Penanggulangan Pembobolan Password Samba

Samba adalah program yang dapat menjembatani kompleksitas berbagai platform system operasi Linux(UNIX) dengan mesin Windows yang dijalankan dalam suatu jaringan komputer. Samba merupakan aplikasi dari UNIX dan Linux, yang dikenal dengan SMB(Service Message Block) protocol.

Beberapa Tips Untuk Melindungi server Samba

Instruksi berikut ini akan membantu mengamankan server Samba anda, ada beberapa perlindungan terhadap kerentanan keamanan jika anda tidak dapat (atau sampai Anda dapat) meng-upgrade ke versi yang terbaru. Bahkan jika anda melakukan upgrade, Anda mungkin ingin memerlukan beberapa saran di sini untuk memberi tingkat perlindungan tambahan.

1. Membatasi jumlah koneksi
Samba mampu membatasi jumlah koneksi saat smbd diluncurkan sebagai daemon (bukan dari inetd). Opsi smb.conf 'smbd proses' memungkinkan Administrator menentukan jumlah maksimum proses smbd yang berjalan pada titik waktu tertentu. Upaya yang lebih lanjut dari klien untuk terhubung ke server akan ditolak secara automatis.

2. Menggunakan proteksi berbasis host
Di banyak instalasi Samba, ancaman terbesar datang di luar jaringan langsung Anda. Secara default Samba akan menerima koneksi dari host manapun, yang berarti jika Anda menjalankan versi Samba yang tidak aman di host yang terhubung langsung dengan Internet.

Salah satu perbaikan paling sederhana dalam kasus ini adalah dengan menggunakan opsi 'hosts allow' dan 'hosts deny' pada file konfigurasi Samba smb.conf untuk hanya mengizinkan akses ke server Anda hanya dari host tertentu.
Contohnya :

Host mengizinkan = 127.0.0.1 192.168.2.0/24 192.168.3.0/24
Host menolak = 0.0.0.0/0
Hal di atas hanya akan memungkinkan koneksi SMB dari 'localhost' (komputer Anda sendiri) dan dari dua jaringan pribadi 192.168.2 dan 192.168.3. Semua koneksi lainnya akan ditolak koneksi begitu klien mengirimkan paket pertamanya. Penolakan akan ditandai sebagai kesalahan 'not listening on called name'.

3. Menggunakan proteksi interface
Secara default Samba akan menerima koneksi pada setiap inteface jaringan yang ditemukannya di sistem Anda. Itu berarti jika Anda memiliki saluran ISDN atau koneksi PPP ke Internet maka Samba akan menerima koneksi pada tautan tersebut. Tentu anda tidak ingin hal ini terjadi.

Anda dapat mengubah perilaku ini menggunakan opsi seperti berikut:

Interface = ​​eth * lo
Hanya mengikat antarmuka = ​​ya
Yang memberitahu Samba untuk hanya mendengarkan koneksi pada interface dengan nama yang dimulai dengan 'eth' seperti eth0, eth1, plus pada interface loopback yang disebut 'lo'. Nama yang perlu Anda gunakan bergantung pada OS apa yang Anda gunakan. Di atas saya menggunakan nama umum untuk adapter ethernet di Linux.

Jika Anda menggunakan contoh di atas dan seseorang mencoba membuat koneksi SMB ke host Anda melalui interface PPP yang disebut 'ppp0', mereka akan mendapatkan koneksi TCP balasan di tolak. Dalam hal ini tidak ada kode samba yang dijalankan sama sekali karena sistem operasi telah diberitahu untuk tidak melewatkan koneksi dari interface tersebut ke proses apapun.

4. Menggunakan firewall
Banyak orang menggunakan firewall untuk menolak akses ke layanan yang mereka tidak ingin terpapar di luar jaringan mereka. Ini bisa menjadi ide yang sangat bagus, walaupun saya akan merekomendasikan menggunakannya bersamaan dengan metode di atas sehingga Anda terlindungi bahkan jika firewall Anda tidak aktif karena alasan tertentu.

Jika Anda membuat firewall maka Anda perlu mengetahui port TCP dan UDP mana yang memungkinkan dan memblokirnya. Samba menggunakan berikut ini:

UDP / 137 - digunakan oleh nmbd
UDP / 138 - digunakan oleh nmbd
TCP / 139 - digunakan oleh smbd
TCP / 445 - digunakan oleh smbd
Yang penting, karena banyak pengaturan firewall lama mungkin tidak menyadarinya, mengingat bahwa port ini hanya ditambahkan ke protokol dalam beberapa tahun terakhir.

5. Menggunakan IPC $ share
Jika metode di atas tidak sesuai, maka Anda juga bisa menempatkan penolakan yang lebih spesifik terhadap IPC $ share yang digunakan di keamanan yang baru ditemukan. Ini memungkinkan Anda menawarkan akses ke saham lain sambil menolak akses ke IPC $ dari host yang berpotensi tidak dapat dipercaya.

Untuk melakukan itu Anda bisa menggunakan:

[Ipc $]
Host mengizinkan = 192.168.115.0/24 127.0.0.1
Host menolak = 0.0.0.0/0

Ini akan memberitahu Samba bahwa IPC $ connections tidak diperbolehkan dari manapun kecuali dua tempat yang terdaftar (localhost dan subnet lokal). Koneksi ke saham lain masih akan diizinkan. Karena IPC $ share adalah satu-satunya bagian yang selalu dapat diakses secara anonim, ini memberikan beberapa tingkat perlindungan terhadap penyerang yang tidak mengetahui nama pengguna / kata sandi untuk host Anda.

Jika Anda menggunakan metode ini, klien akan diberi jawaban 'akses ditolak' saat mereka mencoba mengakses IPC $ share. Itu berarti bahwa klien tersebut tidak dapat melihat-lihat saham, dan mungkin juga tidak dapat mengakses beberapa sumber lain.

Saya tidak merekomendasikan metode ini kecuali Anda tidak dapat menggunakan salah satu metode lain yang tercantum di atas untuk beberapa alasan.

6. Upgrade Samba
Tentu solusi terbaik adalah mengupgrade Samba ke versi terbaru dimana bug tersebut akan diperbaiki. Jika Anda ingin juga menggunakan salah satu langkah tambahan di atas maka itu pasti akan menjadi ide bagus.

Ok ,, Itulah beberapa tips untuk mengamankan file shrare samba anda terimakasih.

Sumber : http://www.techrepublic.com/article/six-easy-ways-to-secure-samba/

Nama : Heri Fidiawan
Nim : 311410117
Kelas : TI. 14. B2