Come posso garantire la crittografia dei dati sulla trasmissione Samba su sistemi * NIX?

18

Ho un sistema eterogeneo (sia MS che * nix) che comunica con CIFS / SMB. Come posso garantire una corretta crittografia dei dati a livello di applicazione?

    
posta dalimama 23.11.2011 - 14:57
fonte

3 risposte

4

Se si trova nel "livello applicazione", viene eseguito dalle applicazioni, su quali applicazioni vedono, ovvero i file. In altre parole, le applicazioni devono scegliere un formato comune per i file crittografati. Prendi in considerazione il formato OpenPGP come punto di partenza e GnuPG come libreria opensource e utility da riga di comando che conosce questo formato. Devi ancora decidere quale tipo di modello di sicurezza desideri applicare; una semplice chiave comune condivisa tra le applicazioni installate pertinenti potrebbe essere sufficiente o meno, a seconda di cosa si sta tentando di fare (la crittografia è come la medicina, non è una cosa che può essere applicata genericamente ovunque, ci sono dettagli). / p>

Se, d'altra parte, desideri che le applicazioni stesse siano beatamente inconsapevoli di qualsiasi crittografia, in modo tale che le applicazioni vedano solo un "normale" CIFS / SMB che viene crittografato sotto il cofano, quindi, per definizione, questo non è crittografia "a livello di applicazione" ma in qualche altro livello più profondo. Suggerisco di utilizzare una VPN . IPsec è un protocollo di sicurezza che aggiunge funzionalità di tipo VPN a IP e che molti sistemi operativi implementano (incluso Windows e simile a Unix non preistorico). Una VPN sarà buona se il tuo modello di sicurezza previsto riguarda gli attaccanti che spiano le linee di comunicazione tra le macchine coinvolte; non sarà di aiuto nel caso di file condivisi se anche la macchina su cui sono fisicamente ospitati i file è potenzialmente ostile.

    
risposta data 24.11.2011 - 22:00
fonte
10

Usa Samba 3.3.x + e imposta server signing = [auto|mandatory|disabled] nella sezione Globale (disabilitata per impostazione predefinita). Livello di condivisione La crittografia SMB è automatica per impostazione predefinita. Questo è stato testato con WinXP / Win7 e AIX 5.3 con Samba 3.6.7. La crittografia SMB è diventata disponibile in Samba 3.2 ma la firma del server non è stata visualizzata fino al 3.3. Questi sono necessari per i client Win7 configurati per le raccomandazioni di sicurezza di Microsoft (NTLMv2 e crittografia a 128 bit).

Vedi: link

    
risposta data 13.09.2012 - 13:51
fonte
2

Sebbene tu possa averlo capito, stavo cercando le stesse informazioni e avrei potuto trovare qualcosa di più utile. Ciò che si cerca è "trasporto di rete crittografato" ed è disponibile in Samba poiché versione 3.2 (almeno) .

Purtroppo, è difficile trovare il modo di impostarlo osservando i documenti (anche il Wiki di Samba non sembra avere informazioni su di esso), ma un modo per farlo è usare -e opzione per smbclient . Potresti avere più fortuna a trovare dettagli su come montare una condivisione Samba usando la crittografia, ma finora non sono stato in grado (immagino che abbia più a che fare con la configurazione del server che con la configurazione del client).

Anche

Questa pagina sulla crittografia del trasporto SMB in Windows potrebbe essere utile.

    
risposta data 18.01.2013 - 05:28
fonte

Leggi altre domande sui tag