NAS SMB1 ről , SMB2 SMB3?

Sziasztok,

 

A hálózatunkban nincs win szerver se egyéb más jelentős eszköz. Összesen ami említésre méltó az 1 rúter , 3 switch , és 2 NAS. A NAS jelenleg SMB1-et használ , viszont a közeljövőben át szeretnénk térni SMB2-re vagy 3-ra.

Ennek a menete annyi lesz majd, hogy csak átállítom a NAS-on hogy ne SMB1 -et használjon hanem SMB2-t és ennyi ? Vagy ezzel még további teendő? A másik amin elgondolkoztam hogy vannak adatbázisaink programokhoz, amik szintén a NASon vannak. Ha SMB2 lesz akkor ezek az adatbázisok megbolondulnak majd , vagy minden simán fog működni?

Én egyébként azt gondolom , ahogy egy új gépnél sem kell semmit sem átállítani amikor beüzemelem a hálózatba , így itt sem lesz gond , pláne hogy ez modernebb.

A fő kérdés igazából az lenne hogy csinált-e már valaki ilyen átállást, és okozott-e bármi féle problémát , vagy egyáltalán be kellett-e állítani valamit a gépeken ehhez?

Illetve ti mit ajánlanátok , SMB2 vagy SMB3-at ?

Hozzászólások

amit minden eszkoz tamogat es abbol a legnagyobbat

neked aztan fura humorod van...

"A másik amin elgondolkoztam hogy vannak adatbázisaink programokhoz, amik szintén a NASon vannak. Ha SMB2 lesz akkor ezek az adatbázisok megbolondulnak majd , vagy minden simán fog működni?": ha ezek rendes adatbázisok, azaz nem a fájlt nyitogatja az összes kliens, hanem TCP-n szólítja meg a program, akkor nem lesz gond. Milyen adatbázis? Access vagy mssql?

"A fő kérdés igazából az lenne hogy csinált-e már valaki ilyen átállást, és okozott-e bármi féle problémát?": ez azután derül ki, hogy átállítottad. És várjuk a fejleményeket...

A NAS mint specifikáció, nagyjából annyi mintha azt mondanád hogy "élelmiszer üzlet". Egyébként sosem volt a kezemben sem ilyen, a kis soho szervereken pedig magam állítottam ezeket. Az SMB1 -et már csak komoly veszekedések árán lehet visszacsalni a windows 10 kliensekbe csoda, hogy eddig tűrted.

Az adatbázisok egy ravasz és fogós kérdés, és szintén "élelmiszer üzlet". Valamilyen SQL? Már nem tudom hány éve gond van a régi jól bevált adatbázisokkal a rekord zárolások miatt, a komolyabbak mind valamilyen "database engine" használ, ami a multi user séget biztosítja (a legegyszerűbb, kézenfekvőbb az SQL).

* Én egy indián vagyok. Minden indián hazudik.

MFP-s nyomtatók ha vannak, nézd meg hogy viszik-e az smb2-t.

Én egyébként azt gondolom , ahogy egy új gépnél sem kell semmit sem átállítani amikor beüzemelem a hálózatba , így itt sem lesz gond , pláne hogy ez modernebb.

Biztos, hogy SMB 1 megy ott? Win klienseknél jó ideje az új gép beállítása állítgatós lett volna, mert SMB 1.0-only szerverrel szóba se állt volna.

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Szia , köszi a választ.

 

Igen sajnos az megy. És jól mondod , tart egy kis ideig mire ráerőszakolom az smb1-et. Ezzel a kis szövegrésszel (amire hivatkozol) arra akartam utalni, hogy az SMB1 egy elavult hitelesítés , viszont kb 3-4 beállítás kell hogy tetszen a gépnek. A kérdés pedig az lett volna hogy a windows gépeken vannak e olyan előkészületek amik kellenek ahhoz hogy egyáltalán lássa a szervert ha azon smb2 van? Nyomtatók ugyanezek. Amint felteszek egyet a hálózatra , még programot se kell telepíteni. A jövőben vajon lesz ezzel is gond ?

Nekem úgy tűnik, hogy a visszaállítás után az smb1 kliens marad, csak a tallózás áll meg (a szolgáltatás melletti pipa bent marad, az IP-címmmel hivatkozott, felcsatolt mappák is elérhetők (mondjuk az nem tudom, hogy hányas smb..))

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

ne SMB1 -et használjon hanem SMB2-t és ennyi ? Vagy ezzel még további teendő?

Hát, bizonyos funkciókat az SMB1 tudott utoljára, ezekről "le kell szokni". Pl.: password nélküli userrel bejelentkezés, "hálózat tallózás".

Ha jól emlékszem, azzal indokolták a guest mód kivezetését, hogy nem tudja a protokoll a MIM elleni védelmet, ha nincs jelszó. Nekem ebből az jött le, hogy fix, közismert jelszóval sem tudhatja... ergó ha jót akarsz, akkor nyilvános dolgok publikálására inkább HTTPS-t kéne használni.

Az SMBv2 is tudja, csak le van tiltva a guest logon (https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking…) [mondjuk ezt pont megértem, lassan egy évtizede van bármilyen kenyérpiritón elfutó ingyen AD, inkább legyen az és jól beállított authn/authz és security...]

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

jól beállított authn/authz és security

Oké. Hogyan adsz egy önmagát telepítő gépnek jelszót, amivel az úgymond "jól beállított" security keretében hozzáfér azokhoz a fájlokhoz, amiket amúgy egy pw nélküli HTTPS szerverre is felrakhatnék? A kiindulási alap, hogy a gép előtt nem ül senki, aki jelszót gépelhetne be, tehát hálózatról kell kapnia mindent - ezt a jelszót is! Én ugyanis csak olyan megoldásokat látok, ahol ez a jelszó kvázi nyilvános lesz... na és akkor hol van itt a security?

Tedd fel egy pw nélküli HTTPS szerverre? Kicsit más a scope-ja a két protokollnak azért, az SMB egy "picivel" több, mint egy HTTP...

Egy megfelelő authn/authz megoldás erre: a computer accountot használod, aminek tudhatod a jelszavát egy reset után (mivel úgyis új telepítés, a régi account úgyis felül lesz csapva). Innentől annyi, hogy elindítod a telepítőkörnyezetet, kitalálod, hogy milyen nevet kapjon a gép (mondjuk reverse DNS alapján, de akár a MAC - gépnév összerendeléseket bedobálhatod a telepítő image-be is), megpróbálsz autholni a machine account nevével és default jelszóval (úgy emlékszem, szintén a gép SAMAccountName-je). Ha tudsz, öröm-bódottá, hozzáférsz a share-hez és van egy accountod, amivel be tudod léptetni a gépet a tartományba (ahonnan van rendes machine accountod, ugye), gyakorlatilag visszavezetted a jelszót egy MAC címre. Ha nem tudsz, kilépsz és nem telepíted. És a teljes kontroll nálad van, mert csak akkor tudsz a default jelszavú machine password-del autholni, ha előtte te (vagy valamilyen automatizáció, teszem azt a PXE konfig behúzásakor a webszerveren futó script) resetelte a machine jelszót, vagyis a jelszó csak a reset és a domain join közti időben nyilvános.

(szerk.: ha meg igazán perverz vagy, a PXE környezetből fel tudod csatolni a telepített rendszer registry-jét, abból ki tudod olvasni az érvényes számítógépfiók jelszót, pass-the-hashel tudsz autholni azzal, így egyáltalán nincs nyilvános jelszó... és csak a legelső telepítésnél kell bepötyögnöd a saját usered...)

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

az SMB egy "picivel" több, mint egy HTTP...

Arról beszélek, hogy van olyan use-case, amire a HTTP pont elég, az SMB viszont nemhogy nem tud többet, de még pont ezt sem tudja (tehát kevesebbet tud).

és csak a legelső telepítésnél kell bepötyögnöd a saját usered...)

Nem érted a use-case-t. A legelső telepítésről beszélünk, amikor a gépen még semmi sincs. Bootol a gép PXE-ről, és minden információ, amivel a gép rendelkezni tud, az a PXE booton (és valamilyen pw nélküli hálózati protokollon) keresztül kell eljusson a gépre. Mert a PXE-n bebootolt WinPE fogja az első Windowst telepíteni - és már ehhez a telepítéshez is ugye kéne a Windows telepítő, ami meg egy SMB share-ről kéne jöjjön, amihez a guest mód nélküli világban kéne egy jelszót, amit valahogy el kellene neki juttatni. Természetesen meg lehet ezt oldani, de ez a jelszó egészen biztosan nem lesz "titkos", azaz ennyi erővel tulajdonképpen üres string is lehetne.

El is olvastad, amit írtam? Kiragadtál egy utólagos megjegyzésből egy részt, ami arra a specifikus esetre vonatkozik (amikor is a futó Win PE rendszerrel kikukázád a telepített rendszer által használt credentialt).

Bootol a gép PXE-ről, és minden információ, amivel a gép rendelkezni tud, az a PXE booton (és valamilyen pw nélküli hálózati protokollon) keresztül kell eljusson a gépre.

Ok, nézzük azt a megoldást, amikor még a DHCP serverbe egy reservationt is lusta felvinni az admin, semmit nem tudunk a gépről, de azonnal telepíteni és domainbe léptetni akarjuk (én meg bármikor odasétálok a laptopommal és egy domainbe léptetett géppel sétálok el, mert security...). DHCP szerver hook, generálsz egy random számítógépnevet (amit a telepítő is generálna, mert ugye semmit nem tudunk a gépről, tehát MININT-L0F4SZ lenne a gépnév), a kiosztott IP-hez megcsinálja rá a DNS forward és reverse bejegyzést, és létrehozza a machine account-ot a default jelszóval. Innentől ugyanaz, mint fenn, az egyszer használatos credentialt gyakorlatilag out-of-band (DNS-en keresztül) juttatod el a gépre.

De ezen a szinten akkor elgondolkodhatunk azon, hogy van-e különbség egy OOB one-time jelszó, egy fix jelszó használata és a guest használata között, ha boldog-boldogtalannak kiadod az OOB OTP-t, akkor az ég világon semmi, de nem is beszélhetünk már biztonságról, mert nem azonosítottad az eszközt.

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

kikukázád a telepített rendszer által használt credentialt

Oké, értem, elmagyaráztad, hogy ha már volt egyszer azon a gépen (és azon diszken!) egy telepítés, akkor a reinstall már biztonságos módon megoldható, feltéve, hogy nem egy félresikerült telepítés volt az előző, és olvasható a diszk. De én arról a use-case-ről beszélek, amikor nincs meglévő, stabil "identitása" a gépnek. Azaz nincs korábbi telepített rendszer, ahonnan valamit ki lehet olvasni. Mert mondjuk új a diszk, vagy csak szimplán reciklált egy másik gépből, vagy konkrétan a gép is teljesen új, tehát a legelső telepítésről van szó.

Innen indulunk, ezt az esetet kell tudni kezelni (és ha ezt kezeltük, akkor valójában a reinstallt is kezeltük).

semmit nem tudunk a gépről

Dehogynem. A gépről tudunk, fel van véve a DHCP szerverbe (nincs is dinamikus címosztás), kiosztott neve is van neki. Az admin ahhoz "lusta", hogy odamenjen a géphez, és az OOB infót eljuttassa oda. Ezért cserébe elviseli, hogy más is elérheti mindazon infókat, amik a települő gépnek elérhetőek, és ennek keretében akár a domainbe is be tudja magát varázsolni valaki, ha nagyon rágyúr (kihúzza az egyik gépet, felveszi a MAC addresst, stb).

és létrehozza a machine account-ot a default jelszóval. Innentől ugyanaz, mint fenn, az egyszer használatos credentialt gyakorlatilag out-of-band (DNS-en keresztül) juttatod el a gépre

Hát ugye ebben az esetben ez a default jelszó valójában publikus, hiszen a gép neve is publikus, legfeljebb az algorimust nem ismeri valaki a transzformációhoz, de az meg a security by obscurity szintje, amit egy hardkódolt fix default jelszóval (mondjuk legyen üres string, és akkor meg is érkeztünk a guest módhoz) még egyszerűbben meg lehet ugrani.

de nem is beszélhetünk már biztonságról, mert nem azonosítottad az eszközt

Dehát valójában tényleg nem tudom azonosítani az eszközt! Ez az alfája és az omegája a problémának. És ezzel alapvetően nincs is akkora nagy bajom, azzal van, hogy az MS szerint ennél lehet jobbat csinálni, ezért legyek szíves nem használni a guest módot...

Hát ugye ebben az esetben ez a default jelszó valójában publikus, hiszen a gép neve is publikus,

És a jelszó élettartama kb. 5 perc (az account reset és a domainbe lépés között ismert kizárólag más által)

[szerk.: ha meg ezt is meg akarod kerülni, akkor továbbra is betehetsz egy random generált jelszót a Win PE wim-be amikor adott gép kéri és beállíthatod arra a machine PW-t, akkor még arra az időre sem ismert]

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)