您的位置: 网界网 > 周报全文 > 正文

[周报全文]确保广域文件服务的安全

2007年01月04日 16:26:05 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:在微软公司无所不在的通用互联网文件系统(CIFS)中,最重要的安全条款之一就是服务器消息阻止(SMB)签名。

标签
CIFS
Microsoft
 

在微软公司无所不在的通用互联网文件系统(CIFS)中,最重要的安全条款之一就是服务器消息阻止(SMB)签名。

SMB签名是一种包验证形式。当用户完成基于CIFS应用的验证后,SMB签名可以将数字签名添加到客户端与服务器之间传输的任意一个数据包中。该签名可以验证服务器的身份,确定其是否能够与客户端预期的证书相匹配。如果能够确定每一个接收到的包都来自一个经过验证的来源,那么该签名就可以确保所有通信的完整性。

20.jpg

创建数字签名需要用到一种散列算法,而该算法会明显增加客户端和服务器的计算消耗。微软估计,在一个高速局域网中,这类消耗占用10%15%的资源,但这一层的安全性对于局域网却是非常必要的。

为了实现吞吐量的最大化,许多企业都禁用了CIFSSMB签名功能。有些服务器虽然启用了SMB签名,但并不强制要求使用该方法,也就是说,任何禁用了SMB签名的客户端仍然可以自由通信。

但是在广域网中,情况则大不相同。广域网中的流量很容易受到中间攻击和劫持。最近,由于SmbRelay 等黑客工具的广泛传播,SMB签名再次成为广域文件服务(WAFS)解决方案中的重点,因为SmbRelay 可以实现中间攻击的自动化,对SMB协议造成巨大的威胁。

签名可以保护SMB会话免受劫持和其他形式的篡改,使网络窃听活动无法插入已经建立的会话。由于基于WAFS解决方案能够将CIFS扩展到广域网上, SMB签名被认为是确保基于WAFS解决方案的最佳方式。

企业在实施WAFS解决方案时通常会遇到两个问题:一个是相对于启用而言无法强制性要求SMB签名;另一个是,虽然可以通过强制方式要求使用SMB签名,但会导致会话失败甚至是广域网性能恶化。计算机消耗并不是这些问题的罪魁祸首,问题的根源是一些WAFS无法以完全可逆的方式来压缩或加速带有数字签名的流量。

有些在线网络加速产品完全依靠流量截获技术来实施协议欺骗和包压缩。例如,对SMB签名进行干扰,导致通信不能恢复为原始内容。如果恢复内容中的一个数位发生了改变,则整个散列算法就会受到影响(+微信关注网络世界),从而使数字签名的计算工作无法正常完成。因此,这一级别的产品可能会迫使企业在广域网的安全性和性能之间采取折中的方案。

实施CIFSWAFS方案时还有一种兼容性更好的方法,即采用连接的两端终止CIFS交换的代理。代理可以在局域网的来源处对数字签名进行验证,然后通过广域网传输数据包,最后在目的地重新建一个带SMB签名的CIFS会话。当然,基于代理的解决方案,必须确保通过网络传输的数据包经过签名、加密或者两者兼备,从而保证SMB签名的安全性能。

对于那些部署WAFS应用的企业来说,代理方法非常适用,因为这种方法可以保持与其他CIFS安全和完整性能的兼容。这些性能包括握手验证、共享层保护和分布式文件锁定、读/写缓存等。由于可以支持微软CIFS的基本模式,因此企业根本不需要为了提高广域网的性能而牺牲其安全性。(美国《Network World》供本报专稿)

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]