Que faire lorsque les informations de fichier sont vides et utilisent SMBv3
Symptom
Lorsque vous consultez le fichier de journaux et que les informations ne sont pas disponibles
Les journaux, tels que Wildfire, Menace et Unifié doivent tous afficher une sorte d’informations sur les fichiers.Habituellement, un nom de fichier, un résumé de fichier et / ou URL sont disponibles.Dans certains cas, si les fichiers sont transférés à l’aide de SMBv3, certaines informations sur les fichiers peuvent ne pas être enregistrées. Cela est généralement dû au fait que SMBv3 utilise des transferts de fichiers multicanaux.
Qu’est-ce que SMBv3 ?
SMB 3.0 (Server Message Block 3.0) est un protocole qui permet aux applications clientes d'un ordinateur de lire et d'écrire dans des fichiers et de demander des services à partir de programmes serveur dans un réseau informatique. SMB 3.0 a été introduit à l’origine avec Windows Server 2012 en tant que SMB 2.2. Il a été mis à jour vers la version 3.0 pour refléter les ajouts dans la nouvelle version par rapport à la version précédente 2.1.
SMB 3.0 (2012)
Lancé dans Windows 8 et Windows Server 2012. Cette version a ajouté plusieurs mises à niveau importantes pour améliorer la disponibilité, les performances, la sauvegarde, la sécurité et la gestion. Il y avait plusieurs nouvelles fonctionnalités remarquables, y compris SMB Multicanal, Direct, basculement transparent de l’accès client, support à distanceVSS, cryptage, SMB SMB etc.
SMB 3,02 (2014)
Introduit dans Windows 8.1 et Windows Server 2012 R2. Cette version incluait des mises à jour de performances et la possibilité de désactiver CIFScomplètement le support /SMB 1.0, y compris la suppression des binaires associés.
SMB 3.1.1 (2015)
Publié avec Windows 10 et Windows Server 2016. Cette version a ajouté la prise en charge du chiffrement avancé, de l’intégrité de la pré-authentification pour empêcher les attaques de l’homme du milieu et de la clôture du dialecte de cluster, entre autres mises à jour.
Qu’est-ce SMB que le multicanal et pourquoi s’en soucier I ?
SMB Multichannel est une amélioration du protocole du partage de fichiers Windows qui se trouve sur Windows Server 2012R2 et Windows 8.1 et versions ultérieures. Cependant, les récentes améliorations apportées à Windows 10 ont rendu plus facile que jamais le SMB fonctionnement multicanal. Avant la mise à jour Windows 10 d’août 2016, Multichannel était sensible à des éléments tels que le nom de la machine présent, avec toutes les adresses associéesIP, SMB dans DNS. Windows DNS et DHCP le fera.Les bons routeurs ont cette capacité et pfSense peut le faire aussi.
Il s’applique également si vous avez des cartes 10 gigabits dans le client et le serveur.Ces cartes réseau sont si rapides que les données dépassent généralement ce qu’un seul CPU cœur peut suivre. Dans ce cas, le multicanal offre toujours un avantage car il sépare le flux de données afin que plusieurs CPU cœurs puissent aider à gérer la charge de travail liée au déplacement des données.
SMB Le multicanal est censé être aussi simple que de simplement brancher une autre carte réseau. Vous n'avez pas besoin de faire de configuration logicielle (bien que ce soit la promesse, ce n'est pas tout à fait vrai), cela ne nécessite pas de commutateur Ethernet spécial ou de configuration sur le commutateur, et cela réduit simultanément l CPU 'utilisation.
Environment
Quel environnement peut-on trouver SMBv3 ?
SMBv3 est généralement dans un environnement Windows, mais il peut également être trouvé dans certains environnements Linux et Unix.
Certaines applications prises en charge utilisant SMBv3 Multichannel
CIFSD
CIFSD est un open-source, dans le noyau /SMB serveur créé par Namjae Jeon pour le noyau CIFSLinux. Initialement, l’objectif est de fournir un fichier I/O performance amélioré, mais le plus grand objectif est d’avoir de nouvelles fonctionnalités qui sont beaucoup plus faciles à développer et à maintenir à l’intérieur du noyau et d’exposer complètement les couches. Les directions peuvent être attribuées aux sections où Samba se déplace vers quelques modules à l’intérieur du noyau pour avoir des fonctionnalités telles que Remote Direct Memory Access (RDMA) pour fonctionner avec un gain de performance réel.
Système de fichiers à chemins multiples
Le Multi-Protocol File System estMPFS un système de fichiers réseau à chemins multiples, développé et vendu par EMC Corporation. MPFS est destiné à permettre à des centaines, voire à des milliers de nœuds d’ordinateurs clients d’accéder à des données informatiques partagées avec des performances supérieures à celles des protocoles de partage de fichiers conventionnels NAS tels que NFS. se compose d’un agent sur le système client et d’un système de stockage compatibleNAS. MPFS L’agent client fractionne les données et les métadonnées du fichier demandé. Cela se fait à l’aide d’un FMP (File Mapping Protocol). Les demandes de données et de leur emplacement sont envoyées par voie conventionnelle NFS NAS au système. Les données de bloc sont envoyées et récupérées directement à partir du périphérique de stockage via iSCSI ou Fibre Channel. La récupération des données directement à partir du périphérique de stockage augmente les performances en éliminant la surcharge du système de fichiers et du protocole associés à NFS ou SMB.
Cause
Comment cela affecte la menace
Firewall SMB la prise en charge inclut désormais SMBv3 (3.0, 3.0.2 et 3.1.1) et dispose de capacités supplémentaires de détection des menaces et d’identification des fichiers, de performances et de fiabilité sur toutes les versions de SMB. Ces améliorations fournissent une couche de sécurité supplémentaire pour les réseaux, tels que les déploiements de centres de données, les segments de réseau et les réseaux internes, en permettant le transfert WildFire des fichiers transmis à l’aide SMB pour analyse. En raison de la façon dont SMBv3 multicanal fonctionne dans le fractionnement des fichiers, les clients doivent désactiver l’utilisation du transfert de fichiers multicanal pour une protection et une inspection maximales des fichiers. Par conséquent, Palo Alto Networks recommande de désactiver le SMB multicanal via Windows PowerShell.
Pour plus d’informations sur cette tâche, veuillez consulter les documents suivants :
L’utilisation de SMBv3 Multichannel peut provoquer des détections de faux positifs, car le firewall ne voit pas les flux multiples comme un seul fichier, mais il voit plusieurs fichiers transférés. Cela peut provoquer le déclenchement des signatures sur des fichiers aléatoires et même la lecture de répertoires. Ces PF sont extrêmement difficiles à reproduire en laboratoire. De nombreux clients n’utilisent pas un environnement strictement Windows. Il existe de nombreuses applications et appliances non-Windows qui utilisent SMBV3 et peuvent encore générer des problèmes.
Resolution
Que faire
Vous pouvez utiliser les étapes suivantes pour vérifier que vous utilisez SMB Multichannel.
Étape 1 : Vérifier la configuration
de la carte réseau Utilisez les applets de commande PowerShell suivantes pour vérifier que vous disposez de plusieurs cartes réseau et/ou pour vérifier les RSS RDMA fonctionnalités et des cartes réseau. Exécuter sur le serveur et le SMB SMB client.
- Get-NetAdapter
- Get-NetAdapterRSS
- Get-NetAdapterRDMA
- Get-NetAdapterHardwareInfo
Étape 2 : Vérifier SMB Configuration
Utilisez les applets de commande PowerShell suivantes pour vous assurer que le multicanal est activé et pour confirmer que SMB les cartes réseau sont correctement reconnues par SMB et que leurs RSS RDMA capacités sont correctement identifiées.
Sur le client, exécutez les applets de SMBcommande PowerShell suivantes :
- Get-SmbClientConfiguration | Sélectionnez EnableMultichannel
- Get-SmbClientNetworkInterface
- Get-SmbServerConfiguration | Sélectionnez EnableMultichannel
- Get-SmbServerNetworkInterface
Étape 3 : Vérifiez le SMB Connexion
Sur le client, démarrez une copie de fichier de longue durée pour créer une session durable avec le SMB SMB serveur. Pendant que la copie est en cours, ouvrez une fenêtre PowerShell et exécutez les applets de commande suivantes pour vérifier que la connexion utilise la bonne version de SMB et que SMB Multichannel fonctionne :
- Get-SmbConnection
- Get-SmbMultichannelConnection
- Get-SmbMultichannelConnection -IncludeNotSelected
Installation
SMB Le multicanal est activé par défaut. Il n’est pas nécessaire d’installer des composants, des rôles, des services de rôle ou des fonctionnalités. Le SMB client détectera et utilisera automatiquement plusieurs connexions réseau si une configuration appropriée est identifiée.
Désactivation
SMB Le multicanal est activé par défaut.Pour désactiver SMB Multichannel, vous pouvez utiliser les applets de commande PowerShell suivantes.
Côté serveur, utilisez les applets de SMBcommande suivantes :
- Set-SmbServerConfiguration -EnableMultiChannel $false
- Set-SmbClientConfiguration -EnableMultiChannel$false
Réactivation
Vous pouvez réactiver SMB Multicanal après l’avoir désactivé à l’aide des applets de commande ci-dessous.
Côté serveur, utilisez les applets de SMBcommande suivantes :
- Set-SmbServerConfiguration -EnableMultiChannel$true
- Set-SmbClientConfiguration -EnableMultiChannel $true
Additional Information
Liste des SMB Clients
et serveurs Pour une liste complète des produits qui prennent en charge SMB, y compris SMB les clients, SMB les serveurs et une liste des protocoles qui s’étendent SMB, veuillez visiter la page Wikipedia à https://en.wikipedia.org/wiki/List_of_products_that_support_SMB.