Sicherheitslücke? Windows Sharing lässt sich nicht trennen!!!!

Le_Sorcier · 27.03.07

Hallo!

Gerade habe ich eine erschreckende Feststellung gemacht: Ich wollte Daten von einem Win2000-Rechner auf meinem Mac-Mini überspielen habe die beiden mit einem Netzwerkabel verbunden und das Windows Sharing im OS X verwendet.

Lief auch einwandfrei, ich konnte das Laufwerk vom Apple in Windows als Netzlaufwerk einbinden, musste mich mit meinem Account-Namen und Passwort identifizieren und los gings.

Daten ließen sich problemlos hin un her kopieren.

Ich habe dann Windows Sharing auf dem Mac wieder gestoppt und dachte, dass damit der Zugriff auf meinen Rechner von Windows aus unterbrochen wäre! Aber weit gefehlt: ich konnte immer noch von Windows aus auf den Mac zugreifen!!!

Ein Portscan mit dem entsprechenden Mac-Dienstprogramm hat ergeben, das alle Ports geschlossen sind, is auf 427! Also die NetBios-Ports waren eigentlich zu!!!

Was war da los? Warum ist das möglich? Hat das einer von euch auch schon bemerkt?

Ciao

Le_Sorcier

patz · 27.03.07

Windows cached doch Verzeichnisse usw., damit die Netzwerkverbindung nicht unnötig belastet wird. Vielleicht war es einfach noch im Cache.

Oder der Port war zu, die alte Verbindung aber noch offen. Die werden ja nicht einfach mittendrin getrennt, wegen Datenverlust-Gefahr und so.

Le_Sorcier · 27.03.07

Nö! Das war noch eine reale Verbindung! Ich konnte Dateien auf den Mac schieben, und sie dort öffnen!

Und die Verbindung ist auch noch lange auf geblieben! Hat sich also nicht nach einer Zeit getrennt.

Und es sollte doch möglich sein, dass ich vom Mac aus den Zugriff auf den Mac beenden kann ...

patz · 27.03.07

Kannst du nach einem Neustart des Windows-PCs denn noch auf den Mac zugreifen? Wenn nicht, dann war es wohl nur die Verbindung, die noch offen war.

Le_Sorcier · 27.03.07

Also, wenn ich die Netzverbindung vom Windows-Rechner deaktiviere und dann wieder aktiviere, dann kann ich nicht mehr darauf zugreifen!

Aber ich verstehe nicht, wieso ich die Verbindung nicht von der Mac-Seite aus beendeb kann? Wenn ich einen Ordner zur Verfügung stelle, dann möchte ich doch auch bestimmen, wann ich das beende!

patz · 27.03.07

Normalerweise hat man den Dienst aktiviert oder deaktiviert. Und ändert das nicht alle paar Minuten.

Du kannst nicht einfach eine offene Verbindung kappen. Stell dir vor, es wäre ein Dateitransfer im Gange o.ä.

Deswegen wird die Verbindung denke ich offen gehalten, bis beide Seiten mit der Trennung einverstanden sind.

Zur Not kannst du den SMB-Prozess immer noch von Hand beenden.

dahui · 27.03.07

patz schrieb:
Du kannst nicht einfach eine offene Verbindung kappen. Stell dir vor, es wäre ein Dateitransfer im Gange o.ä.

das stimmt meinen gesichtsausdruck dann gen fraglich :oops:

wenn du mit mir telefonierst und ich habe keinen bock mehr dann lege cih auf, egal wer angerufen hat und auf keinen fall solange bis wir uns beide einig sind aufuzlegen

ich teste grade ...

nachtrag bei mir auch so über wlan, verbindungsaufbau ohne windows sharing - essig - mit kein thema, dann wind sharing ausschalten im mac und der windows rechner ist munter weiter unterwegs

da staune ich aber auch ... huh ... ?!

Le_Sorcier · 27.03.07

Ist schon klar, dass der Status der Dienstes nicht alle paar Minuten geändert wird!

Aber wenn ich ihn deaktiviere, dann hat das vielleicht genau den Grund, dass ich die Verbindung unterbrechen möchte - Datentransfer vorhanden oder nicht.

Aber stimmt! Den Prozess kann ich zur not noch kappen! Wenn ich wüsste wie ....

Na, auf jedenfalls vielen Dank für die Antworten! Ich mach jetzt Schicht ....

patz · 27.03.07

dahui schrieb:
wenn du mit mir telefonierst und ich habe keinen bock mehr dann lege cih auf, egal wer angerufen hat und auf keinen fall solange bis wir uns beide einig sind aufuzlegen

Netzwerk-Protokolle sind aber meist so ausgelegt, dass nur nach gegenseitiger "Verabschiedung" die Verbindung getrennt wird / werden darf. z.B. bei SMTP, POP3, IMAP usw. Da gibt es immer einen Abschies-Gruß (LOGOUT / QUIT o.ä.). Wenn irgendwo Daten übertragen werden und der Gegenüber macht einfach die Verbindung zu ist das erstens unhöflich und zweitens ist das Resultat unbestimmt. Weder Computer noch User weiß, was mit dem Transfer passiert ist, ob er erfolgreich war, ob noch Daten nachgeliefert werden müssen usw. Du reißt ja auch nicht mitten beim Brennen mit der Notauswurf-Funktion und einer Büroklammer dein CD-Laufwerk auf und nimmst den Rohling raus oder so. Und du steigst auch nicht beim Fahren aus dem Auto aus. Oder gehst aus dem Supermarkt raus, ohne vorher an der Kasse den Check-Out zu machen

Den Prozess kannst du über die Aktivitäts-Anzeige zur Not abschießen.

Aber wenn ich ihn deaktiviere, dann hat das vielleicht genau den Grund, dass ich die Verbindung unterbrechen möchte - Datentransfer vorhanden oder nicht.

Wenn ein Prozess beendet wird, "fragt" das Betriebssystem ihn erstmal freundlich, bitte zu beenden. Dann hat er aber noch Zeit, aufzuräumen, Verbindungen zu Ende zu führen usw. Sonst würde dein Temp-Ordner z.B. immer überquillen, weil kein Programm noch Zeit hat, seinen Mist wegzuräumen.

Was du erreichen willst, ist ein regelrechtes abschießen des Prozesses (terminieren). Der Prozess wird knallhart beendet und hat keine Chance mehr, irgendwas zu machen. Das macht man aber nicht. Nur im Notfall, z.B. wenn der Prozess nicht mehr reagiert. Und dann macht man das per "kill -9" oder über die Aktivitätsanzeige. Aber schön ist das nicht. Deswegen schießt das Systemeinstellungs-Programm den Filesharing-Prozess (Samba) auch nicht einfach ab.

dahui · 27.03.07

patz schrieb:
Netzwerk-Protokolle sind aber ...

da habe ich anscheinend auch einen kleinen denkfehler

sorry
bei windows würde ich dazu den adapter deaktivieren also lan oder wlan, und wenn ich das beim mac mache dann ist auch essig, klaro

der prozess wäre smbd ?

patz · 27.03.07

Ja, smbd wirds sein. Danach sollte dann auch "essig" sein

dahui · 27.03.07

patz schrieb:
Ja, smbd wirds sein. Danach sollte dann auch "essig" sein

habe nachsicht mit mir

fummel mich grade nebenbei in VPN ein und da bin ich eh verwirrt genug huahuahua, manchmal ist es unhöflich, aber ich möcte vieleicht doch 'auflegen'

ohne zahlen würde ich natürlich nie aus dem supermarkt gehen, und das mit dem auto .. 'wenn ich doch wüsste was ich tu'

merci wieder was gelernt
dahui

Rastafari · 28.03.07

Le_Sorcier schrieb:
Ich habe dann Windows Sharing auf dem Mac wieder gestoppt und dachte, dass damit der Zugriff auf meinen Rechner von Windows aus unterbrochen wäre! Aber weit gefehlt: ich konnte immer noch von Windows aus auf den Mac zugreifen!!!

Ein Portscan mit dem entsprechenden Mac-Dienstprogramm hat ergeben, das alle Ports geschlossen sind, is auf 427! Also die NetBios-Ports waren eigentlich zu!!!

Was war da los? Warum ist das möglich? Hat das einer von euch auch schon bemerkt?

Das ist völlig normal. Wenn du Windows Sharing aktivierst, (auch SAMBA genannt), dann öffnest du damit einen Zugang durch deine Firewall, durch den ein bedürftiger Windows-Rechner eine Anfrage schicken kann. Wird diese vernommen, wird für jeden Verbindungsversuch eine neue Instanz des Serverdaemons "smbd" gestartet, der diese eine Verbindung bedient. Schliesst du mit den Systemeinstellungen den Port wieder, bedeutet das nur, dass ab sofort keine weiteren Verbindungsgesuche mehr angenommen werden, bereits laufende Sitzungen werden aber dadurch nicht getrennt.

(Eine serverseitige Beendigung der Verbindung ist in der SMB-Welt übrigens kein besonders feiner Ton und kann einen Windows-Rechner schon mal gehörig ins wackeln bringen...)

Big-D · 28.03.07

Ich hab die Vermutung du hast ein Netzlaufwerkverbunden. dies bleibt je nach Rechtevergabe bis zum Neustart bestehen, oder sogar über diesen hionaus.

bloodworks · 24.05.08

Man kann zwar smbd killen

Code:

smbcontrol smbd shoutdown

bzw.

Code:

 smbcontrol PID shoutdown

ist besser.
Zu meiner eigendlichen Frage: Warum macht das Systemeinstellungen nicht selber (Tiger) und welcher Prozess ist jetzt ist jetzt für SMB zuständig smbd oder nmbd? Ich habe immer mal wieder beide, und nmbd reload tuts genauso wie smbd reload... Das ist komisch. Ich bin eigendlich eher gewohnt dass man entweder das eine oder andere hat. grz

drlecter · 24.05.08

Das sollte deine Frage bzgl. smbd/nmbd erklären. Das sind 2 verschiedene Dienste. Diese gehören beide zum SAMBA Paket.
nmbd — NetBIOS name server to provide NetBIOS over IP naming services to clients
smbd — server to provide SMB/CIFS services to clients

bloodworks · 24.05.08

Ai. Das hab ich. Sonstige Mac Spezifika? In some Linux haben die die Funktionalitäten und Befehlsstrucktur anderst / überschneidend. (JA ich kann auch man pages lesen...

) Heisst das das smbd und nmbd reload den gleichen Effekt haben? Oder sollte ich immer beide aktuallisieren?

drlecter · 24.05.08

Es ist keine Mac Spezifika. Die Dienste wurden schon von Anfang an im SAMBA Projekt getrennt. Für die Freigabe braucht man den smbd. Der nmbd dient nur zur Namensauflösung. Da es verschiedene Dienste sind kann ein Reload nicht den gleichen Effekt haben.
Je nach Distribution muss man die Pakete einzeln von Hand starten oder man hat ein Skript der beide (bzw. sind es wenn man winbindd mit rechnet, was man aber IMHO nur in NT4-DOM/AD Umgebungen braucht) in Abhängigkeit von einander startet.
Da du man Pages lesen kannst, hier die übersetzten aus dem Projekt:
http://gertranssmb3.berlios.de/output/nmbd.8.html
http://gertranssmb3.berlios.de/output/smbd.8.html

Sicherheitslücke? Windows Sharing lässt sich nicht trennen!!!!

Bismarckapfel

Châtaigne du Léman

Bismarckapfel

Châtaigne du Léman

Bismarckapfel

Châtaigne du Léman

Carmeliter-Renette

Bismarckapfel

Châtaigne du Léman

Carmeliter-Renette

Châtaigne du Léman

Carmeliter-Renette

deaktivierter Benutzer

Big-D

Gast

Strauwalds neue Goldparmäne

Wöbers Rambur

Strauwalds neue Goldparmäne

Wöbers Rambur

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)