Ho un sistema eterogeneo (sia MS che * nix) che comunica con CIFS / SMB. Come posso garantire una corretta crittografia dei dati a livello di applicazione?
Se si trova nel "livello applicazione", viene eseguito dalle applicazioni, su quali applicazioni vedono, ovvero i file. In altre parole, le applicazioni devono scegliere un formato comune per i file crittografati. Prendi in considerazione il formato OpenPGP come punto di partenza e GnuPG come libreria opensource e utility da riga di comando che conosce questo formato. Devi ancora decidere quale tipo di modello di sicurezza desideri applicare; una semplice chiave comune condivisa tra le applicazioni installate pertinenti potrebbe essere sufficiente o meno, a seconda di cosa si sta tentando di fare (la crittografia è come la medicina, non è una cosa che può essere applicata genericamente ovunque, ci sono dettagli). / p>
Se, d'altra parte, desideri che le applicazioni stesse siano beatamente inconsapevoli di qualsiasi crittografia, in modo tale che le applicazioni vedano solo un "normale" CIFS / SMB che viene crittografato sotto il cofano, quindi, per definizione, questo non è crittografia "a livello di applicazione" ma in qualche altro livello più profondo. Suggerisco di utilizzare una VPN . IPsec è un protocollo di sicurezza che aggiunge funzionalità di tipo VPN a IP e che molti sistemi operativi implementano (incluso Windows e simile a Unix non preistorico). Una VPN sarà buona se il tuo modello di sicurezza previsto riguarda gli attaccanti che spiano le linee di comunicazione tra le macchine coinvolte; non sarà di aiuto nel caso di file condivisi se anche la macchina su cui sono fisicamente ospitati i file è potenzialmente ostile.
Usa Samba 3.3.x + e imposta server signing = [auto|mandatory|disabled]
nella sezione Globale (disabilitata per impostazione predefinita). Livello di condivisione La crittografia SMB è automatica per impostazione predefinita. Questo è stato testato con WinXP / Win7 e AIX 5.3 con Samba 3.6.7. La crittografia SMB è diventata disponibile in Samba 3.2 ma la firma del server non è stata visualizzata fino al 3.3. Questi sono necessari per i client Win7 configurati per le raccomandazioni di sicurezza di Microsoft (NTLMv2 e crittografia a 128 bit).
Vedi: link
Sebbene tu possa averlo capito, stavo cercando le stesse informazioni e avrei potuto trovare qualcosa di più utile. Ciò che si cerca è "trasporto di rete crittografato" ed è disponibile in Samba poiché versione 3.2 (almeno) .
Purtroppo, è difficile trovare il modo di impostarlo osservando i documenti (anche il Wiki di Samba non sembra avere informazioni su di esso), ma un modo per farlo è usare -e
opzione per smbclient
. Potresti avere più fortuna a trovare dettagli su come montare una condivisione Samba usando la crittografia, ma finora non sono stato in grado (immagino che abbia più a che fare con la configurazione del server che con la configurazione del client).
Questa pagina sulla crittografia del trasporto SMB in Windows potrebbe essere utile.
Leggi altre domande sui tag windows encryption unix network