreien darf man helfen den Computer neu aufzusetzen.

Kann man machen, aber dann kann man halt längere zeit nicht mehr schlafen...
-> Anforderung: Einfach!

VPN ist etwas für eine "Geschlossene Benutzergruppe", das ist hier scheinbar nicht der fall.
VPN ist nicht unbedingt einfach.
VPN ist deshalb kein zielführender Vorschlag.

Und es muss auch was Lohnenwertes da sein.
Ein temporärer fileserver der einen Fluchtwegplan für eine Lan-Party bereithält ist nicht zwingend ein Lohnenswertes ziel...
Mozilla hat z.b. auch Öffentliche FTP Server. Das ist jetzt auch kein enorm gesteigertes Risiko, aber wenn man mal nen alten firefox braucht sehr praktisch.

Übrigens ist ja nicht Port 445 sondern port 4445 von aussen erreichbar...
Dann ist doch alles super. Freut mich, dass ich helfen konnte.
 
Fluchtwegplan auf einem Server, bei einer LAN-Party…
Wenn es brennt, schaut jeder nochmal in Ruhe nach? Wäre da nicht eine temporäre Türbeschilderung aus jeglicher Sicherheitssicht (IT, Brandschutz) besser?
Ansonsten würde ich für solche vorrübergehenden Anforderungen immer etwas Cloudspace nutzen und per Link zugänglich machen, wie weiter oben schon vorgeschlagen. Eine lokale Cloud lässt sich auch recht einfach aufsetzen. Und mit einem Browser kann ja jeder umgehen.
Just my 2 cent. 😉
 
  • Gefällt mir
Reaktionen: Wildbill
Zwei Lösungen, die mir auf die Schnelle einfallen:

1) ssh-Tunnel
Hier kann lokal ein anderer Port verwendet werden als über das Netz, so dass lokal der geliebte Port 445 zur Anwendung kommt.
Auf dem Mac ist keine Installation erforderlich. Im Terminal muss zum Aufbau des Tunnels ein langer String eingegeben werden, der aber für Copy&Paste angeboten werden kann.
Mit Windows kenne ich mich da nicht aus.

Die Sicherheit ist so hoch wie die des verwendeten Passwortes. Bitte root/Admin mit Standardpasswort und ähnliche Späßchen nicht vergessen.

Vorteil dieser Lösung: Einfacher zu Verbinden als VPN und SMB ist mit voller Funktionalität verfügbar.

2) sftp (Filezilla) für den Upload, http im Browser für den Download.
Filezilla ist leicht bedienbar und eine Anleitung (Bildschirmfoto) für genau diesen Zugang hilft.
Für den Download wird einfach das Verzeichnis freigegeben, z. B. über Apache. Für den Download ist keine Zusatzsoftware erforderlich.

Nachteil: Für den Upload muss Software installiert werden und es gibt nicht die ganze SMB-Funktionalität.

Es ist ein einzelner Server, für einen kurzen Zeitraum sollen Leute Sachen draufschieben und runterziehen können, möglichst einfach.
Ist nur ne Spaß-Sache.
Das Risiko sehe ich hier, dass nach einem erfolgreichen Angriff über eine Schwachstelle der Angreifer im LAN ist und weitere Geräte, die im LAN wenig geschützt sind, dort angreifen kann.
 
  • Gefällt mir
Reaktionen: dg2rbf
Glaubst du, das würde irgendetwas an Sicherheit verbessern?
Nein das glaube ich nicht!
Obwohl: Ganz ehrlich gesagt glaube ich das schon. Aber messbar ist das nicht.
Es ist eine (eher schwache) Nebelkerze im Security by Obscurity Konzept.

Das ist aber für den Kern meiner Aussage eher belanglos.

bjoern07 hat einfach recht klare Anforderungen gebracht, die gegen ein VPN Sprechen:
Plattformübergreifender, (Halb-)Öffentlicher und einfacher Datenaustausch ohne Hilfsmittel aber bei berücksichtigung von Vorschaubildchen.

Leider habe ich auch keine gute idee.
Webdav halte ich für möglicherweise brauchbar.
 
Schon die Synology File-Station über Quickconnect ist doof, wegen fehlender Vorschau-Bilder.

Gibt es ein (S) FTP-Programm, was die Thumbs.db verarbeitet?
Wenn es um Bilder geht, wäre da nicht die Synology "Foto Station" die bessere Anwendung?
 
Zurück
Oben Unten