Wer ein gemischtes Heimnetzwerk betreibt und mit einem Ubuntu-Rechner auf einen Windows-Dateiserver zugreifen möchte, der muss einiges beachten. Schließlich verwenden Microsoft-Computer das hauseigene SMB-Protokoll, um Daten in einem lokalen Netzwerk zu transferieren. Hingegen Linux-Distributionen nutzen für dieses Unterfangen den fortschrittlicheren NFS-Dienst. Wenn ein Debian-Derivat mit einem LAN-Teilnehmer keinen geeigneten Kommunikationsweg aushandeln kann, dann beendet es sofort die Verbindung. Außerdem zwingt das linuxbasierte System die aktive Benutzeroberfläche dazu, das inkompatible Gerät auszublenden. Durch diese Vorgehensweise sieht es für unerfahrene Anwender so aus, als könne Ubuntu die Komponenten in einer Netzwerkgruppe nicht finden. In Wahrheit liegt jedoch lediglich ein Verständigungsproblem vor.
Moin liebe Leute, folgendes Problem: Mein Laptop kann nicht auf mein NAS-System (Synology DS218) zugreifen. Ich habe Ubuntu 18.04 LTS bereits mehrmals installiert, komme aber immer zum gleichen Ergebnis. Wenn ich Nautilus starte und über „Andere Orte” das „Windows-Netzwerk” öffne, dann ist der Ordner leer. Die „Workgroup” wird einfach nicht angezeigt. [...] Mein Desktop-PC läuft noch mit 16.04 LTS und arbeitet wunderbar mit meinem Dateiserver zusammen. Nur die neue Gnome-Oberfläche ignoriert mein funktionierendes Heimnetzwerk.
Dierksen, Holger: Ubuntu 18.04 LTS findet keine Windows-Workgroup. E-Mail vom 24.09.2018.
Bis zur Testversion 17.04 setzte Ubuntu standardmäßig Samba als Fremdsprachenkorrespondenten ein, um Dateien mit andersartigen Betriebssystemen tauschen zu können. Durch diese freie Serversoftware erhielt die Linux-Distribution ein Replikat¹ des proprietären SMB-Protokolls, das nicht nur von Netzwerkspeichern, sondern auch von Spielekonsolen und Smart-TVs ohne Weiteres akzeptiert wurde.
Linux enthält keine integrierte SMB-Unterstützung. Dafür wird Samba benötigt. Samba ist ein Programm, das das Verhalten eines Windows-basierten Dateiservers nachbildet, indem es das SMB-Protokoll implementiert.
Lowe, Doug: Netzwerke für Dummies. 8. überarbeitete und aktualisierte Auflage. Weinheim: Wiley-VCH Verlag 2016.
Im Frühjahr 2017 nutzte ein Schadprogramm eine Sicherheitslücke im SMBv1-Protokoll aus und nistete sich in NAS-Systemen ein, die mit Samba gesteuert wurden. Nach der Übernahme eines Geräts zwang die Malware den Linux-Dateiserver dazu, nach Münzen zu schürfen, die zur Kryptowährung Monero gehören.
Wie der Antivirenhersteller Kaspersky meldet, nutzen Angreifer die als SambaCry bezeichnete Sicherheitslücke im SMB1-Protokoll, um fremde Linux-Server zum Schürfen der Kryptowährung Monero zu missbrauchen.
Mahn, Jan: Erster Angriff durch SambaCry-Lücke. In: c’t Nr. 14 (2017). S. 44.
Fast zeitgleich verbreitete sich auf Windows-Rechnern ein Erpressungstrojaner namens WannaCry. Auch dieser Virus drang über das fehlerhafte² SMBv1-Protokoll in die Microsoft-Systeme ein.
Allerdings gilt Version 1 des SMB-Protokolls mittlerweile als veraltet und stark anfällig für Sicherheitsprobleme. Wie fatal das ausgehen kann, hat die Schadsoftware WannaCry im Mai 2017 gezeigt.
Kofler, Michael: Linux. Das umfassende Handbuch. 15. aktualisierte Auflage. Bonn: Rheinwerk Verlag 2017.
Um die Sicherheit von Ubuntu zu erhöhen, entschloss sich Canonical im Sommer 2017 kurzerhand dazu die beliebte Linux-Distribution zukünftig ohne Samba auszuliefern. Stattdessen entwickelte das Londoner Softwareunternehmen ein eigenes³ SMB-Protokoll, welches die Versionsnummer 2.1 trägt und über das Kernel-Modul⁴ CIFS gesteuert wird. Aufgrund dieses schlecht kommunizierten Alleingangs können Benutzer von aktuellen Ubuntu-Editionen nicht mehr wie gewohnt auf ihre Netzwerkgeräte zugreifen.
Die Netzwerkgruppe einbinden
Szenario: Nach dem Upgrade auf Version 18.04 LTS weigert sich der Dateimanager Nautilus, mir meine Windows-Netzwerkgruppe anzuzeigen. Das liegt daran, dass der Gnome-Desktop in der Version 3.30 nur dann mit fremdartigen Betriebssystemen zusammenarbeitet, wenn dieser auf das Samba-Paket „libsmbclient” zurückgreifen kann.
Bevor mir die grafische Benutzeroberfläche Zugang zu meinen Windows-Freigaben gewährt, muss ich also erst den Klienten von Samba installieren.
Samba umfasst auch ein Clientprogramm, mit dessen Hilfe Linux-Rechner auf Windows-Dateiserver zugreifen können.
Lowe, Doug: Netzwerke für Dummies. 8. überarbeitete und aktualisierte Auflage. Weinheim: Wiley-VCH Verlag 2016.
Demzufolge öffne ich zunächst einmal ein neues Terminal-Fenster und lasse gleich darauf meine Softwarequellen neu einlesen, indem ich den folgenden Befehl eingebe:
sudo apt-get update
Direkt im Anschluss statte ich mein Ubuntu mit dem offiziellen Samba-Klienten aus:
sudo apt-get install smbclient
Im nächsten Schritt teile ich meinem frisch installierten Dolmetscher mit, in welcher Sprache er mit meinem Windows-Netzwerk kommunizieren soll. Dazu navigiere ich über dieselbe Konsole in die Konfigurationsdatei der Server-Applikation:
sudo nano /etc/samba/smb.conf
Sobald mir der Inhalt des Dokuments angezeigt wird, führe ich den Cursor mit den Pfeiltasten in die leere Zeile, die sich unter dem Eintrag „workgroup = WORKGROUP” befindet.
Dort angekommen tippe ich das folgende Kommando ein:
client max protocol = NT1
Daraufhin drücke ich die Tastenkombination Strg + O, um meine Änderungen zu speichern. Hingegen mit Strg + X verlasse ich den Editor Nano wieder. Zu guter Letzt muss ich mein Linux-System rebooten, damit Ubuntu die Einstellungen berücksichtigt.
Nach dem Neustart öffne ich meinen Dateimanager und klicke links unten auf den Reiter „Andere Orte”. Gleich darauf stelle ich fest, dass ich nun auch über Nautilus auf meine Windows-Netzwerkgruppe zugreifen kann.
Das Heimnetzwerk absichern
Szenario: Das SMBv1-Protokoll wurde ursprünglich in den 1980er Jahren entwickelt und stellt ein großes Sicherheitsrisiko dar. Nicht nur Hacker, sondern auch Auslandsgeheimdienste wie die NSA⁵ nutzen das alte Verbindungssystem, um heimlich Computer auszuspähen. Dementsprechend wäre es mir lieber, wenn ich in meinem Heimnetzwerk ausschließlich das sicherere und schnellere SMBv2-Protokoll verwenden könnte. Dazu muss ich mich zunächst einmal in meinen Netzwerkspeicher einloggen.
Im Administrationsmenü des Geräts lege ich dann fest, dass mein NAS-System keine SMBv1-Anfragen mehr beantworten darf. Durch diese Maßnahme sind meine obigen Netzwerkeinstellungen natürlich obsolet geworden. Also öffne ich nun erneut die Konfigurationsdatei des Samba-Klienten:
sudo nano /etc/samba/smb.conf
Dort ersetze ich meinen Eintrag durch den folgenden Befehl:
client min protocol = SMB2
Gleich danach speichere ich meine Änderungen wieder, indem ich die Tastenkombination Strg + O drücke. Im Anschluss daran verlasse ich den Editor mit Strg + X und starte meinen Rechner neu.
Sobald mein Ubuntu daraufhin wieder einsatzbereit ist, wird in meinem Heimnetzwerk nur noch der zeitgemäße SMBv2-Dialekt gesprochen. Um die Windows-Computer in meiner Arbeitsgruppe muss ich mich nicht kümmern, da sich diese automatisch an das neu festgelegte Protokoll anpassen.
Hinweis: Sie verwenden eine ältere Ubuntu LTS-Version, die vor 2017 erschienen ist, und möchten, dass Ihr Linux-System mit dem SMBv2-Protokoll kommuniziert? Dann müssen Sie den folgenden Eintrag in Ihrer Samba-Konfigurationsdatei hinterlegen:
Zum Anzeigen der Befehle auf den Pfeil klicken!
client min protocol = SMB2
client max protocol = SMB3
Die NAS-Firmware aktuell halten
Samba ist eine kostenlose Software, die von rund 40 ehrenamtlichen Programmierern⁶ entwickelt wird. Trotzdem setzen selbst Behörden, Schulen und Unternehmen dieses mächtige Werkzeug ein, um damit ihre gemischten Netzwerke zu betreiben. Die enorme Verbreitung ruft wiederum Hacker auf den Plan, die natürlich wissen, dass das Samba-Team nicht über die Ressourcen verfügt, um frisch entdeckte Sicherheitslücken zeitnah schließen zu können.
Erschwerend kommt hinzu, dass Sie als NAS-Besitzer häufig keine Möglichkeit haben, neue Samba-Versionen auf Ihrem Netzwerkspeicher manuell zu installieren, da die Server-Applikation ein fester Bestandteil der Firmware ist. Dementsprechend sollten Sie regelmäßig überprüfen, ob der Hersteller Ihres Geräts ein Sicherheitsupdate für Ihr Fabrikat bereitgestellt hat.
Verwandte Themen:
Erpressungstrojaner aussperren - automatische Updates aktivieren
Strom sparen - Ubuntu mit Sleeptimer herunterfahren lassen
¹Roeschies, Andreas: Das SMB-Protokoll von innen. linux-magazin.de (09/2018).
²Scherschel, Fabian A.: EternalBlue: Hunderttausende Rechner über alte NSA-Schwachstelle infizierbar. heise.de (09/2018).
³Canonical Ltd.: Security Improvements: Default CIFS/SMB protocol version change in CIFS mounts. wiki.ubuntu.com (09/2018).
⁴Scherf, Thorsten: Support-Ende von SMBv1. admin-magazin.de (09/2018).
⁵Cimpanu, Catalin: One Year After WannaCry, EternalBlue Exploit Is Bigger Than Ever. bleepingcomputer.com (09/2018).
⁶Adam, Michael: The Samba Team. samba.org (09/2018).
Demzufolge ist es heutzutage nicht mehr möglich, eine anonyme Internetsuche über das HTTP-Protokoll zu starten. Wer jedoch aus den rund 900 Millionen³ existierenden Webseiten bestimmte Informationen herausfiltern möchte, der ist auf eine leistungsstarke Suchmaschine angewiesen. Was können Sie als sicherheitsbewusster Computeranwender also tun, um die Arbeit von neugierigen Regierungsbehörden zu erschweren? Als Erstes sollten Sie nur noch mit DuckDuckGo das World Wide Web durchforsten.
