Microsoft ရဲ ့windows service က LAN Manager Server ( server component) မွာေကာ...LAN Manager Client ( Client component) ေတြဖြင့္ထားမယ္ဆိုရင္ဒီ smb protocol ကအလုပ္လုပ္ပါတယ္..port အေနနဲ ့TCP 137 ,139& 445 ကိုသံုးသလို...UDP 137 & 138 ကိုသံုးျပီး send/receive လုပ္ပါတယ္..
စစဆံုးအေနနဲ ့ smb version 1 (windows server 2003 and windows xp)အေနနဲ ့ထြက္လာခဲ့ျပီး ခုေနာက္ပိုင္းေတာ့ samba version 2 ( windows server 2008 and windows 7 ) အတြက္ထုတ္ခဲ့သလု samab version 3 ( windows server 2012 anad windows 8.1) တို ့အတြက္ release လုပ္ေပးထားပါ
တယ္...
ဆိုလိုတာက သင့္စက္က windows 7 ျဖစ္မယ္....သင့္ server က windows server 2018 ျဖစ္မယ္ဆိုရင္ သင့္ စက္ထဲမွာ smb v1 ေကာ...v2 ေကာရိွပါတယ္...တကယ္လို ့သင့္စက္က windows 8.1 တို ့windows server 2012 တို ့ျဖစ္ရင္ smb v1, v2, v3 အစံုရိွပါတယ္..( တကယ္လို ့သင့္စက္က windows 10 ၾကီးျဖစ္မယ္...server က windows server 2016 ျဖစ္ခဲ့မယ္ဆိုရင္ေတာ့ သင့္စက္ကမွာ smb v1, v2,v3.0 အျပင္ v3.1.1 ပါရိွေနမွာျဖစ္ပါတယ္)
smb v1 နဲ ့ v2 & v3 ဘာကြာလဲ ?
smb က cross-platform sharing level application protocol ျဖစ္တဲ့အတြက္သင့္ server ကဘာ os ပဲ ျဖစ္ေနပါေစ....( linux ပဲျဖစ္ျဖစ္...windows ပဲျဖစ္ျဖစ္)....သင့္ client ေတြကလည္း ဘာ os ပဲျဖစ္ေနပါေစ...( linux ပဲျဖစ္ျဖစ္...Mac ပဲျဖစ္ျဖစ္...windows ပဲျဖစျ္ဖစ္)...shares ေတြကို access လုပ္ႏိုင္တယ္...
ဆိုလိုတာကေတာ့ဗ်ာ...သင့္စက္က windows ျဖစ္ေနလို ့linux က data ကိုယူလို ့မရဘူးဆိုတာမ်ိဳးမရိွဘူး..အျပန္အလွန္ sharing လုပ္ႏိုင္တယ္....
smb v1 ဟာ windows server 2003 နဲ ့windows xp ေခတ္တုန္းကေတာ့ အေကာင္းဆံုး shared level application protocol ေပါ့ဗ်ာ...ေနာက္ပိုင္းသူ ့ရဲ ့အားနည္းေတြကိုမြမ္းမံျပီးေတာ့ smb version 2 အျဖစ္အသစ္ထြက္လာခဲ့ပါတယ္... smb v2 မွာပါတဲ့ အဓိက features ေတြကေတာ့
* data ကူးလို ့ရႏိုင္တဲ့ storage files and files handler size ပိုၾကီးလာတယ္...
* Total copying time ကို တြက္ေပးႏိုင္တယ္... speed ဘယ္ေလာက္နဲ ့copy လုပ္လဲသိႏိုင္တယ္
 |
| data copying |
* အျမင္သာဆံုးေျပာရရင္ copy ကို pause လုပ္ေပးႏိုင္တယ္.... ( smb v2 ေကာ..smb v3 ေကာ...smb v1 ကေတာ့ cancel ပဲပါတယ္.. pause မပါပါဘူး...)
 |
| ကူးေနတာကို pause လုပ္ထားႏိုင္တယ္... |
* ေနာက္ဆံုးတစ္ခုကေတာ့ security ေပါ့ဗ်ာ... smb v2 ကဟုိဘက္သည္ဘက္ကူးမယ္ဆိုရင္ end-to-end ecrypted channel တစ္ခုတည္ေဆာက္ျပီးမွ အဲဒီ encrypted channel ကေန data ကူးေစတာဆိုေတာ့....ၾကားကေနျဖတ္ျပီး interception(ခိုးၾကည့္...ခုိးယူတာ) လုပ္လို ့မရဘူးေပါ့...
smb v1 ရဲ ့အားနည္းခ်က္မ်ား
အဓိကကေတာ့ security ပိုင္းေပါ့...OS ေတြ...application protocols ေတြကအသံုးျပဳတာၾကာလာတာနဲ ့အမွ် security holes ေတြျဖစ္တာလာတတ္တာသဘာ၀ပါပဲ...ဒါေၾကာင့္လည္း OS version အသစ္ေတြ...application protocols update version ေတြထုတ္လာၾကရတာပဲေပါ့...
ျပီးခဲ့တဲ့ 2017 ႏွစ္ကုန္ခါနီးတုန္းက ေပၚခဲ့တဲ့ WannaCry and Petya ransomware attacks ဆိုတဲ့ attack ေတြက smb v1 ရဲ ့အားနည္းခ်က္ ...security holes ေတြကေန ျဖစ္လာတာေတြပါပဲ....ဒါေၾကာင့္ Microsoft က smbv1 ေတြသံုးထားတဲ့ windows ေတြအကုန္လံုးကို forcely disable လုပ္ဖို ့ user ေတြကို request လုပ္ထားပါတယ္...
Linux CIFS/SMB sharing server ေတြ... NAS ေတြမွာလည္း အခုဆိုရင္ smb v2 ကိုေရာ smb v3 ကိုပါ support လုပ္လာၾကတာျဖစ္တဲ့အတြက္ ျဖစ္ႏိုင္ရင္သင့္ network ထဲက smb v1 သံုးထားတဲ့ စက္ေတြမွာ smb v1 ကို disable လုပ္သင့္ပါတယ္...
ဒါကေတာ့ synology NAS မွာ smb v2 ကိုေရာ...smb v3 ကိုပါ support လုပ္တာပါ...ကြ်န္ေတာ့္ရဲ ့ linux sharing server မွာလည္း သူက ဒီလို support လုပ္ပါတယ္..ဒီပံုေလးက linux sharing server ရဲ ့configuration မွာကြ်န္ေတာ္ကိုယ္တိုင္ enforced လုပ္ထားတာပါ ....
ကဲ...ကိုယ့္ windows မွာ smb v1 ကိုိ disable လုပ္ခ်င္တယ္ဆိုရင္ေတာ့ control panel ထဲက programs and features ကိုိသြားပါ...( အတိုေကာက္ကေတာ.... windows run box ကေန appwiz.cpl ရိုက္ထည့္လိုက္ပါ)..သင့္စက္ကေတာ့ windows 8.1 ေတာ့ျဖစ္ရမယ္ေပ့ါေနာ္
ပံုထဲက programs and features ေပၚလာရင္ No.1 -Turn windows features on or off ကိုႏွိပ္လိုက္ပါ....ျပီးရင္ 2 မွာျပထားတဲ့ check box ကို အမွန္ျခစ္ျဖဳတ္ျပီး ...OK ေပးလိုက္ပါ ...
ဒီအဆင့္လုပ္ျပီးရင္ေတာ့ သင့္ windows ဟာ security risk မ်ားလြန္းလွတဲ့ smb v1 ကို disable လုပ္ျပီးျပီျဖစ္ပါတယ္... Mirosoft ကေတာ့ သူ ့ရဲ ့ windows 10 fall creator ကိုအသံုးျပဳခိုင္းထားပါတယ္...ဒါေပမယ့္သင့္အေနနဲ ့OS reinstall လုပ္ဖို ့အခက္အခဲရိွတယ္ဆိုရင္ေတာ့ အခုလို smb v1 ကို disable လုပ္ထားပါ... antivirus ေကာင္းေကာင္းသံုးပါ--update လုပ္ scan စစ္ပါ....os update (သို ့) windows update လုပ္ပါ..လို ့အၾကံဳျပဳေရးသားလိုက္ရပါတယ္..
ကိုးကားခ်က္မ်ား...
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010
https://www.us-cert.gov/ncas/current-activity/2017/03/16/Microsoft-SMBv1-Vulnerability
ေလးစားစြာျဖင့္
Phyo Sithu
No comments:
Post a Comment