Menentukan SMB dan pertimbangan keamanannya

  • 15 menit

Mengelola kolaborasi dan berbagi data adalah bagian penting dari tanggung jawab administrator TI. Untuk memenuhi tanggung jawab ini, akan sangat membantu untuk memahami teknologi yang berfungsi sebagai dasar untuk berbagi file Windows, seperti protokol Server Message Block (SMB).

Apa itu SMB?

SMB adalah protokol berbagi file jaringan berbasis TCP/IP yang memungkinkan aplikasi di komputer untuk membaca dan menulis ke file, dan untuk meminta layanan dari program server di jaringan komputer. Menggunakan protokol SMB, aplikasi (atau pengguna aplikasi) dapat mengakses file atau sumber daya lain di server jauh. Ini memungkinkan aplikasi untuk membaca, membuat, dan memperbarui file di server jauh.

Apa keuntungan dari SMB 3.x?

Microsoft mengembangkan Server Message Block (SMB) pada 1980-an. Spesifikasi asli, SMB 1, bandwidth tidak efisien dan tidak memiliki tingkat keamanan yang memadai. Versi SMB berikutnya mengatasi kekurangan ini melalui fitur-fitur seperti enkripsi built-in, SMB Multichannel, dan SMB Direct.

SMB 2.0, yang diperkenalkan Microsoft di Windows Server 2008, menawarkan peningkatan kinerja yang berarti, namun, tidak mengatasi tantangan keamanan secara signifikan.

SMB 3.0, yang diperkenalkan Microsoft di Windows Server 2012, menyertakan fitur berikut:

  • Kegagalan Transparan SMB. Fitur ini memungkinkan Anda untuk melakukan pemeliharaan perangkat keras atau perangkat lunak dari node di server file berkerumun tanpa mengganggu aplikasi server yang menyimpan data pada file yang dibagikan.
  • Skala Keluar UKM. Dalam konfigurasi kluster, Anda dapat membuat berbagi file yang menyediakan akses simultan ke file data, dengan input/output langsung (I/O), melalui semua node dalam kluster server file.
  • Enkripsi SMB. Fitur ini menyediakan enkripsi ujung-ke-ujung data SMB pada jaringan yang tidak tepercaya, dan membantu melindungi data dari penyadapan.
  • Perintah Windows PowerShell untuk mengelola SMB. Anda dapat mengelola pembagian file di server file, ujung ke ujung, dari baris perintah.
  • SMB Multisaluran. Fitur ini memungkinkan Anda untuk menggabungkan bandwidth jaringan dan toleransi kesalahan jaringan jika beberapa jalur tersedia antara klien dan server SMB 3.x.
  • SMB Langsung. Fitur ini mendukung adaptor jaringan yang memiliki kemampuan Remote Direct Memory Access (RDMA) dan dapat bekerja dengan kecepatan penuh dengan latensi yang sangat rendah dan dengan menggunakan waktu pemrosesan unit pemrosesan pusat (CPU) yang sangat sedikit.

SMB 3.1.1, yang diperkenalkan Microsoft di Windows Server 2016, menawarkan beberapa peningkatan tambahan, termasuk:

  • Integritas pra-autentikasi. Integritas pra-autentikasi memberikan perlindungan yang lebih baik dari serangan man-in-the-middle yang mungkin merusak pembentukan dan autentikasi pesan koneksi SMB.
  • Peningkatan Enkripsi SMB. Enkripsi SMB, diperkenalkan dengan SMB 3.0, menggunakan algoritma kriptografi tetap, AES-128-CCM. Namun, AES-128-GCM, tersedia dengan SMB 3.1.1 berkinerja lebih baik dengan sebagian besar prosesor modern.
  • Penghapusan Pengaturan RequireSecureNegotiate. Karena beberapa implementasi SMB pihak ketiga tidak melakukan negosiasi ini dengan benar, Microsoft menyediakan sakelar untuk menonaktifkan Negosiasi Aman. Namun, default untuk server dan klien SMB 3.1.1 adalah menggunakan integritas pra-autentikasi, seperti yang dijelaskan sebelumnya.

Apa kasus penggunaan yang paling umum dari peningkatan kinerja SMB 3.x?

SMB Direct dan SMB Multichannel memungkinkan Anda untuk menerapkan penyimpanan yang hemat biaya, tersedia terus-menerus, dan berkinerja tinggi untuk aplikasi server di server file. SMB Multisaluran dan SMB Langsung diaktifkan secara default di Windows Server. Anda dapat menggunakan beberapa koneksi jaringan secara bersamaan dengan SMB Multichannel, yang meningkatkan kinerja berbagi file secara keseluruhan. SMB Langsung memastikan bahwa beberapa adapter jaringan dapat mengoordinasikan transfer data dalam jumlah besar dengan kecepatan saluran sambil menggunakan siklus CPU yang lebih sedikit.

Berbagi file berbasis SMB Direct dan SMB Multichannel memberikan alternatif untuk menyimpan file di perangkat Internet Small Computer System Interface (iSCSI) atau Fibre Channel storage area network (SAN). Saat membuat VM di Hyper-V di Windows Server, Anda dapat menentukan berbagi jaringan saat memilih lokasi VM dan lokasi hard disk virtual. Anda juga dapat melampirkan disk yang disimpan di file share SMB 3.x. Dengan menggunakan pendekatan ini, Anda dapat mencapai ketersediaan tinggi bukan dengan mengelompokkan node Microsoft Hyper-V, tetapi dengan menggunakan server file berkerumun yang menghosting file VM pada file yang dibagikan. Ini disebut sebagai Server File Scale-Out. Dengan kemampuan ini, Hyper-V dapat menyimpan semua file VM, termasuk file konfigurasi, file .vhd, dan pos pemeriksaan pada file share SMB yang sangat tersedia.

Catatan

Pagar Dialek Kluster, tersedia mulai dari SMB 3.1.1, menyediakan dukungan untuk pemutakhiran kluster antara versi sistem operasi berurutan untuk Server file Scale-Out.