Microsoft SMB(CIFS)トラフィックを暗号化する唯一の方法はIPSecですか?
Microsoft SMBクライアントとWindowsサーバーまたはファイラーアプライアンス間のデータトラフィックを暗号化する方法を探しています。これは、認証の暗号化ではなく、実際のデータ転送に関するものです。
クライアントからWindowsServerへのIPSecは私の唯一の選択肢ですか?
CIFS/SMBには、SMBv2の時点でプロトコルレベルの暗号化オプションがないため、暗号化されたエンベロープにトラフィックをカプセル化することに固執しています。これは実際には、ある種のVPNを意味します。 IPSEC、SSL、PPTPなど。
Windows Server 2012には、新しいSMB(3.0)トランスポート暗号化オプションが含まれています。 http://blogs.technet.com/b/filecab/archive/2012/05/03/smb -3-security-enhancements-in-windows-server-2012.aspx
インターネット上にTLSまたはSSLのCIFS/SMBへの漠然とした言及がありますが、Microsoftからではなく、明白なものは何もないので、それがすべて可能、一般的、簡単、または3つすべてではないと思います。
その場合、プロトコルを暗号化できない場合は、より低いレベルで暗号化を行う必要があります。これは、何らかの形式のVPNを意味します。 IPSecは1つの方法にすぎません。暗号化されたpptpトンネルまたは同様のものを使用できます。
Windows2012およびSMB 3.0では、暗号化がサポートされるようになりました。ただし、デフォルトでは無効になっています。アクティブ化できます:
個々の共有の暗号化を有効にするには、サーバーで次を実行します。
Set-SmbShare –Name <sharename> -EncryptData $true
暗号化をオンにして新しい共有を作成するには:
New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true
サーバー全体の暗号化を有効にするには、サーバーで次を実行します。
Set-SmbServerConfiguration –EncryptData $true
SMB3(Windows 8より前)をサポートしていないクライアントは、このバージョンのプロトコルを使用して接続できないことに注意してください。
他のコンピューターやソフトウェアをミックスに追加することについて話しているのでなければ、そうです、IPsecまたはWindowsの組み込みVPN機能は、WindowsServerコンピューターとクライアント間のCIFS/SMBトラフィックを暗号化する唯一の組み込み方法です。 。
明らかに、クライアントとサーバーの間にハードウェアベースの暗号化デバイス(VPNゲートウェイ、IPsecトンネルを実行するルーターなど)を固定することができます。サードパーティのVPNソフトウェアをクライアントやサーバーにインストールすることもできます。パケットがネットワークに接続されたら、カプセル化解除、復号化、および接着されているサーバーコンピュータに到達するまでに、パケットをカプセル化、暗号化、またはその他の方法でスライスアンドダイスすることができます。一緒に戻って。
簡単な解決策は、すべてのエンドポイントにクライアントをインストールすることにより、 stunnel で透過的なSSLトンネルを作成することです。