Jump to content

SMB1-Freigabe


Recommended Posts

vor 10 Minuten schrieb teletubbieland:
 

Oder hat jemand eine bessere Idee ?

Ja, aber sie ist eher langfristig ausgelegt. Dem Hersteller der Anwendung, die SMB1 verwendet, so lange in den A**** treten, bis das endlich gefixt wird.

 

Ansonsten, wenn es "sicher" sein soll: SMB1-Zugriffe auf ein VLAN begrenzen, und alle Systeme, die diesen Zugriff wirklich brauchen, sollen ein Bein in diesem VLAN haben, und möglichst nur dort.

 

Jetzt wirst Du sagen: Das sind aber alle Clients ;-) Dann hast Du verloren. Eine VM, außerhalb der Domain, möglichst als SAMBA - je mehr Halbmaßnahmen man übereinander häuft, desto schwieriger wird es zu debuggen, wenn etwas schief läuft.

Link to post

Nicht ganz trivial. Ist ja immer so eine Sache, insbesondere wenn das Geräte sind, die gar nicht ohne weiteres ersetzt werden können.

Ideen habe ich schon, nur noch keine umgesetzt. Konnte bis jetzt jeweils auf ein anderes Protokoll ausweichen oder eine Insellösung machen. Insellösungen sind halt mühsam im Unterhalt. Die anderen Protokolle sind zwar nicht sicher, dafür aber ohne Windows-Credential-Klau =)

 

Mein theoretischer Favorit wäre eine Art Linux-Proxy. Linux kann ja aus quasi allem Mount-Points machen. Die Idee wäre jetzt eine Freigabe auf einem aktuellen Windows Server direkt in eine SMB1 Freigabe zu mounten welche auf einem eigenen Netzwerkadapter bereitgestellt wird und eine direkte, dedizierte oder VLAN-getrennte LAN-Verbindung zum zugreifenden Client hat. Sprich der Zugriff läuft zwar über den Linux Server, zugegriffen wird aber indirekt in das Verzeichnis das mit aktuellem Protokoll an Linux angebunden ist. Leider kenne ich mich selber zu wenig aus mit Linux um das sinnvoll durchzutesten. Den Vortiel sehe ich darn, dass die Daten im Hauptnetz liegen würden. Wäre aber natürlich nur für einzelne Clients sinnvoll wie z.Bsp. Maschinen-Steuerungen

 

 

Wenn die Daten bzw. deren Vertraulichkeit nicht unglaublich wichtig sind bzw. im Zugriff nicht mehr als nur über ein VLAN oder den zugreifenden Client beschränkt werden müssen, könntest auch eine VM nehmen die nicht in der Domäne ist. Allfällige Credentials die geklaut werden, nützen dann im eigentlichen Netz nichts.

Edited by Weingeist
Link to post
vor 46 Minuten schrieb teletubbieland:

ich habe die Problematik, dass ich zwingend eine SMB1 Freigabe im Netzwerk benötige.

 

Zur Warnung und Abschreckung der werten Forumschaft wärs nett, wenn du das mal mit Namen darstellst, welcher Hersteller oder welches Produkt denn sowas noch _zwingend_ erfordert. :)

Link to post

Letztes Jahr wurde hier das Konzept „SMBv1-Proxy“ diskutiert: https://www.mcseboard.de/topic/218434-windows-2004-smbv1-freigaben-nicht-direkt-ansprechbar/?tab=comments#comment-1404677

 

Ein Jahr später gab es bei Heise einen Artikel dazu: https://www.heise.de/ratgeber/Upcycling-Raspberry-Pi-als-Bruecke-zu-Altgeraeten-mit-SMBv1-Protokoll-nutzen-6148994.html. Ob hier Leute von Heise mitlesen? :-)

 

Der Inhalt des Artikels entspricht im Wesentlichen dem Konzept der Vorredner. Der Autor geht noch etwas weiter und geht von einem Gerät aus, welches nur SMBv1 anbietet. Den RasPi hängt er dazwischen und trennt so das alte Gerät vom Netzwerk.

Edited by mwiederkehr
Link to post
vor 57 Minuten schrieb NorbertFe:

Zur Warnung und Abschreckung der werten Forumschaft wärs nett, wenn du das mal mit Namen darstellst, welcher Hersteller oder welches Produkt denn sowas noch _zwingend_ erfordert. :)

Gerne, aber das bringt nur Admins was, die Industriekunden in der Blechverarbeitung haben etwas: Trumpf Laser zum Beispiel.

Das Problem ist, dass da teilweise noch NT4 Clients werkeln.

Und so ein Laser kostet halt schon ein bisschen mehr.

vor 34 Minuten schrieb mwiederkehr:

Letztes Jahr wurde hier das Konzept „SMBv1-Proxy“ diskutiert: https://www.mcseboard.de/topic/218434-windows-2004-smbv1-freigaben-nicht-direkt-ansprechbar/?tab=comments#comment-1404677

 

Ein Jahr später gab es bei Heise einen Artikel dazu: https://www.heise.de/ratgeber/Upcycling-Raspberry-Pi-als-Bruecke-zu-Altgeraeten-mit-SMBv1-Protokoll-nutzen-6148994.html. Ob hier Leute von Heise mitlesen? :-)

 

Der Inhalt des Artikels entspricht im Wesentlichen dem Konzept der Vorredner. Der Autor geht noch etwas weiter und geht von einem Gerät aus, welches nur SMBv1 anbietet. Den RasPi hängt er dazwischen und trennt so das alte Gerät vom Netzwerk. Ich habe Heise+ und kann den Artikel gerne per PN zustellen, falls gewünscht.

Guter Hinweis. Daran hatte ich gar nicht mehr gedacht. An den Artikel erinnere ich mich sogar noch :-)

 

Danke für Euren Input !

Link to post
vor 4 Minuten schrieb teletubbieland:

Trumpf Laser zum Beispiel.

Das Problem ist, dass da teilweise noch NT4 Clients werkeln.

Und so ein Laser kostet halt schon ein bisschen mehr.

Ja, aber es ist nicht gottgegeben. Und der Lösungsansatz kann nicht sein, dass der Endkunde die ganze Maschine tauschen muss, sondern der Hersteller ist in der Pflicht, seinen Shit sicherer zu machen. Wenn deren Laser den Strahlenschutzanforderungen nicht mehr entsprechen, bessern sie ja auch nach. Warum die IT-Sicherheitsanforderungen hier anders behandelt werden sollen, ist mir unklar. So eine Industrie-Maschine läuft 15 Jahre und wird auf maximal 11 Jahre abgeschrieben. Vor 11 Jahren war das SMB1-Thema schon ein alter Hut. Und wenn euch vor 15 Jahren jemand Windows NT verkauft hat, ist es nicht mehr nur grob fahrlässig.

 

Und ja, ich weiß, dass es in der Praxis überall so ist. Aber wie Mark Minasi in "the software conspiracy" schrieb, nur die Kunden können das ändern, denn die Hersteller haben kein Incentive dazu.

  • Like 1
Link to post
vor 33 Minuten schrieb teletubbieland:

Gerne, aber das bringt nur Admins was, die Industriekunden in der Blechverarbeitung haben etwas: Trumpf Laser zum Beispiel.

Das Problem ist, dass da teilweise noch NT4 Clients werkeln.

Und so ein Laser kostet halt schon ein bisschen mehr.

vor einer Stunde schrieb mwiederkehr:

Ja da gibts genug andere Beispiele. Hab noch eine Win95 ohne (a,b oder c) für ne CNC Fräse. :/ Da bist du mit NT schon weit vorn. ;) Aber am Ende muss man eben dem Hersteller irgendwann auf die Füße treten und sowas zumindest bei der NÄCHSTEN Anschaffung in Pflichtenheft schreiben. Macht nur keiner, weil daran leider abgesehen vom gestraften Admin (wenn überhaupt) denkt, wenn er für x k€ ne Maschine kauft.

Link to post
Am 10.11.2021 um 11:56 schrieb NorbertFe:

Ja da gibts genug andere Beispiele. Hab noch eine Win95 ohne (a,b oder c) für ne CNC Fräse. :/ Da bist du mit NT schon weit vorn. ;) Aber am Ende muss man eben dem Hersteller irgendwann auf die Füße treten und sowas zumindest bei der NÄCHSTEN Anschaffung in Pflichtenheft schreiben. Macht nur keiner, weil daran leider abgesehen vom gestraften Admin (wenn überhaupt) denkt, wenn er für x k€ ne Maschine kauft.

Das mit dem Pflichtenheft kannste knicken. Habe ich schon unzählige Male versucht. Haben wir nicht, machen wir nicht, vielleicht in Zukunft. Die ändern keine Baureihe nur weil eine handvoll Kunden sich tatsächlich erfrecht, ihre Steuerungs-Philosophie in Frage zu stellen. Ist denen komplett egal und wenn es 10 Maschinen sind. Und warum? Weil eben 99% der Hersteller genauso so ticken. :smile2:

Da immer mehr vernetzte Produktionsbetriebe durch Ransomware an die Wand gefahren werden, ist da glücklicherweise schon endlich etwas in der Mache. Sobald Grosskunden das verlangen tut sich dann mal was. Nur sind die Maschinen da deutlich weniger lang im Einsatz als in kleineren Betrieben. Wenigstens ist Hardwaremässig mit PCI-Express sehr viel Rückwärtskompatibel. Sprich Karten können in neue PC's übernommen werden. Da Software auf Windowsi mmer weniger direkt auf Hardware zugreifen kann, sind sie auch nicht mehr so abhängig von den richtigen CPU's und Grakas. Also ein Tausch je länger je schmerzfreier und MS wirbelt die Werbetrommel ziemlich mächtig für IoT. ;)

 

Der letzte von mir verwaltete W95 wurde vor 2 Monaten in Rente geschickt. War ein Roboter der noch aussah als käme er direkt aus der Fabrik. Irgendwie schon krank. Ein Mitarbeiter meinte wir hätten doch alle etwas an der Waffel als er den neuen und alten Roboter nebeneinander stehen hatten. Aber Teile gabs halt nur noch alte via Ebay. Einmal hatte ich schon das Mainboard von einem SMD-Zauberer wiederbeleben müssen.

--> Ging 2 Monate bevor der neue Robi/Zelle kam an den Popo ;-)

 

Dafür hab ich noch ein W98 am Start. Immerhin auf XP virtualisiert. Immer wieder geil wenn ich da mal was machen muss, 250MB OS und reagiert auf ner SATA Platte virtualisiert schneller als W10 auf einer Intel Optane mit >3.5 GHZ CPU. Und kann eigentlich auch alles inklusvie Word Excel, aber halt weniger Fancy. Einige male versucht die Software zu portieren. Nie gscheit hinbekommen wegen dem Parallel-Dongle. Neuere Software funktionierte nicht sinnvoll mit dem alten Spezialdrucker den es in dieser Art leider nicht mehr zu kaufen gibt aber tatsächlich noch neue Ersatzteile zu bekommen sind. Geht zwar quasi nie etwas kaputt, aber vor 5 Jahren musste doch etwas getauscht werden. Ist über 30 Jahre alt.

 

@teletubbieland Cool, danke für den Link. Werde ich mir demnächst zu Gemüte führen. :)

Link to post
Am 16.11.2021 um 15:30 schrieb Weingeist:

Das mit dem Pflichtenheft kannste knicken. Habe ich schon unzählige Male versucht. Haben wir nicht, machen wir nicht, vielleicht in Zukunft. Die ändern keine Baureihe nur weil eine handvoll Kunden sich tatsächlich erfrecht, ihre Steuerungs-Philosophie in Frage zu stellen. Ist denen komplett egal und wenn es 10 Maschinen sind. Und warum? Weil eben 99% der Hersteller genauso so ticken. :smile2:

Da immer mehr vernetzte Produktionsbetriebe durch Ransomware an die Wand gefahren werden, ist da glücklicherweise schon endlich etwas in der Mache. Sobald Grosskunden das verlangen tut sich dann mal was. Nur sind die Maschinen da deutlich weniger lang im Einsatz als in kleineren Betrieben. Wenigstens ist Hardwaremässig mit PCI-Express sehr viel Rückwärtskompatibel. Sprich Karten können in neue PC's übernommen werden. Da Software auf Windowsi mmer weniger direkt auf Hardware zugreifen kann, sind sie auch nicht mehr so abhängig von den richtigen CPU's und Grakas. Also ein Tausch je länger je schmerzfreier und MS wirbelt die Werbetrommel ziemlich mächtig für IoT. ;)

 

Der letzte von mir verwaltete W95 wurde vor 2 Monaten in Rente geschickt. War ein Roboter der noch aussah als käme er direkt aus der Fabrik. Irgendwie schon krank. Ein Mitarbeiter meinte wir hätten doch alle etwas an der Waffel als er den neuen und alten Roboter nebeneinander stehen hatten. Aber Teile gabs halt nur noch alte via Ebay. Einmal hatte ich schon das Mainboard von einem SMD-Zauberer wiederbeleben müssen.

--> Ging 2 Monate bevor der neue Robi/Zelle kam an den Popo ;-)

 

Dafür hab ich noch ein W98 am Start. Immerhin auf XP virtualisiert. Immer wieder geil wenn ich da mal was machen muss, 250MB OS und reagiert auf ner SATA Platte virtualisiert schneller als W10 auf einer Intel Optane mit >3.5 GHZ CPU. Und kann eigentlich auch alles inklusvie Word Excel, aber halt weniger Fancy. Einige male versucht die Software zu portieren. Nie gscheit hinbekommen wegen dem Parallel-Dongle. Neuere Software funktionierte nicht sinnvoll mit dem alten Spezialdrucker den es in dieser Art leider nicht mehr zu kaufen gibt aber tatsächlich noch neue Ersatzteile zu bekommen sind. Geht zwar quasi nie etwas kaputt, aber vor 5 Jahren musste doch etwas getauscht werden. Ist über 30 Jahre alt.

 

@teletubbieland Cool, danke für den Link. Werde ich mir demnächst zu Gemüte führen. :)

 

Äh das war ich nicht: Der stammt von mwiederkehr :-)

Habe das jetzt so über einen Linux gelöst...

Link to post
Am 10.11.2021 um 11:39 schrieb cj_berlin:

Ja, aber es ist nicht gottgegeben. Und der Lösungsansatz kann nicht sein, dass der Endkunde die ganze Maschine tauschen muss, sondern der Hersteller ist in der Pflicht, seinen Shit sicherer zu machen. Wenn deren Laser den Strahlenschutzanforderungen nicht mehr entsprechen, bessern sie ja auch nach. Warum die IT-Sicherheitsanforderungen hier anders behandelt werden sollen, ist mir unklar. So eine Industrie-Maschine läuft 15 Jahre und wird auf maximal 11 Jahre abgeschrieben. Vor 11 Jahren war das SMB1-Thema schon ein alter Hut. Und wenn euch vor 15 Jahren jemand Windows NT verkauft hat, ist es nicht mehr nur grob fahrlässig.

 

Lass mich raten, Du arbeitest nicht im Industriebereich, oder hast keine Kunden aus diesem Bereich. Ich habe auch Kunden mit Maschinen von Trumpf (Laser/Biege und Stanzmaschinen) und Du kannst da eskalieren was Du willst ... erstens: die Maschinen sind gut. Zweitens die Maschinen sind teuer. Drittens: Die Maschinen werden "gefühlt" ewig eingesetzt (aus Sicht der IT). Die Kosten für so nette Maschinen liegen im 6-7 Stelligen Eurobereich. So und jetzt hast Du da nicht nur eine sondern mehrere Stehen ... da tauscht Du nix aus weil die Steuerung SMB1 braucht.

Da kannst so was nur abgeschottet in ein Produktionsnetz stecken und hoffen, dass nix passiert. Ist nicht schön, aber ist leider so!
Was das Thema Pflichtenheft angeht, ja gibts. Wir sagen auch immer, das muss dieses und jenes enthalten. Letztlich entscheidet trotzdem die Fachabteilung was angeschafft wird. In den meisten Industrieunternehmen hat die IT kein Vetorecht bei Maschinenanschaffungen. Willkommen in der Realität!

Das Hauptproblem ist, dass sich keiner der mir bekannten Maschinenbauer und Steuerungshersteller groß Gedanken über Updates macht. Du findest in dem Bereich so ziemlich alles .. von MS DOS über Win95/98, Win NT, Win XP (embedded), Win 7, Win 10 (normale Pro), sowie diverse Linux Distri (Heidenhain Steuerungen z.B.) ... aber wie gesagt .. Updates? Virenscanner? Bloß nicht, geben wir keinen Support wenn da was dann nicht geht ...) 

 

Wir werden bei uns auch den Weg über einen Linuxproxy gehen (wie im o.g. Heiseartikel beschrieben) - halt nur nicht mit nem Raspberry sondern entsprechender LinuxVMs

Edited by Squire
Link to post
vor 49 Minuten schrieb Squire:

Lass mich raten, Du arbeitest nicht im Industriebereich, oder hast keine Kunden aus diesem Bereich.

Erster Teil richtig, zweiter Teil falsch. Nur ist mein Auftrag bei diesen Kunden nicht "mach, dass läuft, egal wie", sondern "mach, dass wir nicht als nächste in der Zeitung stehen wg. Ransomware". Und dahin führen in Bezug auf das Thema dieses Threads nur zwei Wege:

  1. Im Shopfloor-Netz läuft vernünftige Software in vernünftigen Konfigurationen.
  2. Das Shopfloor-Netz ist von der Außenwelt isoliert.

Alles dazwischen ist Augenwischerei und endet in Tränen. Und mit "der Fachabteilung" musste ich auch ein paarmal reden. Der geschäftsführende Direktor war dabei und sagte zum Produktionsleiter: "Ich kann dich nicht entlassen, wenn was passiert, aber WENN was passiert und diese Technik war schuld, sorge ich dafür, dass dein Name sehr prominent genannt wird". Plötzlich war ein abgeschottetes Segment für den Uralt-Dreck doch keine so schlechte Idee mehr. Es geht nicht um das Vetorecht der IT, sondern um begründete Argumentation.

 

Und heutzutage hast Du in diesem Kampf einen weiteren Verbündeten: die IT-Ausfallversicherung. Es dauert nicht mehr lange, und die Brüder werden ausnahmslos prüfen, bevor sie die Höhe der Prämie festlegen. Und wenn der Versicherungsvertreter dann sagt, dass man 10 Millionen im Jahr mehr an Versicherung zahlen muss, wenn die Maschine für 5 Millionen ins Netz kommt, dürfte das Gespräch mit "der Fachabteilung" auch anders verlaufen.

 

Aber bau ruhig den Linux-Proxy. Du hast ja das Know-How und die Zeit, um den 24x7x52 zu supporten. Ach ja, richtig - die IT hat ja keine SLAs. Drum hat sie auch kein Vetorecht.

  • Like 1
  • Confused 1
Link to post
vor 17 Stunden schrieb cj_berlin:

Das Shopfloor-Netz ist von der Außenwelt isoliert.

Ich teile Deine Argumentation grösstenteils, wenn auch nicht den Ton. Aber die Argumentation ist dabei das absolut kleinste Probleme. Einsehen tut das jeder. Hatte jedenfalls noch nie Mühe mit der Argumentation, auch vor über 10-15 Jahren nicht wo das im Industriebereich noch selten ein Thema war. Seit man es alle Tage in der Zeitung lesen kann und gestandene Mittelklassefirmen hops gingen, sowieso nicht mehr. Nur die Umsetzung empfinde ich alles andere als trivial.

 

Wie stellst Du eine vollständige physische Isolation sicher? Also ich finde das in der Praxis enorm schwierig. Alleine die Fernwartung zu X verschiedenen Firmen oder der interne, notwendige Datenaustausch. An einer modernen Produktionszelle sind schon 5-10 Hersteller beteiligt. Die Anlagen laufen 24h, 7 Tage. Undenkbar ohne Fernwartung. Oder die Laptops/USB-Sticks der Techniker die einfach überall drinstecken? USB-Sticks kann man verbieten und ist auch durch. Laptops mit sämtlicher SPS-Software könnte man theoretisch selber vorhalten, aber das ist eine Never-Ending Story und eher die Kategorie der Grossbetriebe und auch auf diese muss dann ein Technier mittels Fernwartung drauf.

 

Irgendwie muss auch der interne Datenaustausch hergestellt werden und die Aktualität der Daten sichergestellt sein. Mache ich das über einen Proxy oder über USB-Sticks, wo ist am Ende das Risiko grösser? Die Versionierung und Aktualität der Daten ist so schon ein Dauerbrenner, wenn das noch über zu viele Zwischenstationen muss, endet man innerhalb kürzester Zeit im Chaos. Das ist dann in der Risiko-Beurteilung ganz weit oben und die Schäden sind dann in der Summe auch schnell enorm hoch.

Von daher meine Meinung: Gesagt ist bezüglich vollständiger Isolation der Produktionsumgebung immer sehr schnell viel. Die Umsetzung ist dann eine ganz andere Liga. Umöglich ist nichts, aber am Ende müssen die Leute tatsächlich auch noch arbeiten können.


Der Uralte Krempel ist übrigens das kleinste Problem in der praktischen Umsetzung. Weil da kann fast alles anders gelöst werden. Das richtige Problem ist der moderne, hochintegrierte Kram. Und wenn er heute nicht das Problem ist, wird er es morgen. Und alles was man macht, macht man auf eigenes Risiko weil die Hersteller alles ablehnen. Bei Anlagen die in die Millionen gehen ist das ein Tanz auf der Klinge. Das sind dann Sofort-Real-Schäden und keine die möglicherweise kommen.

Das dürfte in Zukunft ändern, sobald der Druck der Versicherungen und grossen Firmen zunimmt, aber Stand heute ist das bei weitem noch nicht durch und ein 0815 Kunde der eine handvoll Maschinen hat, interessiert die grossen Hersteller nicht die Bohne wenn es um Änderungen geht. Da geht erst etwas wenn Betriebe auf finanzieller Augenhöhe diskutieren. Bei KMU's heisst das, wenn die Leasinggesellschaft oder die Versicherung stellvertretend für die Kunden kämpft/Forderungen stellt. In der Beschaffung ist das noch nicht der Fall, bei einem Schaden teilweise schon. Selbst mit der Versicherunge/Leasing im Rücken wird dann gerne zu Tode prozessiert. DAS ist leider die Realität, auch wenn die Faktenlage zu 100% klar ist. Bis man recht bekommt dauert es dann ~10 Jahre oder mehr. Das muss man finanziell erstmal stemmen. Bei IT-Sicherheit ist die Sachlage dagegen selten 100% klar.

Ansonsten: Ich finde die SMB1 Proxies haben auch innerhalb eines so gut wie möglich isolierten Netzes ihre Daseinsberechtigung. Warum soll man in einem SMB1 irgend in ein Produktionsnetz lassen, auch wenn für sich autonom? Sehe ich nicht ein. Der dürfte in der Pflege das kleinste Problem sein innerhalb einer solchen Kette. Andere Glieder sind da deutlich "sensibler".

Edited by Weingeist
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...