Az SMB és biztonsági szempontjainak meghatározása
Az együttműködés és az adatmegosztás kezelése fontos része az informatikai rendszergazdák feladatainak. Ezeknek a feladatoknak a teljesítéséhez hasznos megérteni a Windows-fájlmegosztás alapjául szolgáló technológiákat, például a Kiszolgálói üzenetblokk (SMB) protokollt.
Mi az SMB?
Az SMB egy TCP/IP-alapú hálózati fájlmegosztási protokoll, amely lehetővé teszi a számítógépen lévő alkalmazások számára a fájlok olvasását és írását, valamint a számítógép-hálózat kiszolgálói programjaitól való szolgáltatásokat. Egy alkalmazás (vagy egy alkalmazás felhasználója) az SMB protokollt használva fájlokat vagy más erőforrásokat érhet el egy távoli kiszolgálón. Ez lehetővé teszi az alkalmazások számára a távoli kiszolgálón lévő fájlok olvasását, létrehozását és frissítését.
Mik az SMB 3.x előnyei?
A Microsoft az 1980-s években fejlesztette ki a Kiszolgálói üzenetblokkot (SMB). Az eredeti specifikáció, az SMB 1 nem hatékony sávszélesség volt, és nem volt elegendő biztonsági szint. A következő SMB-verziók olyan funkciókkal oldják meg ezeket a hiányosságokat, mint a beépített titkosítás, az SMB Multichannel és az SMB Direct.
Az SMB 2.0, amelyet a Microsoft a Windows Server 2008-ban vezetett be, jelentős teljesítménybeli fejlesztéseket kínált, azonban nem oldotta meg jelentős mértékben a biztonsági kihívásokat.
A Microsoft által a Windows Server 2012-ben bevezetett SMB 3.0 a következő funkciókat tartalmazza:
- SMB transzparens feladatátvétel. Ez a funkció lehetővé teszi a fürtözött fájlkiszolgáló csomópontjainak hardver- vagy szoftverkarbantartását anélkül, hogy megszakítaná a fájlmegosztásokon adatokat tároló kiszolgálóalkalmazásokat.
- Az SMB vertikális felskálázása. Fürtözött konfigurációkban olyan fájlmegosztásokat hozhat létre, amelyek egyidejű hozzáférést biztosítanak az adatfájlokhoz közvetlen bemenettel/kimenettel (I/O) a fájlkiszolgálófürt összes csomópontja között.
- SMB-titkosítás. Ez a funkció biztosítja az SMB-adatok végpontok közötti titkosítását a nem megbízható hálózatokon, és segít megvédeni az adatokat a lehallgatástól.
- Windows PowerShell-parancsok az SMB kezeléséhez. A fájlmegosztásokat a parancssorból kezelheti a fájlkiszolgálón, a végponttól a végéig.
- SMB többcsatornás. Ez a funkció lehetővé teszi a hálózati sávszélesség és a hálózati hibatűrés összesítését, ha több elérési út is elérhető az SMB 3.x-ügyfél és a kiszolgáló között.
- Közvetlen SMB. Ez a funkció támogatja azokat a hálózati adaptereket, amelyek távoli közvetlen memóriahozzáférés (RDMA) képességgel rendelkeznek, és teljes sebességgel, nagyon alacsony késéssel és nagyon kevés központi feldolgozási egység (CPU) feldolgozási idő használatával képesek működni.
A Microsoft által a Windows Server 2016-ban bevezetett SMB 3.1.1 számos további fejlesztést kínál, többek között a következőket:
- Az előhitelesítés integritása. Az előhitelesítés integritása jobb védelmet nyújt egy olyan emberközi támadással szemben, amely illetéktelenül befolyásolhatja az SMB-kapcsolatüzenetek létrehozását és hitelesítését.
- Az SMB-titkosítás fejlesztései. Az SMB 3.0-val bevezetett SMB-titkosítás egy rögzített titkosítási algoritmust, az AES-128-CCM-et használja. Az SMB 3.1.1-ben elérhető AES-128-GCM azonban a legtöbb modern processzorral jobban teljesít.
- A RequireSecureNegotiate beállítás eltávolítása. Mivel az SMB egyes külső implementációi nem megfelelően hajtják végre ezt a tárgyalást, a Microsoft egy kapcsolót biztosít a Biztonságos egyeztetés letiltásához. Az SMB 3.1.1-kiszolgálók és -ügyfelek esetében azonban az alapértelmezett az előhitelesítési integritás használata a korábban leírtak szerint.
Melyek az SMB 3.x teljesítménybeli fejlesztések leggyakoribb használati esetei?
Az SMB Direct és az SMB Multichannel lehetővé teszi, hogy költséghatékony, folyamatosan elérhető és nagy teljesítményű tárolót helyezzen üzembe a kiszolgálóalkalmazások számára a fájlkiszolgálókon. Az SMB Többcsatornás és az SMB Direct is alapértelmezés szerint engedélyezve van a Windows Serveren. Egyszerre több hálózati kapcsolatot is használhat az SMB Multichannellel, ami javítja a fájlmegosztás általános teljesítményét. Az SMB Direct biztosítja, hogy több hálózati adapter is koordinálja a nagy mennyiségű adat átvitelét vonalsebességgel, miközben kevesebb processzorciklust használ.
A közvetlen SMB és az SMB többcsatornás fájlmegosztások alternatívát kínálnak a fájlok tárolására az iSCSI vagy a Fibre Channel tárolóhálózati (SAN) eszközökön. Ha Windows Serveren hoz létre virtuális gépet a Hyper-V-ben, a virtuális gép helyének és a virtuális merevlemez helyének kiválasztásakor megadhatja a hálózati megosztást. Az SMB 3.x fájlmegosztásokon tárolt lemezeket is csatolhatja. Ezzel a módszerrel nem a Microsoft Hyper-V-csomópontok fürtözésével, hanem a virtuálisgép-fájlokat a fájlmegosztásaikon tároló fürtözött fájlkiszolgálókkal érheti el a magas rendelkezésre állást. Ezt kibővített fájlkiszolgálónak nevezzük. Ezzel a képességgel a Hyper-V képes tárolni az összes virtuálisgép-fájlt, beleértve a konfigurációs fájlokat, a .vhd fájlokat és az ellenőrzőpontokat a magas rendelkezésre állású SMB-fájlmegosztásokon.
Megjegyzés:
Az SMB 3.1.1-től elérhető fürt dialektus-kerítése támogatja a fürtfrissítéseket a kibővített fájlkiszolgálók egymást követő operációsrendszer-verziói között.