ComputerBase Menü
Aktuelles

SMB1 für Scanner netzintern sicher nutzbar? Risiken?

T

TitoP

Lt. Junior Grade
Registriert
Okt. 2016
Beiträge
282
Hallo zusammen,

ich bräuchte mal eine kurze Aufklärung/Einschätzung zum Thema „Unsicherheit von SMB1“. Mir ist bekannt, dass das Protokoll veraltet ist und nicht mehr genutzt werden sollte. Dennoch gibt’s natürlich Fälle, in denen man es aufgrund mangels moderner Alternativen gerne noch nutzen möchte.

Konkret geht es mir darum, ob wirklich ein Risiko besteht (oder wie hoch dieses ist), wenn ich SMB1 im Heimnetzwerk ohne Nutzung „von extern“ nutze. Hintergrund ist, dass ich einen Canon MB5150 Drucker/Scanner besitze, mit dem ich gern direkt auf einen Netzwerkordner scannen möchte (Home Assistant auf Pi4 mit paperless ngx Addon).

Mein Setting ist folgendes:

Fritzbox 6591 als Router

Geräte im Netzwerk:
Pi2 als Pihole, Pi4 mit Home Assistant, Synology DS213 als Netzwerkspeicher, Smart TV, diverse Konsolen, Philips Hue, PV Anlage, Balkonkraftwerk… Halt so „das übliche“ an internetfähigen Komponenten.

Für den Zugriff auf mein Heimnetzwerk habe ich lediglich einen VPN Tunnel über Wireguard in der Fritzbox als auch auf meinem privaten Handy eingerichtet. Ich habe keinerlei anderen „Fremdzugriff“ auf mein Netzwerk eingerichtet. Ich habe also zB für die Synology keine Ports geöffnet. Mit meinem laienhaften Netzwerkverständnis könnte es höchstens sein, dass ggf. die PS5 irgendwelche Ports für Multiplayer geöffnet hat? Da könnte Upnp ein Stichwort sein.

Ich habe bereits hier Informationen gefunden, wie ich den MB5150 wunschgemäß einbinden könnte:
https://www.computerbase.de/forum/t...sprechbar-fritz-nas-und-canon-mb5150.1969445/

Ich würde halt gerne, ohne dass der PC läuft, Scans erstellen, welche direkt im „Consume“ Ordner von Paperless auf dem Pi4 mit Home Assistant landen. Kann ich das umsetzen? Oder kennt jemand ne Lösung ohne SMB1
 
hast du den scanner mal via USB an den Raspi gehängt?
 
Der Thread ist 5 Jahre alt. Der MB5150 ist scheinbar noch immer im Handel erhältlich. Sicher dass der auch heute nur SMBv1 kann?
EDT: Okay, scheint so zu sein. Hier hat sich jemand Mühe gegeben:
To use these devices to scan directly to DMS like paperless-ngx: Here is what you are looking for.
Zum Vergrößern anklicken....
https://github.com/mhelff/maxify-smbv1

Ansonsten ggf. auf scan2mail ausweichen?

Um die Frage zu beantworten: Wenn du SMBv1 aktivierst geht natürlich nicht bei allen Hackern ein Alarm los, dass man dich jetzt angreifen kann. Aber wenn mal irgendwas in dem Netz wild geht, dann ist der SMBv1 natürlich ein willkommenes Angriffsziel.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: GTrash81 und nutrix
madmax2010 schrieb:
hast du den scanner mal via USB an den Raspi gehängt?
Zum Vergrößern anklicken....
Ne, tatsächlich nicht. Bietet sich aber auch von der Örtlichkeit her nicht wirklich an.

h00bi schrieb:
Der Thread ist 5 Jahre alt. Der MB5150 ist scheinbar noch immer im Handel erhältlich. Sicher dass der auch heute nur SMBv1 kann?
Zum Vergrößern anklicken....
Jau, so siehts lt. meiner Recherche wohl aus.
 
Die Hauptgefahr ist, dass wenn du dir am PC, oder auch am ueber Wireguard verbundenen Handy, eine Malware einfaengst, kann diese zumindest die Geraete uebernehmen auf denen noch SMBv1 aktiv ist.
Wenn ich es richtig verstehe, willst du als SMBv1 Server einen Raspberry, und nicht dein NAS nehmen?
Das ist schonmal gut. Sichere die Daten auf dem Pi regelmaessig, dann duerfte das Risiko eher gering sein.

Vorrausgesetzt der Rest deiner Hardware ist vernuenftig gesichert.

h00bi schrieb:
Sicher dass der auch heute nur SMBv1 kann?
Zum Vergrößern anklicken....
Laut https://www.druckerchannel.de/artikel.php?ID=5043&t=canon_maxify hat zumindest ein Update aus 2024 keine hoehere SMB Version mitgebracht.
 
  • Gefällt mir
Reaktionen: TitoP
Die Nutzung im eigenen LAN sollte eig. kein allzu großes Problem darstellen.

Nutze für die SMB1-Zugänge halt keine Passwörter, die du irgendwo sonst benutzt, weil die im Klartext übermittelt werden. Außerdem sollte auf der Freigabe auch nichts allzu privates liegen und den Benutzer den du für die Freigabe anlegst, sollte sonst nirgends irgendwelche Rechte haben.
 
  • Gefällt mir
Reaktionen: konkretor und Ranayna
@h00bi
Laut Spezifikation kann das Gerät wirklich nur SMBv1. Quelle
Urks.

Bei mir schaut es aber auch nicht besser aus, da mein Scanner mit FTP arbeitet.
Urks.


Im eigenen LAN oder hinter einem VPN kann man das schon noch nutzen.
 
  • Gefällt mir
Reaktionen: TitoP
Kann der Scanner ggf. (S)FTP? So habe ich das mit meinem gelöst. Der Scannt mittels FTP oder SFPT direkt auf mein NAS.
 
TitoP schrieb:
Kann ich das umsetzen?
Zum Vergrößern anklicken....
Musst halt nur gut auf dem PI beschränken, dass nur der Scanner darf und dann ist das kein Prob. Falls du auf dem einen PI halt noch mehr SMB brauchst, einfach mit dem anderen einen Proxy bauen und dann weiterpumpen.
 
Ok, danke für die Antworten! :)

@h00bi Den Link aus deinem editierten Post muss ich mir nochmal anschauen. Geht das nur für Docker? Mein Home Assistant läuft mit HAOS direkt als Betriebssystem auf dem Pi4. Geht das damit auch?

Ich würde SMB1 nur auf dem Pi4 mit Home Assistant aktivieren. Scheint dann ja noch ok zu sein...

@VDC Um deinen Hinweis mit dem Proxy umzusetzen recht mein Verständnis leider nicht... :rolleyes: Aber ich gleube, dass das auch nicht sein muss.Das Thema ist mir jetzt nur bei dem Drucker bzw. Scanner übern Wege gelaufen.
 
Zuletzt bearbeitet:
TitoP schrieb:
Geht das nur für Docker? Mein Home Assistant läuft mit HAOS direkt als Betriebssystem auf dem Pi4. Geht das damit auch?
Zum Vergrößern anklicken....
Gegenfrage: Wie hast du paperless da mit rein geflanscht?
 
TitoP schrieb:
Um deinen Hinweis mit dem Proxy umzusetzen recht mein Verständnis leider nicht.
Zum Vergrößern anklicken....
Auf dem Pihole-Pi SMB inkl. v1 aktivieren, Zugriff auf den Scanner z.B. per IPTables beschränken. Wenn nun Daten vom Scanner auf dem PI landen, z.b. per crontab und SFTP auf den PI mit Homeassistant packen lassen.

Einfacher ist es natürlich SMBv1 auf dem PI4 zu aktivieren, sollte auch klappen, nicht einschränken, kann nur irgendwann halt aus dem Samba rausfliegen oder eine älterere Version benötigt.

Risiken sind im Haus- und Heimnetzwerk idR kaum welche, ist ja nicht wie in Firmen wo sich leider doch mal irgendwer einfach mit seinem Techniker-Notebook ansteckt.
 
  • Gefällt mir
Reaktionen: nutrix und TitoP
Das ist leider nicht neu, dass einige Hersteller SMBv1 voraussetzen für den Ordnerzugriff im Netzwerk.
Ich kenne das zB von Ricoh. Und da meine ich nicht die Consumergeräte ...

An deiner Stelle würd ich sogar eine Neuanschaffung eines Druckers mit entsprechenden Spezifikationen in Erwägung ziehen.
Aber natürlich kann man das Risiko auch eingrenzen auf den Pi4. Nicht optimal, aber im Home Bereich ist das Risiko auch (noch) nicht so hoch.
 
  • Gefällt mir
Reaktionen: TitoP
proserpinus schrieb:
An deiner Stelle würd ich sogar eine Neuanschaffung eines Druckers mit entsprechenden Spezifikationen in Erwägung ziehen.
Zum Vergrößern anklicken....
Der Drucker ist halbwegs neu und ich konnte ihn von nem Bekannten "erben". Bislang hatte ich nen Canon Pixma IP3000 von 2004 der jetzt leider seinen Dienst versagt hat... Da kam der MB5150 wie gerufen. Dass der so einen schönen Scanner integriert hat habe ich erst später gelernt.

Um aktuell was ähnliches zu bekommen müsste ich sicher so um die 300 Euro aufn Tisch legen, das steht in keiner Relation zum Nutzen.

Aber insgesamt scheint das Risiko ja überschaubar... Es hätte ja auch sein können, dass mir jetzt jemand sagt "Ein Gerät mit SMB1 gefährdet definitiv das ganze Netzwerk". Und das scheint ja nicht der Fall zu sein.
 
Die Freigaben via SMB1 erfolgen doch von den Geräten aus. Auf Rechnern braucht es doch dazu keine SMB1 Freigabe. Es ist doch nur der Scanner selbst und der Raspi. Da der Raspi immer läuft, stellt das dann die Gefahr dar. Auch wenn der Scanner ausgeschaltet ist.
 
SMBv1 lässt sich ja wie der Scanner auch am Raspi ausschalten wenn man es nicht braucht. Dann sollte das Risiko nahezu Null sein. (Windows macht das sogar automatisch.)
 
@Luftgucker OK, aber das hätte ich nicht geplant. Wenn ich das bei jedem Scanvorgang immer manuell machen muss, dann könnte ich alternativ auch den Windows PC hochfahren. Sowas will ich ja vermeiden.

Btw: Uber welches Protokoll mögen die Scans denn auf dem PC landen wenn der an ist? Weil wenn ich den PC anhabe, dann kann ich am Drucker problemlos "Scan to PC" wählen.
 
@TitoP
Du hast doch Home Assistant. Da kann man doch checken, ob der Scanner im Netz ist (= angeschaltet) und wenn das der Fall ist, dann startet es den Samba-Dienst. Und wenn der Scanner nicht im Netz auffindbar ist (= ausgeschaltet), dann schaltet es den Samba-Dienst wieder aus.
Sollte doch gehen, oder?
 
  • Gefällt mir
Reaktionen: VDC
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz