.png "SMB 3.0 - Skalowanie serwera plików - SMB Scale-out"){kind=icon}
.png "SMB 3.0")
SMB 3.0 - Bezpieczne połączenia SMB - SMB Encryption .png "Udostępnij na: Facebook")
Autor: Dawid Dudek
Opublikowano: 2012-12-20
SMB 3.0 w systemie Windows Server 2012, oprócz wielu nowych funkcji, umożliwia przeprowadzenie bezpiecznego transferu danych poprzez szyfrowanie danych w locie. Głównym jego celem jest ochrona przed modyfikacją i podsłuchem. Największą zaletą korzystania z szyfrowania SMB jest brak konieczności konfigurowania protokołu bezpieczeństwa (IPsec) - nie potrzeba specjalnego sprzętu. Ponadto, implementacja jest mniej skomplikowana z racji wbudowania algorytmu szyfrowania AES-CMAC w SMB. Wbudowany algorytm zapewnia sprawdzanie integralności danych.
Globalne lub udziałowe szyfrowanie
Nowa funkcja szyfrowania danych protokołu SMB umożliwia zabezpieczenie udostępniania plików zarówno na poziomie globalnym, jak i udziału. Globalny poziom szyfrowania został skonfigurowany dla wszystkich udostępnionych udziałów, dostępnych w ramach zaszyfrowanej sesji. Z kolei, szyfrowanie udziału to możliwość włączenia szyfrowania konkretnego, udostępnionego udziału.
Windows Server 2012 wprowadza szereg usprawnień w zabezpieczeniach protokołu SMB 3.0. Podstawą jest nowy algorytm szyfrowania AES-CMAC, który w odróżnieniu od algorytmu HMAC-SHA256, stosowanego w SMB 2.0, opiera się na symetrycznym szyfrze blokowym (AES). Advanced Encryption Standard to specyfikacja przyjęta przez rząd Stanów Zjednoczonych w 2002 r. Została zatwierdzona przez Agencję Bezpieczeństwa Narodowego (NSA) w celu szyfrowania ściśle tajnych informacji.
SMB 3.0 posiada możliwość szyfrowania danych w locie, przy znacznie niższych kosztach niż wdrażanie innych rozwiązań szyfrujących w locie, takich jak IPsec. Tego typu szyfrowanie pozwala zabezpieczyć komunikację przed podsłuchem, przechwyceniem czy modyfikacją.
Szyfrowanie wybranego udziału można włączyć za pomocą funkcji File and Storage Services w Server Managerze. Można to wykonać w trakcie tworzenia nowego udziału przez kreator.
.jpg "Szyfrowanie udostępnionego udziału")
Rys. 1. Szyfrowanie udostępnionego udziału.
Możliwe jest również zaszyfrowanie udziałów już udostępnionych dzięki modyfikacji właściwości danego udziału.
.jpg "Zmiana właściwości udziału w celu włączenia szyfrowania")
Rys. 2. Zmiana właściwości udziału w celu włączenia szyfrowania.
Można również uruchomić szyfrowanie dla wszystkich sesji serwera dzięki poleceniu PowerShell:
Set-SmbServerConfiguration –EncryptData $true
W tym przypadku nie ma możliwości uruchamiania indywidualnego szyfrowania udziałów. Opcja ta zaznaczona jest automatycznie (jest wyszarzała), tak że nie można jej zmienić. Po uruchomieniu szyfrowania klienci, którzy nie obsługują protokołu SMB 3.0 nie będą w stanie uzyskać dostępu do udziałów. Można zezwolić na dostęp nieszyfrowanych klientów, stosując polecenie:
Set-SmbServerConfiguration –RejectUnencryptedAccess $false
Dla większego bezpieczeństwa należy wyłączyć SMB 1.0. Można to zrobić, jeśli w sieci nie ma systemów Windows XP i niższych oraz innych urządzeń, które potrzebują tej wersji protokołu do komunikacji. Aby to zrobić, należy użyć PowerShell:
Set-SmbServerConfiguration –EnableSMB1Protocol $false
Podsumowanie
Protokół SMB został opracowany i ciągle jest usprawniany. SMB 3.0, który jest częścią systemów Windows 8 i Windows Server 2012, zawiera kilka zmian, w tym zmian związanych z bezpieczeństwem. Ułatwia to konfigurowanie bezpiecznych połączeń oraz ochronę przed atakami typu man-in-the-middle czy podsłuchami komunikacji.