Giao thức SMB là gì? cách ngăn chặn tấn công của virus Wanny Cry luôn là nỗi băn khoăn của người dùng khi sử dụng giao thức SMB. Để giải đáp được thắc mắc này thì các bạn hãy tham khảo qua bài viết này nha.
1. Giao thức SMB là gì?
Định nghĩa về giao thức SMB
SMB được viết tắt của từ Server Message Block, đây là một giao thức nằm trong hệ điều hành Windows và DOS. SMB cung cấp cơ chế để các máy khách (client) có thể truy cập vào hệ thống file máy chủ (server), cũng như những thiết bị input/output (ví dụ như máy in).
Ví dụ: Khi bạn đang làm việc nhóm với một dự án có khối lượng dữ liệu khổng lồ. Thay vì bạn phải chia sẽ tất cả các file cho mọi người, bạn chỉ cần lưu các file bào trong máy tính của mình. Sau đó giao thức SMB sẽ cho phép các thành viên khác trong nhóm của bạn truy cập và sử dụng các file này từ máy của bạn trên chính máy tính của họ.
Lịch sử hình thành và phát triển SMB
Giao thức SMB được ra đời và đưa vào sử dụng từ giữa những năm 80 của thế kỷ 20 và trỉa qua nhiều phiên bản khác nhau
Mục đích ban đầu của SMB là một giao thức mạng để đặt tên và kiểm duyệt. Với phiên bản đầu tiên, SMB cho phép hệ thống chia sẻ dữ liệu với xác máy khách có quyền ngang nhau, nhưng điều này không giúp đảm bảo thông tin.
Với phiên bản tiếp theo, MSB kế thừa bởi Microsoft và trở thành giao thức chia sẻ file phổ biến của hệ điều hành Microsoft và IBM với nhiều phiên bản đã được cải thiện về khả năng bảo mật. Các máy chủ và máy client SMB sẽ cùng sử dụng một giao thức đồng nhất để thuận tiện cho việc chia sẻ, trao đổi dữ liệu.
Từ những năm 1990 cho đến nay SMB đã được Microsoft đổi tên thành CIFS viết tắt của từ Common Internet File Sharing đúng với nghĩa đen là công cụ chia sẻ file phổ biến nhất trên Internet.
2. Giao thức SMB hoạt động như thế nào?
SMB là giao thức hoạt động theo cơ chế máy khách – máy chủ (request – response). Hiểu đơn giản hơn thì các máy khách sẽ gửi những yêu cầu đến máy chủ SMB sau đó máy chủ sẽ gửi phản hồi lại đến từng yêu cầu.
Trong lần giao tiếp đầu tiên, máy khách sẽ gửi danh sách các bản giao thức khả dụng đến máy chủ, máy chủ sẽ lựa chọn một giao thức phù hợp để sử dụng về sau. Nếu trong danh sách không có giao thức phù hợp thì máy chủ sẽ từ chối.
Khi giao thức được xác nhận, máy khách bắt đầu gửi các yêu cầu để máy chủ phản hồi lại kèm theo các thông tin cần thiết.
Ví dụ như: máy khách yêu cầu đăng nhập vào hệ thống với tên đăng nhập và mật khẩu bất kỳ. Nếu yêu cầu đăng nhập thành công, máy chủ sẽ gửi về một số ID để khách có thể yêu cầu kết nối dữ liệu thông qua chúng.
Máy chủ và máy khách khi sử dụng SMB sẽ duy trì một số thứ tự đồng bộ để phục vụ cho việc tạo mã xác thực tin nhắn, phòng chống các cuộc tấn công mạng. Mỗi tin nhắn đều có thể xác nhận bởi một MAC nhất định.
Ví dụ: Máy in văn phòng được kết nối với máy tính tại phòng nhân sự, khi bạn muốn in bất kỳ một tài liệu nào đó thì máy tính của bạn sẽ gửi yêu cầu đến máy tính tại phòng nhân sự bằng giao thức SMB. Tiếp sau đó, máy chủ sẽ gửi các phản hồi nêu rõ các dữ liệu đang được in hoặc bị từ chối.
3. Chức năng chính của giao thức
SMB có những tính năng, điểm mạnh riêng biệt mà nhiều công cụ khác không có được. Để nói đến nổi trội nhất thì giao thức SMB hỗ trợ được với Unicode.
Ngoài ra SMB còn có một số chức năng chính như là:
- Hỗ trợ tìm kiếm các máy chủ sử dụng giao thức SMB khác.
- Hỗ trợ in qua mạng.
- Cho phép bạn thực hiện xác thực file và thư mục được chia sẻ.
- Thông báo ngay lại sự thay đổi của file và thư mục.
- Xử lý các thuộc tính mở rộng của file.
- Hỗ trợ đàm phán, dàn xếp để tương thích giữa các hình thái SMB.
- Hỗ trợ Unicode.
- Cho phéo lập tức khóa file đang truy cập tùy theo yêu cầu.
Khi bạn sử dụng SMB đi cùng với giao thức xác thực NTLM thì sẽ được cung cấp trọn gói chia sẻ file, máy in ở mức user. Chỉ cần user thực hiện đăng nhập kết nối với tài nguyên chia sẻ ở máy khác, Windows lập tức tự động gửi dữ liệu thông tin đăng nhập của user đó về SMB trước khi yêu cầu tên đăng nhập và mật khẩu.
4. Cách tắt SMB tránh virus Wanna Cry
Virus Wanna Cry là gì?
Wanna Cry là một loại mã độc khi thâm nhập vào thiết bị, máy tính của người dùng hoặc máy tính trong hệ thống doanh nghiệp sẽ tự động mã hoá hàng loạt các tập tin theo những định dạng mục tiêu như văn bản tài liệu, hình ảnh…
Virus Wanna Cry sử dụng lỗ hổng EternaBlue của dịch vụ SMB để lây lan vào các máy tính người dùng mà không cần người dùng phải thao tác trực tiếp với các file, link đính kèm độc hại.
Người dùng sẽ không biết máy tính của mình đã nhiễm Wanna Cry hay chưa cho đến khi nó tự gửi một thông báo cho biết thiết bị đã bị khóa và mọi tập tin đều bị mã hóa.
Cách tắt SMB tránh virus Wanna Cry
Cập nhật Windows MS17-010
Microsoft đã đưa ra phương pháp giải quyết lỗ hổng thông qua một bản cập nhật bảo mật MS17-010. Bạn hãy kiểm tra trung tâm cập nhật để tải các bản cập nhật này thông qua mã về máy tính của mình.
Chặn các cổng 135 và 445
Theo các công ty phần mềm diệt virus thì để ngăn chặn virus này xâm nhập, bạn nên đóng cổng 445 của Windows XP và cổng 135 được sử dụng bởi virus Wcrypt để xâm nhập.
Để làm điều này, bạn hãy mở dấu nhắc lệnh trong kiểm soát hành chính. Sau đó nhập từng lệnh vào cửa sổ nhắc lệnh:
- netsh advfirewall tường lửa thêm quy tắc dir = in action = block protocol = TCP localport = 135 name = “Block_TCP-135”
- netsh advfirewall tường lửa thêm quy tắc dir = in action = block protocol = TCP localport = 445 name = “Block_TCP-445”
Vô hiệu hóa SMBv1
Chạy lệnh như sau trong cửa sổ nhắc lệnh với tư cách quản trị viên để tắt hỗ trợ SMBv1:
dism / online / norestart / disable-feature / featurename: SMB1Protocol
Trên thực tế thì giao thức SMBv1 cũng có nhiều phím tắt khác nhau mà bạn có thể sử dụng để loại trừ khả năng bị ransomware xâm nhập.
5. Biện pháp phòng chống khi sử dụng giao thức SMB
Nếu bạn vẫn có nhu cầu sử dụng giao thức SMB nhưng vẫn muốn bảo vệ tốt nhất cho hệ thống máy tính của mình, các bạn có thể thực hiện một vài biện pháp sau:
- Khởi chạy tường lửa hoặc để chế độ Endpoint Protection để bảo vệ port SMB và cập nhật blacklist để ngăn chặn các kết nối từ địa chỉ IP đã tấn công trước đó.
- Thiết lập VPN để mã hóa và bảo vệ lưu lượng mạng.
- Sử dụng mạng VLAN riêng với lưu lượng nội bộ.
- Sử dụng bộ lọc địa chỉ MAC để phát hiện và ngăn chặn những địa chỉ không xác định đang muốn truy cập.
>>> Xem thêm: FTP là gì? tìm hiểu giao thức FTP