在微软无处不在的公共互联网文件系统中,最重要的安全规定之一是服务器消息阻止签名。
SMB签名是包认证的一种形式。cifs应用的用户通过认证后,SMB签名会在客户端和客户端之间传输的报文中添加一个数字签名服务器.签名验证服务器的身份与客户机期望的凭据匹配,反之亦然。通过验证每个收到的数据包来自一个经过认证的源,签名确保了所有通信的完整性。
用于创建数字签名的哈希算法给客户端和服务器增加了明显的计算开销。在高速局域网在美国,微软估计这一费用为10%到15%。但是这一层安全在局域网中被认为是不必要的,为了最大化吞吐量,许多组织禁用了CIFS的SMB签名特性。或者服务器可能启用了SMB签名但不是必需的,这意味着任何禁用SMB签名的客户机仍然可以通信。
情况是不同的湾然而,网络流量很容易受到中间人攻击和劫持。最近,随着一种名为SmbRelay的黑客工具的广泛使用,使用广域文件服务(WAFS)解决方案进行SMB签名的需求日益增加,该工具可以自动对SMB协议进行中间人攻击。
签名通过防止网络窃听将自己插入到已建立的会话中来防止SMB会话被劫持和其他篡改。因此,SMB签名应该被视为保护跨WAN扩展CIFS的基于wafs的解决方案的最佳实践。
企业在使用WAFS解决方案时经常遇到两个问题。第一个是它们没有要求(而不是仅仅启用)SMB签名。第二个问题发生在需要SMB签名之后,随后会出现会话失败和/或WAN性能差。计算开销不是这里的罪魁祸首。相反,这个问题是由于一些WAFS解决方案无法以完全可逆的方式压缩或加速数字签名流量造成的。
例如,完全依赖于流量拦截技术来实现协议欺骗和包压缩的内联网络加速产品可能会干扰SMB签名,因为它们不会将有效负载恢复到其精确的原始内容。仅仅一个位的变化就会改变计算数字签名的哈希算法的结果。因此,这类产品可能迫使组织在广域网之间进行权衡安全和性能。
为CIFS实现WAFS的一种更兼容的方法是使用代理来终止连接两端的CIFS交换。代理在局域网的源端处理数字签名的验证,在广域网上传输数据包,然后在目的地用SMB签名重新建立CIFS会话。当然,基于代理的解决方案必须确保经过广域网的信息包经过签名或加密(或两者同时进行),以保持SMB签名提供的安全性。
通过维护与其他CIFS安全性和完整性特性的兼容性,代理方法还使部署WAFS设备的企业受益。这些特性包括带有挑战-响应握手的身份验证、共享级保护和分布式文件锁定、读写缓存以及日志记录和恢复功能。通过支持微软本地模式的CIFS,企业无需牺牲广域网的安全性来提高广域网的性能。
城市(maurban@packeteer.com)是加州库比蒂诺Packeteer公司的产品营销总监。
了解更多关于这个主题的信息
扩展网络增加了对WAFS的支持08/03/05
Juniper对WAFS加速的看法04/06/06
WAFS试图缓解在广域网上运行流行应用程序的问题11/01/05