TroutTrout
All docs

Configurar acceso SMB

Gestione el acceso a recursos compartidos de archivos SMB a través de Access Gate — otorgue acceso por enclave sobre una IP de superposición, luego agregue identidad con un Access Screen.

3 min read · Last updated 2026-06-16

SMB (Server Message Block) es el protocolo que sustenta los recursos compartidos de archivos de Windows, las unidades de red y las carpetas donde residen documentos, archivos de ingeniería y programas de PLC. Funciona sobre el puerto TCP 445 (legado 139) y está presente en todo entorno IT — y cada vez más integrado en OT para la transferencia de recetas, programas e informes. También es una de las rutas más habituales para la propagación de ransomware y la exfiltración de datos, lo que convierte el control de acceso a los recursos compartidos en una medida de seguridad de alto valor.

Access Gate intermedia el tráfico SMB para que solo las personas y sistemas autorizados accedan a un recurso compartido — y, con un Access Screen, únicamente tras autenticarse.

Protección de SMB con Access Gate

1. Crear el activo, el servicio y el enclave

Añade el servidor de archivos como activo, define su servicio SMB y colócalo en un enclave con una regla allow que conceda acceso. Consulta Proteger un activo con enclaves y Listas de control de acceso.

Enclave SMB que concede acceso al recurso compartido de archivos
Enclave SMB que concede acceso al recurso compartido de archivos

2. Conectarse al recurso compartido mediante la IP de superposición

Apunta el cliente al recurso compartido usando la overlay IP de Access Gate en lugar de la dirección directa del servidor de archivos. La sesión se intermedia a través del gate.

Conexión SMB establecida a través de Access Gate
Conexión SMB establecida a través de Access Gate

La conexión se establece y los paquetes fluyen a través del gate.

Captura de paquetes que muestra el tráfico SMB fluyendo a través del gate
Captura de paquetes que muestra el tráfico SMB fluyendo a través del gate

Incorporación de identidad

Hasta aquí, el acceso se concede por política de red. Añade un Access Screen para exigir que el usuario se autentique antes de que el recurso compartido sea accesible — convirtiendo la accesibilidad en una concesión verificada por identidad.

1. Proteger el enclave SMB con un Access Screen

Habilita un Access Screen en el enclave. Consulta Autenticar usuarios con Access Screens.

Habilitación de un Access Screen en el enclave SMB
Habilitación de un Access Screen en el enclave SMB

2. El usuario se autentica

El usuario debe autenticarse a través del Access Screen antes de que se conceda el acceso. Hasta que lo haga, el recurso compartido permanece inaccesible.

Usuario autenticándose a través del Access Screen
Usuario autenticándose a través del Access Screen

Notas y consideraciones

  • Mantén los permisos del lado del servidor como segunda capa. El gate decide quién llega al recurso compartido; el servidor de archivos sigue decidiendo qué puede hacer una vez allí. Usa ambos.
  • Versión de SMB. Verifica la ruta intermediada frente al dialecto SMB que requieren tus servidores y mantén SMBv1 deshabilitado.

Relacionado

Previous
Configurar acceso HTTP/HTTPS
Next
Configurar acceso Modbus