Bundesamt für Sicherheit in der Informationstechnik

M 4.334 SMB Message Signing und Samba

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Samba unterstützt in der Version 3 Server Message Block (SMB) Message Signing. Beim SMB Message Signing wird jedem Paket eine Signatur hinzugefügt. So weiß der Client, dass das Paket vom richtigen Server stammt und der Server, dass ein Paket vom richtigen Client stammt. Ohne SMB Message Signing ist das SMB-Protokoll anfällig für Man-in-the-Middle-Angriffe. Microsoft unterstützt SMB Message Signing seit Microsoft Windows NT 4.0 Service Pack 3 (SP3) and Microsoft Windows 98.

Der Konfigurationsparameter "client signing" ist auf "auto" voreingestellt, während "server signing" auf "disabled" voreingestellt ist. Diese Voreinstellungen in smb.conf decken sich weitestgehend mit denen der Microsoft Betriebssysteme (nachzulesen im Microsoft Knowledge Base Article #887429). Folgende Unterschiede sind zu beachten:

  • Windows 2000 in der Rolle als Domain Controller (DC) aktiviert SMB Message Signing für den Server Service.
  • Windows 2003 in der Rolle als Domänencontroller setzt SMB Message Signing für den Server Service voraus.

Microsoft hat SMB Message Signing standardmäßig nur auf Domänencontrollern aktiviert, da SMB Message Signing einen deutlichen negativen Einfluss auf die Performance hat. Beim Übertragen kleiner Datenmengen können die Performanceeinbußen in der Regel vernachlässigt werden. Werden große Datenmengen übertragen, kann sich die Performance in manchen Situationen bis um die Hälfte reduzieren.

Es wird empfohlen, den Vorgaben von Microsoft zu folgen, sofern dies nicht im Widerspruch zu den existierenden Sicherheitsrichtlinien im Informationsverbund steht. Wird Samba als Domänencontroller eingesetzt, so sollte "server signing = yes" in der Konfigurationsdatei smb.conf gesetzt werden. Wird Samba hingegen exklusiv als Dateiserver eingesetzt, so sollte die Standardeinstellung beibehalten werden.

Prüffragen:

  • Ist SMB Message Signing bei Samba in Abstimmung mit den geltenden Sicherheitsrichtlinien des Informationsverbundes umgesetzt?

  • Wird SMB Message Signing verwendet, falls Samba in der Rolle als Domänencontroller eingesetzt wird?

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK