¿Recuerdas el último gran ataque de ciberseguridad también conocido como WannaCry? Pues bien, el culpable o detonante de que fuera posible fue un antiguo protocolo de de red con más de 30 años de antiguedad, el protocolo SMB, en concreto la versión SMB1.

Este protocolo de red (en el caso en el que no hayas procedido a su eliminación) es muy probable que siga en tus sistemas. Como comprenderás es básico para tu seguridad deshabilitar este protocolo para asegurarte de no ser afectado por un nuevo ataque de esa índole, todo por tener un protocolo de red inseguro SMB (Server Message Block).

protocolo windows smb1

¿Qué es el protocolo SMB?

SMB o Server Message Block es un protocolo utilizado para la transmisión de datos entre ordenadores Windows y sistemas Windows y Linux. Los inicios del protocolo SMB se remontan más de 30 años atrás. Creado inicialmente por IBM pero combinado posteriormente por Microsoft, y utilizado después en versiones Windows (hasta llegar a la versión Windows 10).

SMB protocol permite acceder y modificar a archivos de un servidor remoto, así como a otros recursos como por ejemplo impresoras, todo ello a través de una aplicación.

El protocolo pese a sus actualizaciones para mejorar aspectos como encriptación o seguridad (última actualización 2016 – SMB 3.1.1), fue hackeado. De hecho, el propio Windows desaconseja por motivos de seguridad utilizar la última versión actualizada del protocolo SMB empleada en Windows 10.

La intención de Windows es acabar con este protocolo, pero no es tan sencillo ya que aún existen mucho software y muchas empresas aún utilizan el SMB, y su eliminación completa se hace mas complicada de lo deseado.

No se esperan por tanto actualizaciones del protocolo resolviendo sus problemas de seguridad, así que no esperes nuevas actualizaciones del protocolo porque no las va a ver. Por lo tanto, sólo te queda deshabilitarlo ya de tus sistemas.

Conoce si tienes SMB1 activado en tu sistema

Para averiguar si tienes activo o no el protocolo SMB1 en tus sistemas, tienes diferentes alternativas, las cuales te las vamos a explicar para que te quedes tranquilo (si no lo tienes activo) o para ponerte en alerta para eliminar el protocolo de tus sistemas (si tienes activo el protocolo).

Microsoft message analyzer

El primer método para poder analizar si tenemos activo el protocolo SMB1 es Microsoft Message Analyzer. Se trata de una herramienta totalmente gratuita que se puede descargar e instalar  en los sistemas Windows. Esta herramienta es capaz de detectar comunicaciones SMB1, analizando la actividad tanto entrante como saliente entre diferentes sistemas de la red.

El funcionamiento de la herramienta es sencillo, el administrador tiene que aplicar filtros para así poder filtrar el tráfico. En este caso, el administrador usará como filtro SMB. Es aquí donde Message Analyzer entra en acción y busca marcadores de transacciones SMB1 e identifica su origen y el destino del tráfico.

Si encuentras en el análisis alguna referencia a tecnologías obsoletas, como Windows for Workgroups y LAN Manager, indica que SMB1 está activo. Como ya hemos comentado antes, hay que tener en cuenta que cualquier cosa que se comunique con una red de Windows, como fotocopiadoras, impresoras, enrutadores, conmutadores, dispositivos y dispositivos de almacenamiento, podría ser el culpable de SMB1.

Hay tres opciones para eliminar SMB1 de estos dispositivos: desactivar la compatibilidad con SMB1, cambiar el protocolo o, en casos extremos, eliminar el equipo permanentemente de la red.

Usa Message Analyzer para buscar referencias en “dialectos solicitados”, como SMB 2.002 y SMB 2. xxx. Esto indica los diferentes sistemas y servicios que de manera predeterminada usan protocolo SMB1.

DSC Environment Analyzer

Esta herramienta “analizador de entorno de configuración de estado deseado” (DSCEA) creada en PowerShell utiliza DSC (configuración de estado deseado) para ver si los sistemas cumplen con la configuración definida. Nota: DSCEA requiere PowerShell 5.0 o superior.

Crearemos una declaración DSC para encontrar sistemas con SMB1 ya deshabilitados. Mediante el proceso de eliminación, DSCEA generará un informe de los sistemas que no cumplieron con nuestros requisitos: estos son los sistemas que aún tienen habilitado SMB1 y de esta manera los tendremos localizados.

Microsoft proporciona una guía más detallada para escribir un archivo de configuración que usa DSCEA para encontrar sistemas SMB1.

Deshabilitar protocolo SMB Microsoft

Como hemos dicho el objetivo de la compañía estadounidense es eliminar el protocolo de red, debido a los problemas de seguridad del mismo.

Ya en 2013, Microsoft anunció que eventualmente eliminaría a SMB1, diciendo que el protocolo estaba “planeado para su desaparición potencial en versiones posteriores”.  Pues bien, con la actualización de Windows 10 Fall Creators, el protocolo finalmente se elimino de Windows.

No obstante se recomienda que las empresas no esperen a la nueva versión. Lo ideal es eliminar el protocolo de inmediato, tal como recomienda Pyle. Se sugiere inhabilitar SMB1 y, a continuación, “bloquear todas las versiones de SMB en el límite de red bloqueando el puerto TCP 445 con los protocolos relacionados en los puertos UDP 137-138 y el puerto TCP 139, para todos los dispositivos fronterizos”.

En cuanto a cómo deshabilitar SMB1, se puede realizar siguiendo las instrucciones de está página de la web de soporte de Microsoft: “Cómo habilitar y deshabilitar SMBv1, SMBv2 y SMBv3 en Windows y Windows Server“. Tenga en cuenta que Microsoft recomienda mantener SMB2 y SMB3 activos y sólo desactivarlos para solución de problemas temporal.

Desactivar SMB1 hará más que proteger a tu empresa contra la siguiente infección global de malware. También ayudará a mantener tu empresa más segura contra los hackers que buscan este tipo de vulnerabilidades.

[Total:2    Promedio:4/5]
Diego Melús

Dedicado al marketing en general y al marketing online en concreto. Me paso los días buscando generar contenido de interés para toda la comunidad de nerion, y resolver todas tus dudas sobre el mundo de Internet, Hosting, Dominios, Ciberseguridad, Cloud o Marketing. Si tienes dudas ¡contacta con nosotros! - Siéntete como en casa

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


*