Я ищу способы шифрования трафика данных Microsoft SMB между клиентом и сервером Windows или файловым устройством. Речь идет не о шифровании аутентификации, а о фактической передаче данных.
Является ли IPSec от клиента к серверу Windows моим единственным вариантом?
Windows Server 2012 включает новую опцию транспортного шифрования SMB (3.0). http://blogs.technet.com/b/filecab/archive/2012/05/03/smb-3-security-enhancements-in-windows-server-2012.aspx
CIFS / SMB не имеет опций шифрования на уровне протокола, как SMBv2, поэтому вы застряли в инкапсуляции трафика в зашифрованном конверте. Что на практике означает какой-то VPN. Будь то IPSEC, SSL, PPTP.
В Интернете есть расплывчатые ссылки на CIFS / SMB, TLS или SSL, но ничего очевидного и не от Microsoft, поэтому я предполагаю, что это не все возможное, обычное, простое или все три.
В этом случае, если вы не можете зашифровать протокол, вам придется использовать шифрование на более низком уровне, что означает VPN в той или иной форме. IPSec - это только один способ. Вы можете использовать зашифрованный туннель pptp или что-то подобное.
Если вы не говорите о добавлении в смесь других компьютеров или программного обеспечения, тогда да, IPsec или встроенная функция VPN в Windows - единственный встроенный способ шифрования трафика CIFS / SMB между компьютером Windows Server и клиентом. .
Очевидно, что вы можете установить аппаратные устройства шифрования между клиентом и сервером (VPN-шлюзы, маршрутизаторы, использующие туннели IPsec и т. Д.). Вы также можете установить стороннее программное обеспечение VPN на клиент и / или сервер. Вы можете делать все, что захотите: инкапсулировать, зашифровать или иным образом нарезать и нарезать пакеты, когда они находятся на проводе, до тех пор, пока они не дойдут до серверного компьютера, они декапсулируются, расшифровываются и склеиваются. Вернуться вместе.
Простое решение - создать прозрачный SSL-туннель с станнель установив клиента на все конечные точки
Что касается Windows 2012 и SMB 3.0, теперь поддерживается шифрование. Но по умолчанию отключено. Вы можете активировать его:
Чтобы включить шифрование для отдельного общего ресурса, запустите на сервере следующее:
Set-SmbShare –Name <sharename> -EncryptData $true
Чтобы создать новый общий ресурс с включенным шифрованием:
New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true
Чтобы включить шифрование для всего сервера, запустите на сервере следующее:
Set-SmbServerConfiguration –EncryptData $true
Помните, что клиенты, не поддерживающие SMB3 (до Windows 8), не смогут подключиться с использованием этой версии протокола.