Qué hacer cuando la información del archivo está en blanco y con SMBv3

Qué hacer cuando la información del archivo está en blanco y con SMBv3

62716
Created On 03/22/19 13:24 PM - Last Modified 05/15/23 09:47 AM


Symptom


Al mirar los registros, el archivo y la información no están disponibles
Registros

Los registros, como Wildfire, Amenaza y Unificado deben mostrar algún tipo de información de archivo.Por lo general, un nombre de archivo, un resumen de archivo y / o URL están disponibles.En algunos casos, si los archivos se transfieren mediante SMBv3, es posible que no se registre parte de la información del archivo. Esto suele deberse a que SMBv3 utiliza transferencias de archivos multicanal.

¿Qué es SMBv3?
SMB 3.0 (Server Message Block 3.0) es un protocolo que proporciona una forma para que las aplicaciones cliente de un equipo lean y escriban en archivos y soliciten servicios de programas de servidor en una red de equipos. SMB 3.0 se introdujo originalmente con Windows Server 2012 como SMB 2.2. Se actualizó a 3.0 para reflejar las adiciones en la nueva versión en comparación con la versión anterior 2.1.

SMB 3.0 (2012)
Debutó en Windows 8 y Windows Server 2012.  Esta versión agregó varias actualizaciones significativas para mejorar la disponibilidad, el rendimiento, la copia de seguridad, la seguridad y la administración. Hubo varias características nuevas notables, incluyendo SMB Multicanal, Directo, conmutación por error transparente del acceso del cliente, Soporte remotoVSS, SMB SMB Cifrado y más.
 
SMB 3.02 (2014)
Introducido en Windows 8.1 y Windows Server 2012 R2. Esta versión incluía actualizaciones de rendimiento y la capacidad de deshabilitar CIFScompletamente el soporte /SMB 1.0, incluida la eliminación de los binarios relacionados.
 
SMB 3.1.1 (2015)
Lanzado con Windows 10 y Windows Server 2016. Esta versión agregó soporte para cifrado avanzado, integridad previa a la autenticación para evitar ataques de intermediario y cercas de dialecto de clúster, entre otras actualizaciones.
 
¿Qué es SMB Multichannel y por qué debería I importarle?
SMB Multicanal es una mejora del protocolo para el uso compartido de archivos de Windows que se encuentra en Windows Server 2012R2 y Windows 8.1 y versiones posteriores. Sin embargo, las mejoras recientes en Windows 10 han hecho que sea más fácil que nunca hacer SMB que funcione Multicanal. Antes de la actualización de Windows 10 de agosto de 2016, Multicanal era sensible a cosas como la presencia del nombre del equipo, con todas las direcciones asociadasIP, SMB en DNS. Windows DNS y DHCP hará esto.Los buenos routers tienen esta capacidad y pfSense también puede hacer esto.
 
También se aplica si tiene adaptadores de 10 gigabits tanto en el cliente como en el servidor.Estos adaptadores de red son tan rápidos que los datos suelen superar lo que un solo CPU núcleo puede seguir. En ese caso, la multicanalidad sigue siendo beneficiosa porque separa el flujo de datos para que varios CPU núcleos puedan ayudar a manejar la carga de trabajo de mover datos.
 
SMB Multicanal está destinado a ser tan fácil como simplemente conectar otra tarjeta de red. No tiene que hacer ninguna configuración de software (aunque esa es la promesa, no es del todo cierto), no requiere un conmutador Ethernet especial ni ninguna configuración en el conmutador, y también reduce CPU simultáneamente el uso.

 
 

Environment


¿En qué entorno se puede encontrar SMBv3?
SMBv3 suele estar en un entorno Windows, pero también se puede encontrar en algunos entornos Linux y Unix. 

Algunas aplicaciones compatibles con SMBv3 Multichannel

CIFSD
CIFSD es un código abierto, en el kernel /SMB servidor creado por Namjae Jeon para el kernel CIFSde Linux. Inicialmente, el objetivo es proporcionar un archivo I/O rendimiento mejorado, pero el objetivo más grande es tener algunas características nuevas que sean mucho más fáciles de desarrollar y mantener dentro del kernel y exponer las capas por completo. Las direcciones se pueden atribuir a las secciones en las que Samba se está moviendo a pocos módulos dentro del kernel para tener características como el acceso directo a la memoria remota (RDMA) para trabajar con la ganancia de rendimiento real.
 
Sistema de archivos de múltiples rutas
El Multi-Protocol File System (MPFS) es un sistema de archivos de red multi-ruta, que es una tecnología desarrollada y vendida por EMC Corporation. MPFS está diseñado para permitir que cientos o miles de nodos de equipos cliente accedan a datos de equipos compartidos con un rendimiento superior al de los protocolos convencionales NAS de uso compartido de archivos, como NFS. consta de un agente en el sistema cliente y un sistema de almacenamiento compatibleNAS. MPFS El agente de cliente divide los datos y metadatos del archivo que se solicita. Esto se hace utilizando un FMP (Protocolo de asignación de archivos). Las solicitudes de los datos y su ubicación se envían de forma convencional NFS al NAS sistema. Los datos de bloque se envían y recuperan directamente desde el dispositivo de almacenamiento mediante iSCSI o Fibre Channel. La recuperación de datos directamente desde el dispositivo de almacenamiento aumenta el rendimiento al eliminar la sobrecarga del sistema de archivos y del protocolo asociada con NFS o SMB.

Cause


Cómo afecta esto a la amenaza
Firewall SMB La compatibilidad ahora incluye SMBv3 (3.0, 3.0.2 y 3.1.1) y tiene capacidades adicionales de detección de amenazas e identificación de archivos, rendimiento y confiabilidad en todas las versiones de SMB. Estas mejoras proporcionan una capa adicional de seguridad para las redes, como las implementaciones de centros de datos, los segmentos de red y las redes internas, al permitir que los archivos transmitidos mediante SMB se reenvíen para WildFire su análisis. Debido a la forma en que SMBv3 multicanal funciona en la división de archivos, los clientes deben deshabilitar el uso de la transferencia de archivos multicanal para obtener la máxima protección e inspección de archivos. Como resultado, Palo Alto Networks recomienda deshabilitar SMB el multicanal a través de Windows PowerShell.

Para obtener más información sobre esta tarea, consulte los siguientes documentos:
El uso de SMBv3 Multichannel puede causar detecciones de falsos positivos, ya firewall que no ve las múltiples secuencias como un archivo, pero ve que se transfieren varios archivos. Esto puede hacer que las firmas se disparen en archivos aleatorios e incluso en la lectura de directorios. Estos PF son extremadamente difíciles de replicar en un laboratorio. Muchos clientes no utilizan un entorno estrictamente Windows. Hay muchas aplicaciones y dispositivos que no son de Windows que utilizan SMBV3 y aún pueden generar problemas.

Resolution


Qué hacer
Puede seguir estos pasos para comprobar que está utilizando SMB Multicanal.

Paso 1: Comprobar la configuración del adaptador de red
Use los siguientes cmdlets de PowerShell para comprobar que tiene varias NIC o para comprobar las capacidades de las RSS RDMA NIC. Ejecutar tanto en el servidor como en el SMB SMB cliente.
  • Get-NetAdapter
  • Get-NetAdapterRSS
  • Get-NetAdapterRDMA
  • Get-NetAdapterHardwareInfo
 
Paso 2: Verificar SMB Configuración
Use los siguientes cmdlets de PowerShell para asegurarse de que SMB Multicanal está habilitado y para confirmar que las NIC están siendo reconocidas correctamente por SMB y que sus RSS capacidades se RDMA están identificando correctamente.

En el SMB cliente, ejecute los siguientes cmdlets de PowerShell:
  • Get-SmbClientConfiguration | Seleccione HabilitarMulticanal
  • Get-SmbClientNetworkInterface
En el SMB servidor, ejecute los siguientes cmdlets de PowerShell:
  • Get-SmbServerConfiguration | Seleccione HabilitarMulticanal
  • Get-SmbServerNetworkInterface
 
Paso 3: Verifique el SMB Conexión
En el cliente, inicie una copia de archivo de ejecución prolongada para crear una sesión duradera con el SMB SMB servidor. Mientras la copia está en curso, abra una ventana de PowerShell y ejecute los siguientes cmdlets para comprobar que la conexión usa la versión correcta de SMB y que SMB Multichannel funciona:
  • Get-SmbConnection
  • Get-SmbMultichannelConnection
  • Get-SmbMultichannelConnection -IncludeNotSelected
 
Instalar
SMB Multicanal está habilitado de forma predeterminada. No es necesario instalar componentes, roles, servicios de rol o características. El SMB cliente detectará y utilizará automáticamente múltiples conexiones de red si se identifica una configuración adecuada.
 
Invalidante
SMB Multicanal está habilitado de forma predeterminada.Para deshabilitar SMB Multicanal, puede usar los siguientes cmdlets de PowerShell.

En el SMB servidor, use los siguientes cmdlets:
  • Set-SmbServerConfiguration -EnableMultiChannel $false
En el lado clienteSMB, use los siguientes cmdlets:
  • Set-SmbClientConfiguration -EnableMultiChannel $false
(NOTE: Deshabilitar la función en el lado del cliente o del servidor evitará que los sistemas la utilicen).

Reactivación
Puede volver a habilitar SMB Multicanal después de deshabilitarlo mediante los cmdlets siguientes.

En el SMB servidor, use los siguientes cmdlets: 
  • Set-SmbServerConfiguration -EnableMultiChannel $true
En el lado clienteSMB, use los siguientes cmdlets:
  • Set-SmbClientConfiguration -EnableMultiChannel $true
(NOTE: Debe habilitar la función tanto en el lado del cliente como en el del servidor para comenzar a usarla nuevamente).
 

Additional Information


Lista de SMB Clientes

y servidores Para obtener una lista completa de los productos que admiten, incluidos SMB clientes, SMB servidores y una lista de protocolos que se extiendenSMBSMB, visite la página de Wikipedia en https://en.wikipedia.org/wiki/List_of_products_that_support_SMB.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boOXCAY&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language