Blokování zpráv serveru - Server Message Block - Wikipedia

v počítačové sítě, Blokování zpráv serveru (SMB), z nichž jedna verze byla známá také jako Společný internetový souborový systém (CIFS /sɪFs/),[1][2] je komunikační protokol[3] za poskytnutí sdílený přístup na soubory, tiskaři, a sériové porty mezi uzly v síti. Poskytuje také ověřený meziprocesová komunikace mechanismus. Většina využití SMB zahrnuje běžící počítače Microsoft Windows, kde byla známá jako „Microsoft Windows Network“ před zavedením Aktivní adresář. Odpovídající Služby Windows jsou LAN Manager Server pro serveru komponenta a LAN Manager Workstation pro klient součástka.[4]

Funkce

Server Message Block poskytuje sdílení souborů, procházení sítě, tiskové služby a komunikaci mezi procesy po síti.

Protokol SMB se při přenosu spoléhá na protokoly nižší úrovně.

Protokol Microsoft SMB byl často používán s NetBIOS přes TCP / IP (NBT) přes UDP, pomocí čísla portů 137 a 138 a čísla portů TCP 137 a 139. NBT pro použití NetBIOS je podporován v systému Windows Server 2003, Windows XP, Windows 2000, Windows NT a Windows Me / 98/95. NetBIOS není podporován v systémech Windows Vista, Windows Server 2008 a následující verze systému Windows. Pro zpětnou kompatibilitu se obecně používá kombinace SMB / NBT.

Protokol NetBIOS over NetBEUI poskytuje podporu protokolu NetBIOS pro protokol NetBEUI. Tento protokol se také nazývá Rámy NetBIOS (NBF). NBF je podporován v systémech Windows 2000, Windows NT a Windows Me / 98/95. NetBEUI již není podporován v systému Windows XP a novějších verzích. Protokol SMB však lze použít i bez samostatného transportního protokolu přímo přes TCP, port 445. NetBIOS byl také podporován v několika starších protokolech, jako je například IPX / SPX.

Poskytuje systém SMB Inter-Process Communication (IPC) pojmenované trubky a byl jedním z prvních meziprocesních mechanismů běžně dostupných programátorům, který poskytuje prostředkům, aby služby zdědily autentizaci prováděnou, když klient[je zapotřebí objasnění ] nejprve se připojí k serveru SMB.[Citace je zapotřebí ]

Některé služby, které fungují přes pojmenované kanály, například ty, které používají vlastní implementaci Microsoftu DCE / RPC přes SMB, známý jako MSRPC over SMB, also allow MSRPC client programs to perform authentication, which overrides the authorization provided by the SMB server, but only in the context of the MSRPC client program that successfully makes the additional authentication.

Podepisování SMB: Windows NT 4.0 Service Pack 3 a vyšší mají schopnost používat kryptografii k digitálně podepsat SMB připojení. Nejběžnějším oficiálním termínem je „podepisování SMB“. Další pojmy, které byly oficiálně použity, jsou „[SMB] Bezpečnostní podpisy“, „pořadová čísla SMB“[5] a „Podepisování zpráv SMB“.[6] Podepisování SMB lze individuálně konfigurovat pro příchozí připojení SMB (zpracovávaná službou „LanManServer“) a odchozí připojení SMB (zpracovávaná službou „LanManWorkstation“). Výchozí nastavení od Windows 98 a výše je oportunisticky podepsat odchozí připojení, kdykoli to server také podporuje, a do ustoupit na nepodepsaný SMB, pokud to oba partneři umožňují. Výchozí nastavení pro Windows řadiče domény z Windows Server 2003 a nahoru znamená, že nedovolí ustoupit příchozím spojením.[7] Tuto funkci lze také zapnout na libovolném serveru se systémem Windows NT 4.0 Service Pack 3 nebo novějším. To chrání před útoky typu man-in-the-middle proti tomu, aby Klienti získali jejich opatření z řadičů domény při přihlášení.[8]

SMB podporuje oportunistické zamykání —Zvláštní typ zajišťovacího mechanismu — na souborech za účelem zlepšení výkonu.

SMB slouží jako základ pro Microsoft Distribuovaný systém souborů implementace.

Dějiny

SMB / CIFS / SMB1

Barry Feigenbaum původně navržen SMB na IBM počátkem roku 1983 s cílem obracet DOS INT 21h místní přístup k souborům do síťového systému souborů.[9] Microsoft provedl značné změny v nejčastěji používané verzi. Microsoft spojil protokol SMB s LAN Manager produkt, pro který začala vyvíjet OS / 2 s 3Com kolem roku 1990, a pokračoval v přidávání funkcí do protokolu v Windows for Workgroups (C. 1992) a v novějších verzích systému Windows.

SMB byl původně navržen tak, aby fungoval na vrcholu NetBIOS / NetBEUI API (obvykle implementováno s NBF, NetBIOS skončil IPX / SPX nebo NBT ). Od té doby Windows 2000 SMB běží ve výchozím nastavení s tenkou vrstvou, podobnou paketu Session Message v relační službě NBT, navíc TCP, používající spíše TCP port 445 než TCP port 139 - funkce známá jako „přímý hostitel SMB“.[10]

Windows Server 2003 a starší NAS zařízení nativně používají SMB1 / CIFS. SMB1 / CIFS je extrémně chatrný protokol v tom, že neefektivně využívá síťové zdroje, zejména při přenosu přes drahé WAN odkazy. I když Microsoft odhaduje, že SMB1 / CIFS zahrnuje méně než 10% síťového provozu v průměrné podnikové síti, je to stále značné množství provozu. Jedním z přístupů ke zmírnění neefektivnosti protokolu je použití produktů WAN Acceleration, jako jsou produkty poskytované společnostmi Riverbed, Silver Peak nebo Cisco Systems. Lepším přístupem je jednoduše eliminovat SMB1 / CIFS upgradem serverové infrastruktury, která ji používá. To zahrnuje jak zařízení NAS, tak Windows Server 2003. Nejúčinnější metodou, která se v současné době používá k identifikaci provozu SMB1 / CIFS, je použití nástroje síťového analyzátoru, jako je Wireshark atd., K identifikaci „mluvčích“ SMB1 / CIFS a následnému vyřazení z provozu nebo je časem upgradujte. Společnost Microsoft také poskytuje nástroj pro auditování v systému Windows Server 2016, který lze použít ke sledování mluvčích SMB1 / CIFS.[11]

V roce 1996, kdy společnost Sun Microsystems oznámila WebNFS,[12] Microsoft zahájil iniciativu k přejmenování SMB na Common Internet File System (CIFS)[9] a přidal další funkce, včetně podpory pro symbolické odkazy, pevné odkazy, větší velikosti souborů a počáteční pokus o podporu přímých připojení přes port TCP 445 bez nutnosti NetBIOS jako doprava (převážně experimentální úsilí, které vyžadovalo další zdokonalení). Microsoft předložil některé dílčí specifikace jako Internetové koncepty do IETF,[13] ačkoli tato podání vypršela.

Microsoft “přidal SMB1 na Windows Server 2012 R2 odpis seznam v červnu 2013. “[14] Windows Server 2016 a některé verze aktualizace Windows 10 Fall Creators Update nemají ve výchozím nastavení nainstalovaný SMB1.[15]

SMB 2.0

Microsoft představil novou verzi protokolu (SMB 2.0 nebo SMB2) s Windows Vista v roce 2006[16] a Server 2008. Ačkoli je protokol proprietární, jeho specifikace byla zveřejněna, aby umožnila jiným systémům spolupracovat s operačními systémy Microsoft, které používají nový protokol.[17]

SMB2 snižuje „chattnost“ protokolu SMB 1.0 snížením počtu příkazů a dílčích příkazů z více než stovky na pouhých devatenáct.[18] Má mechanismy pro potrubí, tj. odesílání dalších požadavků před přijetím odpovědi na předchozí požadavek, čímž se zvyšuje výkon na vysoké úrovni latence Odkazy. Přidává možnost sloučit více akcí do jednoho požadavku, což výrazně snižuje počet zpáteční lety klient musí udělat na serveru, čímž se zlepší výkon.[18] SMB1 má také mechanismus skládání - známý jako AndX - pro sloučení více akcí, ale klienti Microsoftu AndX používají jen zřídka.[Citace je zapotřebí ] Rovněž zavádí pojem „trvanlivé popisovače souborů“: umožňují připojení k serveru SMB přežít krátké výpadky sítě, jaké jsou typické pro bezdrátovou síť, aniž by bylo nutné vynakládat režii nového vyjednávání nové relace.

SMB2 zahrnuje podporu pro symbolické odkazy. Mezi další vylepšení patří ukládání vlastností souboru do mezipaměti, vylepšené podepisování zpráv pomocí HMAC SHA-256 hashovací algoritmus a lepší škálovatelnost zvýšením počtu uživatelů, sdílení a otevírání souborů na serveru mimo jiné.[18] Protokol SMB1 používá 16bitové velikosti dat, což mimo jiné omezuje maximální velikost bloku na 64 kB. SMB2 používá pole úložiště o šířce 32 nebo 64 bitů a v případě 128 bitů úchyty pilníků, čímž se odstraní předchozí omezení týkající se velikostí bloků, což zvyšuje výkon při přenosu velkých souborů přes rychlé sítě.[18]

Windows Vista /Server 2008 a novější operační systémy používají SMB2 při komunikaci s jinými stroji schopnými používat také SMB2. SMB1 se nadále používá pro připojení se staršími verzemi Windows a také s různými prodejci NAS řešení. Samba 3.5 také zahrnuje experimentální podporu pro SMB2.[19] Samba 3.6 plně podporuje SMB2, kromě úpravy uživatelských kvót pomocí nástrojů pro správu kvót systému Windows.[20]

Když byl zaveden SMB2, přinesl řadu výhod oproti SMB1 pro implementátory protokolů SMB od třetích stran. SMB1, původně navržen IBM, byl reverzní inženýrství, a později se stal součástí široké škály operačních systémů jiných než Windows, jako je Xenix, OS / 2 a VMS (Pathworks ). X / Otevřít částečně to standardizovalo; měl také koncept IETF normy, které zanikly. (Vidět http://ubiqx.org/cifs/Intro.html pro historické detaily.) SMB2 je také relativně čistý rozchod s minulostí. Kód Microsoft SMB1 musí pracovat s širokou škálou klientů a serverů SMB. SMB1 obsahuje mnoho verzí informací pro příkazy (výběr struktury, která se má vrátit pro konkrétní požadavek), protože funkce jako Unicode podpora byla dodatečně vybavena později. SMB2 zahrnuje výrazně snížené testování kompatibility pro implementátory protokolu. Kód SMB2 má podstatně menší složitost, protože existuje mnohem menší variabilita (například cesty kódu mimo Unicode se stanou nadbytečnými, protože SMB2 vyžaduje podporu Unicode).

Apple také migruje na SMB2 (ze své vlastní Apple Filing Protocol, nyní starší) s OS X 10.9.[21] Tento přechod byl plný problémů s kompatibilitou.[22][23] Nestandardní podpora pro SMB2 se ve skutečnosti objevila v OS X 10.7, když Apple opustil Sambu ve prospěch vlastní implementace SMB s názvem SMBX.[21] Poté, co Samba přijal, přešel Apple na vlastní implementaci SMBX GPLv3.[24][25]

The Linuxové jádro Klientský souborový systém CIFS má podporu SMB2 od verze 3.7.[26]

SMB 2.1

SMB 2.1, představený s Windows 7 a Server 2008 R2, představil drobná vylepšení výkonu s novým oportunistickým uzamykacím mechanismem.[27]

SMB 3.0

SMB 3.0 (dříve pojmenovaný SMB 2.2)[28] byl představen s Windows 8[28] a Windows Server 2012.[28] Přineslo několik významných změn, které mají za cíl přidat funkčnost a zlepšit výkon SMB2,[29] zejména ve virtualizovaném datová centra:

Také zavádí několik vylepšení zabezpečení, jako je end-to-end šifrování a nový AES založený podpisový algoritmus.[34][35]

SMB 3.0.2

SMB 3.0.2 (v té době známý jako 3.02) byl představen ve Windows 8.1 a Windows Server 2012 R2;[36][37] v těchto a novějších verzích lze dřívější verzi SMB verze 1 volitelně zakázat, aby se zvýšila bezpečnost.[38][39]

SMB 3.1.1

SMB 3.1.1 byl představen s Windows 10 a Windows Server 2016.[40] Tato verze podporuje AES-128 GCM šifrování navíc k AES-128 CCM šifrování přidáno do SMB3 a implementuje kontrolu integrity před autentizací pomocí SHA-512 hash. SMB 3.1.1 také stanoví povinné vyjednávání povinné při připojování ke klientům pomocí SMB 2.xa vyšších.

Implementace

Obecné problémy

SMB funguje prostřednictvím a klient-server přístup, kde a klient zadá konkrétní požadavky a server odpovídajícím způsobem odpoví. Jedna část protokolu SMB se konkrétně zabývá přístupem k souborové systémy, takže klienti mohou podávat žádosti na a souborový server; ale některé další části protokolu SMB se specializují na meziprocesová komunikace (IPC). Sdílená meziprocesová komunikace (IPC) nebo ipc $ je síťová sdílená položka v počítačích se systémem Microsoft Windows. Tato virtuální sdílená složka se používá k usnadnění komunikace mezi procesy a počítači přes SMB, často k výměně dat mezi počítači, které byly ověřeny.

Vývojáři optimalizovali protokol SMB pro místní podsíť využití, ale uživatelé také uvedli SMB do provozu, aby získali přístup k různým podsítím přes internet—využije sdílení souborů nebo sdílení tisku v prostředích MS Windows se obvykle zaměřuje na takové použití.

Servery SMB vytvářejí své souborové systémy a další zdroje k dispozici klientům v síti. Klientské počítače mohou chtít přístup ke sdíleným souborovým systémům a tiskárnám na serveru a v této primární funkci se SMB stal nejznámějším a nejvíce používaným. Aspekt souborového serveru SMB by se však bez NT domény sada protokolů, které poskytují doménu ve stylu NT ověřování přinejmenším. Téměř všechny implementace serverů SMB používají ověřování domény NT k ověření přístupu uživatelů k prostředkům.

Problémy s výkonem

Použití protokolu SMB často korelovalo s významným nárůstem přenos provoz v síti. Samotný SMB však nevyužívá vysílání - problémy s vysíláním běžně spojené s SMB ve skutečnosti pocházejí z NetBIOS protokol o umístění služby.[je zapotřebí objasnění ] Ve výchozím nastavení a Microsoft Windows NT 4.0 server používal NetBIOS k inzerci a vyhledání služeb. Funkce NetBIOS funguje tak, že vysílají služby dostupné na konkrétním hostiteli v pravidelných intervalech. I když to obvykle umožňuje přijatelné výchozí nastavení v síti s menším počtem hostitelů, zvýšený přenos vysílání může způsobit problémy, protože se zvyšuje počet hostitelů v síti. Implementace infrastruktury pro překlad názvů ve formě Windows Internet Naming Service (WINS) nebo Domain Name System (DNS) tento problém řeší. WINS byla proprietární implementace používaná v sítích Windows NT 4.0, ale přinesla vlastní problémy a složitosti při navrhování a údržbě sítě Microsoft.

Od vydání systému Windows 2000 bylo používání WINS pro překlad názvů společností Microsoft zastaralé a hierarchické Dynamický DNS nyní nakonfigurován jako výchozí protokol rozlišení názvů pro všechny operační systémy Windows. Rozlišení (krátkých) názvů NetBIOS pomocí DNS vyžaduje, aby klient DNS rozšířil krátké názvy, obvykle připojením přípony DNS specifické pro připojení k jeho vyhledávacím dotazům DNS. WINS lze na klientech stále konfigurovat jako sekundární protokol pro překlad názvů pro interoperabilitu se staršími prostředími a aplikacemi Windows. Servery Microsoft DNS mohou dále předávat požadavky na překlad názvů na starší servery WINS, aby podporovaly integraci překladů názvů se staršími prostředími (staršími než Windows 2000), která nepodporují DNS.

Síťoví návrháři našli to latence má významný dopad na výkon protokolu SMB 1.0, že funguje horší než jiné protokoly FTP. Monitorování odhaluje vysoký stupeň „chattiness“ a ignorování latence sítě mezi hostiteli.[18] Například a VPN připojení přes Internet často zavádí latenci sítě. Microsoft vysvětlil, že problémy s výkonem přicházejí primárně proto, že SMB 1.0 je spíše na úrovni bloku než a streamování protokol, který byl původně navržen pro malé LAN; má velikost bloku omezenou na 64 kB, podepisování SMB vytváří další režii a Velikost okna TCP není optimalizován pro WAN odkazy.[41] Řešení tohoto problému zahrnuje aktualizovaný protokol SMB 2.0,[42] Soubory offline, Škálování okna TCP a Zrychlení WAN zařízení od různých prodejců sítě, která ukládají do mezipaměti a optimalizují SMB 1.0[43] a 2.0.[44]

Úpravy společnosti Microsoft

Microsoft přidal několik rozšíření k vlastní implementaci SMB. Například to přidalo NTLM, následovaný ověřovacími protokoly NTLMv2, aby se vyřešila slabá stránka zabezpečení v originálu Ověřování LAN Manager. Ověřování LAN Manager bylo implementováno na základě požadavku původní starší SMB specifikace na používání hesel IBM „LAN Manager“, ale implementováno DES v vadným způsobem což umožnilo prolomení hesel.[45] Později, Kerberos přidáno také ověřování. The NT 4.0 doména původně používané protokoly pro přihlášení 40bitové šifrování mimo Spojené státy, kvůli omezením exportu při silnějším 128bitovém šifrování[46] (následně zrušen v roce 1996, kdy prezident Bill clinton podepsaný Výkonná objednávka 13026[47]). Podpora oportunistického zamykání se s každým vydáním serveru změnila.

Samba

V roce 1991 Andrew Tridgell zahájila vývoj společnosti Samba, a svobodný software re-implementace (pomocí reverzní inženýrství ) síťového protokolu SMB / CIFS pro Unixový systémy, zpočátku implementovat SMB server, aby umožnil PC klientům provozovat DEC Pathworks klient pro přístup k souborům na SunOS stroje.[9][48] Z důvodu důležitosti protokolu SMB při interakci s rozšířeným Microsoft Windows platforma, Samba se stala populární svobodný software implementace kompatibilního SMB klienta a serveru umožňující operační systémy jiné než Windows, jako např Unixový operačních systémů pro spolupráci s Windows.

Od verze 3 (2003) poskytuje Samba souborové a tiskové služby pro klienty Microsoft Windows a může se integrovat s Windows NT 4.0 doména serveru, buď jako Primární řadič domény (PDC) nebo jako člen domény. Instalace Samba4 mohou fungovat jako Aktivní adresář řadič domény nebo členský server, v doméně Windows 2008 a les funkční úrovně.[49]

Správci balíčků v distribucích Linuxu mohou vyhledávat cifs-utils balík. Balíček je od správců Samba.

Netsmb

NSMB (Netsmb a SMBFS) je rodina SMB klienta a serveru v jádře[Citace je zapotřebí ] implementace v operačních systémech BSD. Poprvé do FreeBSD 4.4 přispěl Boris Popov a nyní se nachází v celé řadě dalších systémů BSD včetně NetBSD a Operační Systém Mac.[50] Implementace se od té doby významně rozcházely.[51]

Verze NSMB pro macOS je pozoruhodná pro své nyní běžné schéma reprezentace symbolických odkazů. Tento formát „Minshall-French“ zobrazuje symbolické odkazy jako textové soubory s a .symlink prodloužení a Xsym n magické číslo, vždy 1067 bajtů dlouhé. Tento formát se také používá pro ukládání symbolických odkazů na naivních serverech SMB nebo nepodporovaných souborových systémech. Samba podporuje tento formát s mfsymlink volba.[52] Zdá se, že to používá i Docker pro Windows.[Citace je zapotřebí ]

NQ

NQ je rodina přenosných implementací SMB klientů a serverů vyvinutých společností Systémy vizuality, izraelská společnost založená v roce 1998 Samem Widermanem, dříve generálním ředitelem společnosti Siemens Datová komunikace. Rodina NQ zahrnuje vložený zásobník SMB (napsaný v C), klienta Pure Java SMB Client a implementaci úložiště SMB Server. Všechna řešení podporují nejnovější dialekt SMB 3.1.1. NQ pro Linux, NQ pro WinCE „Konfigurovatelné řešení NQ podporuje všechny systémy iOS, Android, VxWorks a další operační systémy v reálném čase.

MoSMB

MoSMB je proprietární implementace SMB pro Linux a další Unixový systémy vyvinuté společností Ryussi Technologies. Podporuje pouze SMB 2.xa SMB 3.x.[53]

Tuxera SMB

Tuxera SMB je proprietární implementace serveru SMB vyvinutá společností Tuxera které lze spustit buď v jádře, nebo uživatelský prostor.[54] Podporuje SMB 3.1.1 a předchozí verze.

Rovněž

Podobně vyvinuli implementaci CIFS / SMB (verze 1.0, 2.0, 2.1 a NFS 3.0) již v roce 2009, která poskytovala multiprotokolovou platformu pro identifikaci identity pro síťový přístup k souborům používaným v úložných produktech OEM postavených na zařízeních se systémem Linux / Unix. Platformu lze použít pro tradiční zařízení NAS, Cloud Gateway a Cloud Caching pro zajištění zabezpečeného přístupu k souborům v síti. Obdobně koupil EMC Isilon v roce 2012.

CIFSD

CIFSD je open-source implementace CIFS / SMB serveru pro jádro Linuxu. Má oproti implementacím v uživatelském prostoru následující výhody: Poskytuje lepší výkon a je snadnější implementovat některé funkce, jako je SMB Direct. Podporuje SMB 3.1.1 a předchozí verze.

Oportunistické zamykání

V protokolu SMB oportunistické zamykání je mechanismus určený ke zlepšení výkonu ovládáním ukládání do mezipaměti síťových souborů klientem.[55] Na rozdíl od tradičních zámky, OpLocks nejsou striktně zamykání souborů nebo slouží k zajištění vzájemného vyloučení.

Existují čtyři typy oportunistických zámků:

Dávkové zámky
Dávkové OpLocks byly původně vytvořeny na podporu konkrétního chování operace provádění dávkového souboru DOS, při které je soubor otevřen a zavřen mnohokrát v krátkém období, což je problém s výkonem. K vyřešení tohoto problému může klient požádat o OpLock typu „batch“. V tomto případě klient odloží odeslání požadavku na uzavření a pokud je zadán následný požadavek na otevření, tyto dva požadavky se navzájem zruší.[56]
Úroveň 1 OpLocks / Exkluzivní zámky
Když se aplikace otevře ve „sdíleném režimu“, soubor hostovaný na serveru SMB, který není otevřen žádným jiným procesem (nebo jinými klienty), klient obdrží exkluzivní OpLock ze serveru. To znamená, že klient nyní může předpokládat, že je to jediný proces s přístupem k tomuto konkrétnímu souboru, a klient může nyní uložit všechny změny souboru do mezipaměti, než jej potvrdí serveru. Jedná se o vylepšení výkonu, protože ke čtení a zápisu do souboru je zapotřebí méně zpáteční cesty. Pokud se jiný klient / proces pokusí otevřít stejný soubor, server odešle zprávu klientovi (tzv. A přestávka nebo odvolání), který zneplatňuje exkluzivní zámek dříve udělený klientovi. Klient poté vyprázdní všechny změny do souboru.
Úroveň 2 OpLocks
Pokud je exkluzivní OpLock držen klientem a uzamčený soubor je otevřen třetí stranou, musí se klient vzdát svého exkluzivního OpLock, aby umožnil přístup pro zápis / čtení druhého klienta. Klient poté může ze serveru obdržet „OpLock úrovně 2“. Úroveň 2 OpLock umožňuje ukládání do mezipaměti požadavků na čtení, ale vylučuje ukládání do mezipaměti.
Filtr OpLocks
Přidané v NT 4.0 jsou Oplocky filtrů podobné OpLockům úrovně 2, ale zabraňují narušení režimu sdílení mezi otevřením souboru a příjmem zámku. Společnost Microsoft doporučuje používat filtr OpLocks pouze tam, kde je důležité povolit více čteček a OpLocks úrovně 2 za jiných okolností.

Klienti, kteří drží OpLock, ve skutečnosti nedrží zámek souboru, místo toho jsou upozorněni prostřednictvím přestávka když chce jiný klient získat přístup k souboru způsobem, který není v souladu s jeho zámkem. Během zpracování přestávky je požadavek druhého klienta pozastaven.

Přestávky
Na rozdíl od „standardního“ chování protokolu SMB může být odeslána žádost o přerušení z serveru na klient. Informuje klienta, že OpLock již není platný. K tomu dochází, například když si jiný klient přeje otevřít soubor způsobem, který zneplatní OpLock. Prvnímu klientovi je poté zaslán konec OpLock a je povinen odeslat všechny jeho místní změny (v případě dávkových nebo exkluzivních OpLocks), pokud existují, a potvrdit konec OpLock. Po tomto potvrzení může server konzistentně odpovídat druhému klientovi.

Bezpečnostní

V průběhu let došlo při implementaci protokolu nebo komponent společnosti Microsoft, na které se přímo spoléhá, ​​k mnoha bezpečnostním zranitelnostem.[57][58] Zranitelnosti zabezpečení jiných dodavatelů spočívají především v nedostatečné podpoře novějších autentizační protokoly jako NTLMv2 a Kerberos ve prospěch protokolů jako NTLMv1, LanMan nebo hesla prostého textu. Sledování útoků v reálném čase[59] ukazuje, že SMB je jedním z primárních útočných vektorů pro pokusy o narušení,[60] například Útok Sony Pictures z roku 2014,[61] a Útok ransomwaru WannaCry roku 2017.[62] V roce 2020 byly zveřejněny a přezdívány dvě vysoce zranitelná místa SMB SMBGhost (CVE-2020-0796 ) a SMBleed (CVE-2020-1206 ), které při zřetězení mohou poskytnout RCE (Remote Code Execution) privilegium pro útočníka.[63]

Specifikace

Specifikace SMB jsou proprietární a byly původně uzavřeny, což nutí další dodavatele a projekty, aby zpětně analyzovali protokol, aby s ním spolupracovali. Protokol SMB 1.0 byl nakonec publikován nějakou dobu poté, co byl zpětně analyzován, zatímco protokol SMB 2.0 byl od počátku zpřístupněn v Microsoft MSDN Open Specification Developer Center.[64] Existuje několik specifikací, které jsou relevantní pro protokol SMB:

  • [MS-CIFS]: Protokol CIFS (Common Internet File System)
    • Určuje protokol Common Internet File System (CIFS), multiplatformní protokol nezávislý na přenosu, který poskytuje mechanismus pro klientské systémy k používání souborových a tiskových služeb poskytovaných serverovými systémy v síti.
  • [MS-SMB]: Protokol blokování zpráv serveru (SMB)
    • Určuje protokol SMB (Server Message Block), který definuje rozšíření stávající specifikace CIFS (Common Internet File System), které společnost Microsoft implementovala od vydání specifikace CIFS.
  • [MS-SMB2]: Server Message Block (SMB) Protocol verze 2 a 3
    • Určuje verze protokolu Server Message Block (SMB) verze 2 a 3, které podporují sdílení souborových a tiskových prostředků mezi stroji a rozšiřují koncepty z protokolu Server Message Block Protocol.
  • [MS-SMBD]: Transportní protokol SMB2 Remote Direct Memory Access (RDMA)
    • Určuje transportní protokol SMB2 Remote Direct Memory Access (RDMA), obal pro stávající protokol SMB2, který umožňuje doručování paketů SMB2 prostřednictvím transportů podporujících RDMA, jako je iWARP nebo Infiniband, při využití možností přímého umístění dat (DDP) těchto transportů. . Mezi výhody patří snížená režie CPU, nižší latence a lepší propustnost.
  • [MS-FSSO]: Přehled systému přístupu k souborovým službám (archivovaný dokument postavení)
    • Popisuje zamýšlenou funkčnost systému File Access Services System, způsob jeho interakce se systémy a aplikacemi, které vyžadují souborové služby, a způsob interakce s administrativními klienty při konfiguraci a správě systému. Služba File Access Services používá pro přístup k souborům a správu souborového serveru více protokolů. Tento dokument uvádí tyto protokoly a popisuje, jak se používají k implementaci systému File Access Services. Přehledy systému jsou nahrazeny novějšími přehledy.

Viz také

Reference

  1. ^ „Společný internetový souborový systém“. Knihovna Microsoft TechNet. Archivováno od originálu 7. července 2017. Citováno 20. srpna 2013.
  2. ^ „Microsoft SMB Protocol a CIFS Protocol Overview“. Knihovna Microsoft MSDN. 25. července 2013. Archivováno od originálu 21. srpna 2013. Citováno 20. srpna 2013.
  3. ^ „Microsoft SMB Protocol a CIFS Protocol Overview“. Microsoft. 22. října 2009. Archivováno od originálu 2. srpna 2016. Citováno 10. dubna 2019.
  4. ^ „Síťové koncepty Lan Manager“. Microsoft. Archivováno od originálu 30. prosince 2012. Citováno 18. září 2014.
  5. ^ "MSKB887429: Přehled podepisování bloků zpráv serveru". společnost Microsoft. 30. listopadu 2007. Archivováno od originálu 20. listopadu 2010. Citováno 24. říjen 2012. Bezpečnostní podpisy (pořadová čísla SMB)
  6. ^ Jesper M. Johansson (8. září 2005). „Jak se střelit do bezpečí, 1. část“. společnost Microsoft. Archivováno od originálu 19. října 2018. Citováno 24. říjen 2012. Tento článek se zabývá podepisováním zpráv [...] Server Message Block (SMB).
  7. ^ "MSKB887429: Přehled podepisování bloků zpráv serveru". společnost Microsoft. 30. listopadu 2007. Archivováno od originálu 20. listopadu 2010. Citováno 24. říjen 2012. Ve výchozím nastavení je pro příchozí relace SMB v řadičích domény se systémem Windows Server 2003 vyžadováno podepisování SMB.
  8. ^ Jose Barreto (1. prosince 2010). „Základy podepisování SMB (pokrývající SMB1 i SMB2)“. Microsoft TechNet Blogy serverů a správy. Archivováno od originálu 2. prosince 2012. Citováno 24. říjen 2012. Tento mechanismus zabezpečení v protokolu SMB pomáhá předcházet problémům, jako je manipulace s pakety a útoky typu „man in the middle“. [...] Podepisování SMB je k dispozici ve všech aktuálně podporovaných verzích systému Windows, ale ve výchozím nastavení je povoleno pouze v řadičích domény. Toto se doporučuje pro řadiče domény, protože SMB je protokol používaný klienty ke stahování informací o zásadách skupiny. Podepisování SMB poskytuje způsob, jak zajistit, aby klient dostával skutečné zásady skupiny.
  9. ^ A b C Tridgell, Andrew. „Mýty o Sambě“. Archivováno od originálu 20. října 2017. Citováno 3. ledna 2016.
  10. ^ „Přímý hosting SMB přes TCP / IP“. Microsoft. 11. října 2007. Archivováno z původního dne 26. března 2011. Citováno 1. listopadu 2009.
  11. ^ Kyttle, Ralph (13. května 2017). „SMB1 - Auditovat aktivní použití pomocí analyzátoru zpráv“. Microsoft TechNet. Microsoft. Archivováno z původního dne 28. března 2019. Citováno 28. března 2019.
  12. ^ „WebNFS - technický přehled“. Archivovány od originál dne 18. května 2007.
  13. ^ * I. Heizer; P. Leach; D. Perry (13. června 1996). „Common Internet File System Protocol (CIFS / 1.0)“. Archivováno z původního 8. srpna 2019. Citováno 10. prosince 2017.
  14. ^ „Ukončení podpory SMB1 - měli byste plánovat zbavení se tohoto starého dialektu SMB - Blog Jose Barreto“. blogs.technet.microsoft.com. Archivováno od originálu 21. května 2017. Citováno 9. října 2019.
  15. ^ „SMBv1 není ve výchozím nastavení nainstalován ve Windows 10 Fall Creators Update a Windows Server, verze 1709 a novějších verzích“. support.microsoft.com. Archivováno od originálu 10. října 2019. Citováno 9. října 2019.
  16. ^ Navjot Virk a Prashanth Prahalad (10. března 2006). „Co je nového v SMB ve Windows Vista“. Chk Vaše Dsks. MSDN. Archivovány od originál 5. května 2006. Citováno 1.května, 2006.
  17. ^ Verze protokolu SMB (Server Message Block) verze 2 a 3. Windows Protocols. Otevřete Specifikace (Technická zpráva). Dokumenty Microsoftu. Microsoft. MS-SMB2. Citováno 29. listopadu 2020.
  18. ^ A b C d E Jose Barreto (9. prosince 2008). „SMB2, kompletní redesign hlavního protokolu vzdáleného souboru pro Windows“. Microsoft TechNet Blogy serverů a správy. Archivovány od originál 3. června 2012. Citováno 1. listopadu 2009.
  19. ^ „Samba 3.5.0 k dispozici ke stažení“. Archivováno z původního 24. července 2011. Citováno 8. července 2011.
  20. ^ „Samba 3.6.0 k dispozici ke stažení“. Archivováno z původního dne 24. září 2011. Citováno 10. srpna 2011.
  21. ^ A b Eran, Daniel (11. června 2013). „Apple přechází ze sdílení souborů AFP na SMB2 v OS X 10.9 Mavericks“. Appleinsider.com. Archivováno od originálu 12. února 2017. Citováno 12. ledna 2014.
  22. ^ Vaughan, Steven J. (28. října 2013). „Problém a opravy Mavericks SMB2“. ZDNet. Archivováno z původního 5. ledna 2014. Citováno 12. ledna 2014.
  23. ^ MacParc. „10.9: Přepnout zásobník SMB tak, aby jako výchozí používal SMB1“. Tipy pro Mac OS X.. macworld.com. Archivováno z původního dne 12. ledna 2014. Citováno 12. ledna 2014.
  24. ^ Topher Kessler (23. března 2011). „Say adios to Samba in OS X“. CNET. Archivováno z původního dne 15. ledna 2014. Citováno 12. ledna 2014.
  25. ^ Thom Holwerda (26. března 2011). „Apple upustil od SAMBA ve prospěch domácí náhrady“. Archivováno od originálu 2. listopadu 2013. Citováno 12. ledna 2014.
  26. ^ „Linux 3.7 - Linux Kernel Newbies“. Archivováno od originálu 11. září 2016. Citováno 4. září 2016.
  27. ^ „Implementace řešení centralizace dat koncového uživatele“. Microsoft. 21. října 2009. s. 10–11. Archivováno od originálu 6. září 2010. Citováno 2. listopadu 2009.
  28. ^ A b C Jeffrey Snover (19. dubna 2012). „SMB 2.2 je nyní SMB 3.0“. Blog Windows Serveru. Citováno 6. července 2020.
  29. ^ Chelsio Communications. „40G SMB Direct“. Archivováno od originálu 7. září 2013. Citováno 18. června 2013.
  30. ^ Jose Barreto (19. října 2012). „Výukový program SNIA k protokolu SMB“ (PDF). Asociace průmyslového úložiště. Archivováno (PDF) od originálu 3. června 2013. Citováno 28. listopadu 2012.
  31. ^ Thomas Pfenning. „Budoucnost souborových protokolů: SMB 2.2 v datovém centru“ (PDF). Archivovány od originál (PDF) 20. července 2012.
  32. ^ Joergensen, Claus (7. června 2012). „SMB Transparent Failover - neustálé zpřístupňování sdílených souborů“. Microsoft TechNet. Archivováno od originálu 11. ledna 2019. Citováno 1. února 2017.
  33. ^ Savill, John (21. srpna 2012). „Nové způsoby, jak zajistit vysokou dostupnost sdílení souborů“. Windows IT Pro. Archivováno z původního dne 27. listopadu 2016. Citováno 1. února 2017.
  34. ^ „Vylepšení zabezpečení SMB“. Microsoft Technet. 15. ledna 2014. Archivováno z původního 9. října 2014. Citováno 18. června 2014.
  35. ^ Jose Barreto (5. května 2013). „Aktualizované odkazy na souborovém serveru Windows Server 2012 a SMB 3.0“. Microsoft TechNet Blogy serverů a správy. Archivováno od originálu 3. srpna 2016. Citováno 14. srpna 2016.
  36. ^ Jose Barreto (7. července 2014). „Aktualizované odkazy na souborovém serveru Windows Server 2012 R2 a SMB 3.02“. Microsoft TechNet Blogy serverů a správy. Archivováno z původního dne 26. srpna 2016. Citováno 14. srpna 2016.
  37. ^ Jose Barreto (12. prosince 2013). „Konference pro vývojáře úložiště - snímky SDC 2013 jsou nyní veřejně dostupné. Zde jsou odkazy na snímky Microsoft…“. Microsoft TechNet Blogy serverů a správy. Archivováno z původního dne 26. srpna 2016. Citováno 14. srpna 2016.
  38. ^ Eric Geier (5. prosince 2013). „WindowsNetworking.com: Vylepšení v aktualizacích protokolu SMB 3.0 a 3.02“. WindowsNetworking.com. Archivováno od originálu 9. dubna 2015. Citováno 6. dubna 2015.
  39. ^ Jose Barreto (5. května 2015). „Co je nového v SMB 3.1.1 v technickém náhledu Windows Server 2016 2“. Microsoft TechNet Blogy serverů a správy. Archivováno od originálu 8. října 2016. Citováno 14. srpna 2016.
  40. ^ Neil Carpenter (26. října 2004). „Výkon SMB / CIFS přes odkazy WAN“. Microsoft. Archivováno z původního 13. února 2020. Citováno 13. února 2020.
  41. ^ „Co je nového v SMB na Windows Serveru“. Microsoft. Archivováno od originálu 11. února 2017. Citováno 6. února 2017.
  42. ^ Mark Rabinovich, Igor Gokhman. „Techniky zrychlení CIFS“ (PDF). Konference vývojářů úložišť, SNIA, Santa Clara 2009. Citováno 6. července 2020.
  43. ^ Mark Rabinovich. „Zrychlení SMB2“ (PDF). Konference vývojářů úložišť, SNIA, Santa Clara 2011. Citováno 6. července 2020.
  44. ^ Christopher Hertel (1999). „SMB: The Server Message Block Protocol“. Archivováno od originálu 10. března 2010. Citováno 1. listopadu 2009.
  45. ^ „Popis Microsoft Windows Encryption Pack 1“. Microsoft. 1. listopadu 2006. Archivováno od originálu 2. října 2009. Citováno 1. listopadu 2009.
  46. ^ „Výkonná objednávka USA 13026“ (PDF). Vláda Spojených států. 1996. Archivováno (PDF) od originálu 10. října 2009. Citováno 1. listopadu 2009.
  47. ^ Tridgell, Andrew (27. června 1997). „Trochu historie a trochu zábavy“. Archivováno z původního dne 17. července 2011. Citováno 26. července 2011.
  48. ^ "Funkční úrovně Samba 4". 25. února 2011. Archivováno z původního dne 29. července 2014. Citováno 12. ledna 2014.
  49. ^ "netsmb (4)". Manuální stránky NetBSD 8.0. Citováno 5. ledna 2020.
  50. ^ nbsd.conf (5) – FreeBSD Formáty souborů Manuál. nbsd.conf (5) - Příručka pro formáty souborů Darwin a macOS.
  51. ^ „UNIX Extensions“. SambaWiki. Archivováno z původního dne 12. června 2020. Citováno 15. března 2020.
  52. ^ Dr. Sunu inženýr. „Budování vysoce škálovatelného a výkonného serveru protokolu SMB“ (PDF). Archivováno (PDF) z původního dne 27. září 2016. Citováno 25. září 2016.
  53. ^ „Microsoft a Tuxera posilují partnerství prostřednictvím serveru Tuxera SMB Server“. Microsoft. Microsoft News Center. Archivováno z původního dne 17. listopadu 2016. Citováno 6. února 2017.
  54. ^ „Oportunistické zámky“. Microsoft. Archivováno z původního 23. října 2012. Citováno 6. listopadu 2012.
  55. ^ Sphere, I.T. (2014), Vše o oportunistickém zamykání, archivováno z původního 13. dubna 2014, vyvoláno 9. dubna 2014
  56. ^ „MS02-070: Chyba v podepisování SMB může umožnit úpravu zásad skupiny“. Microsoft. 1. prosince 2007. Archivováno od originálu 8. října 2009. Citováno 1. listopadu 2009.
  57. ^ „MS09-001: Chyby zabezpečení v protokolu SMB by mohly umožnit vzdálené spuštění kódu“. Microsoft. 13. ledna 2009. Archivováno z původního 5. října 2009. Citováno 1. listopadu 2009.,
  58. ^ „Sicherheitstacho.eu“. Deutsche Telekom. 7. března 2013. Archivováno od originálu 8. března 2013. Citováno 7. března 2013.
  59. ^ „Alert (TA14-353A) Targeted Destructive Malware“. US-CERT. Archivováno z původního dne 20. prosince 2014. Citováno 20. prosince 2014.
  60. ^ „Hackeři společnosti Sony použili červový nástroj SMB (Server Message Block)“. Archivováno z původního dne 20. prosince 2014. Citováno 20. prosince 2014.
  61. ^ „Útok WannaCry Ransomware zasáhne oběti díky Microsoft SMB Exploit“. eTýden. Citováno 13. května 2017.
  62. ^ „Zápis SMBleedingGhost: Řetězení SMBleed (CVE-2020-1206) s SMBGhost“. Blog ZecOps. 9. června 2020. Citováno 19. listopadu 2020.
  63. ^ „Windows Protocols“. Archivováno z původního dne 26. září 2009. Citováno 13. října 2009.

externí odkazy