Netzwerkfreigaben automount im fremden Netzwerk Sicherheit

[scooter010]

Hallo!

Ich wollte mal fragen wie es eigentlich um die Sicherheit der NFS/CIFS Credentials bestellt ist, wenn man in einem fremden Netzwerk ist.
Folgende Situation: Ich habe an einem Laptop Netzwerkfreigaben, die beim LogIn automatisch gemounted werden. Wenn ich nun in einem Gast-WLAN bin, versucht der Laptop trotzdem die Verbindung herzustellen und sendet dazu die Credentials über das Netzwerk?

 

[NJay]

naja er wird ja nicht einfach wild das passwort im klartext durch netzwerk schicken und hoffen, dass irgendeienr antwortet 😂

Da brauchst du dir denke ich mal keine Sorgen machen.

 

[scooter010]

Da brauchst du dir denke ich mal keine Sorgen machen.

Ich mache mir aber sorgen. Mir ist zumindest von keiner Authentifizierung des Servers gegenüber dem Client gegenüber irgendwas bekannt. Wenn du da eine Quelle hättest?

 

[EDV-Leiter]

Ich schätze einmal, daß Windows, wenn es den Names des Servers für das eingerichtete Netzlaufwerk nicht auflösen kann, auch nicht versucht, sich irgendwie zu authentifizieren (wem gegenüber sollte das auch passieren).
Existiert dagegen der Name des Servers im fremden Netz und stellt auch Freigaben zur Verfügung (Port offen), wird vermutlich Windows auch versuchen sich anzumelden um sich eben zum Share zu verbinden.

 

[scooter010]

ch schätze einmal, daß Windows

Geht mir weniger um Windows, sondern um das Protokoll generell. Linux verwendet das auch. Und wenn man keine Servernamen verwendet, sondern IP-Adressen?

 

[Raijin]

Nun, wenn eine SMB-Freigabe gespeichert ist und auf Autoconnect konfiguriert wird, vermute ich stark, dass das Betriebssystem auch versuchen wird, auf der gespeicherten IP bzw. dem Namen - sofern vorhanden - einen SMB-Server zu kontaktieren. Ist darüber hinaus auch eine Freigabe mit demselben Namen vorhanden, mutmaße ich mal, dass auch ein Login-Versuch stattfinden wird.

Wie es nun mal bei gespeicherten Logins ist, stellen sie grundsätzlich ein Sicherheitsrisiko dar. Traut man SMB dahingehend nicht, sollte man die Verbindung schlicht und ergreifend nicht speichern.

 

[Yuuri]

Geht mir weniger um Windows, sondern um das Protokoll generell.

Ok, wenn es dir ums Protokoll geht, funktioniert gleich gar nichts. Denn das Protokoll beschreibt, wie Nachrichten, Pakete u.ä. auszusehen haben. Das Protokoll meldet sich nirgends an. Das Protokoll beschreibt, wie man sich anmeldet.

Wenn du also wissen willst, wie sich die Anmeldung verhält, musst du nicht das Protokoll, sondern die Implementierungen in Windows/Linux/... betrachten.

Ein Login kann nur stattfinden, wenn der Server sich vorher meldet, dass er die Anmeldedaten erwartet. Wenn sich zu keinem Server verbunden werden kann, kann auch kein Login gesendet werden. Das hat aber hierbei weder was mit SMB (dem Protokoll), noch der SMB/Samba/CIFS/...-Implementierungen zu tun, sondern scheitert bereits am Connect auf TCP-Ebene, da es einen Timeout/Reject/... gibt, weil kein Server antwortet. Wenn ein Server, aber die angefragte Freigabe nicht finden kann, kann auch kein Login gesendet werden, da der Server vorher Fehler meldet. Existiert auch die Freigabe, wird sich natürlich versucht anzumelden. Das ist aber alles irrelevant, denn SMB 3 kann Verschlüsselung (auch explizit) forcieren oder erfordern, heißt da wird nichts Plain-Text übertragen. Insofern kein MITM vorliegt, kann da gar nichts abgezweigt werden. SMB < 3 sendet natürlich nur Plain Text.

Wenn es dich so wahnsinnig interessiert, lass Wireshark mitlaufen und analysiere die Pakete selbst. Das wird dir hier allerdings keiner im Detail abnehmen, weil es nicht mal eben in 10 Sekunden erledigt ist.