17 メッセージ
0
1394
UnityのCIFS/SM1.0について
2021年2月のMicrosoftの更新プログラムの影響でMicrosoftのSecureRPCに対応していないUnityが認証サーバにはじかれる事象が発生していると思います。この問題に関してはOEをアップデートすれば解消されるかと思いますが、この問題により、知識の浅い私は他のことが気になり始めて掲題の質問をした次第です。
以下、ほぼ素人の私が思う素朴な疑問です。大変恐縮ですがご回答いただけると幸いです。
・Unityで使用しているCIFS/SMB1.0そのものに脆弱性はないのか?
・CIFS/SMB1.0は安全なのか?
・Unityにかぎらず外部ストレージのNASといえばCIFSが当たり前で他に選択はないのか?
・SecureRPC機能とCIFSの話は別で、SecureRPC機能が追加されればCIFSでも安全なのか?
・UnityのCIFS/SMB1.0自体のバージョンアップみたいなものはあるのか?
・WindowsではSMBのバージョンアップが進み1.0を標準サポートしていないがUnityは何故1.0のままなのか?
お手数ですが何卒宜しくお願い致します。
Uehara Y.
Community Manager
Community Manager
•
5.1K メッセージ
1
2021年2月18日 23:00
はい。プールからNAS(CIFS)用のファイルシステムを作成した時点で、SMB1.0、2.0、3.0、3.02、3.1.1を自動選択するような形で作成されます。
はい。その通りです!
Uehara Y.
Community Manager
Community Manager
•
5.1K メッセージ
1
2021年2月18日 16:00
(SMB1.0の仕様はマイクロソフトが策定しているために、この2つの質問は同じ回答とさせてください)
SMB1.0は脆弱性があるために、安全であると言うことは残念ながら出来ません。
既にサポートも終了しているようなWindows OSが利用していたプロトコルということもあり、今後それらの脆弱性が修正される見込みもありません。。
そうですね。Windows系のクライアントであればCIFS、Unix系であればNFSというのがNASで主に利用されているプロトコルです。
(NASの概念を広くとると、HTTP/HTTPSプロトコルを利用するWebDAVや、オブジェクトストレージにAPIを経由してアクセスするものなども入れてもいいかもしれません)
SecureRPCはWindows端末等のクライアントもしくはNASからのActive Directoryとの認証処理の話で、CIFSはクライアントとNAS間でのデータアクセスの話なので別と考えることができます。
従いまして、SecureRPCが追加されていてもCIFSの脆弱性が全て解決するというようなことはありません。
今後マイクロソフト社がSMB1.0の仕様を追加/変更することは考えにくいので、SMB1.0のバージョンアップは無いでしょう。
ただし、Dell EMC UnityはSMB1.0に加えてSMB2.0、3.0、3.02、3.1.1に対応しているので、どうしても気になる場合には念のためにSMB1.0の機能をDisableにして利用をして頂くということが現実的な気がします。
「念のために」と書いているのは、基本的にWindowsクライアントがSMBを利用したアクセスを行う場合には、最初にNASとの間でネゴシエーションを行い、お互い利用できるものの中で一番高いSMBのバージョンを利用するためです。
そのためにWindows 2003やWindows XPより後のWindows端末であればSMB2.0以上が自動で選択されて利用されることになります。
【参考】
KB14763-VNX/Unity/VNXe/eNAS : How to disable/avoid SMB1 support on the Storage Array
friedokra
17 メッセージ
0
2021年2月18日 17:00
大変わかりやすい回答をいただきありがとうございます。よく理解できました。
>ただし、Dell EMC UnityはSMB1.0に加えてSMB2.0、3.0、3.02、3.1.1に対応しているので、どうしても気に>なる場合には念のためにSMB1.0の機能をDisableにして利用をして頂くということが現実的な気がします。
>「念のために」と書いているのは、基本的にWindowsクライアントがSMBを利用したアクセスを行う場合に>は、最初にNASとの間でネゴシエーションを行い、お互い利用できるものの中で一番高いSMBのバージョン>を利用するためです。
>そのためにWindows 2003やWindows XPより後のWindows端末であればSMB2.0以上が自動で選択されて利>用されることになります。
もう一つ質問なのですが、UnityのNAS用プールを作成した際、プールのSharing Protocolsは、SMB1.0に固定されることはなく、SMB1.0、2.0、3.0、3.02、3.1.1を自動選択するような形で作成されるのでしょうか?
使用されるSharing Protocolsは、接続元となるクライアントに依存するため、クライアントが古いものでなければ特段気にしなくてもいいレベルで、心配なら無効化してしまえばよいということでしょうか。
自分は、勝手にUnityのSharing Protocolsは、CIFS/SMB1.0に固定され他は選択できないものと間違った理解をしていました。
friedokra
17 メッセージ
0
2021年2月19日 00:00
素晴しく迅速な対応をして頂きありがとうございました。大変助かりました。今後ともよろしくお願いいたします。