1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.ITALIAN

  • adottare tecniche di crittografia per proteggere i dati (in transito e

    From Piviul@21:1/5 to All on Mon Nov 11 09:00:02 2024
    Ciao a tutti, negli ultimi tempi, sempre più pressantemente, viene
    richiesto che anche in LAN non solo l'autenticazione ma anche l'accesso
    ai dati avvenga in modo criptato. La comunicazione che vedo dura
    criptare è la comunicazione fra client windows e server samba. Vedo che
    da win11 24H2 e windows server 2025 è stato aggiunto il supporto ma per
    chi ha ha un server samba c'è qualche luce all'orizzonte? Dobbiamo
    aspettare che venga inserito il supporto in samba o secondo voi esiste
    già qualche workaround per ottenere una comunicazione criptata fra
    client windows e server samba?

    Grazie

    Paolo

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From mauro morichi@21:1/5 to All on Mon Nov 11 10:40:01 2024
    Il 11/11/24 08:50, Piviul ha scritto:
    Ciao a tutti, negli ultimi tempi, sempre più pressantemente, viene
    richiesto che anche in LAN non solo l'autenticazione ma anche
    l'accesso ai dati avvenga in modo criptato. La comunicazione che vedo
    dura criptare è la comunicazione fra client windows e server samba.
    Vedo che da win11 24H2 e windows server 2025 è stato aggiunto il
    supporto ma per chi ha ha un server samba c'è qualche luce
    all'orizzonte? Dobbiamo aspettare che venga inserito il supporto in
    samba o secondo voi esiste già qualche workaround per ottenere una comunicazione criptata fra client windows e server samba?


    E' un po' che non metto su server samba, ma mi pareva che il problema
    fosse gia' risolto.

    Cercando velocemente, ho trovato questi riferimenti di serverfault che
    riporta a documentazione samba dove il problema è gia' implementato:

    https://serverfault.com/questions/657942/encrypting-smb-traffic-with-samba

    https://www.samba.org/samba/docs/current/man-html/smb.conf.5.html

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Piviul@21:1/5 to Gerlos on Tue Nov 12 16:40:01 2024
    On 11/11/24 10:59, Gerlos wrote:

    Il 11/11/24 08:50, Piviul ha scritto:
    Ciao a tutti, negli ultimi tempi, sempre più pressantemente, viene
    richiesto che anche in LAN non solo l'autenticazione ma anche
    l'accesso ai dati avvenga in modo criptato. La comunicazione che vedo
    dura criptare è la comunicazione fra client windows e server samba.
    Vedo che da win11 24H2 e windows server 2025 è stato aggiunto il
    supporto ma per chi ha ha un server samba c'è qualche luce
    all'orizzonte? Dobbiamo aspettare che venga inserito il supporto in
    samba o secondo voi esiste già qualche workaround per ottenere una
    comunicazione criptata fra client windows e server samba?


    Ciao, ammetto che non mi ero posto il problema finora, ma ricordo di
    aver visto l'opzione "server smb encrypt" da qualche parte e guardando
    sul man di smb.conf[1] mi sembra di capire che il supporto ci sia già, almeno da samba 4.1 (su stable c'è samba 4.17).

    Fa al caso tuo?

    molto interessante quindi quel che ho letto qua[¹] non riguarda la
    criptazione del canale ma solo la firma, tanto meglio. Ho provato ad
    abilitare server smb encrypt su qualche share e sembra andar tutto bene
    ma... come faccio a sapere se il traffico è criptato o meno?

    Piviul


    [¹] https://learn.microsoft.com/en-us/windows-server/storage/file-server/smb-security-hardening

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Marco Gaiarin@21:1/5 to All on Tue Nov 12 21:50:01 2024
    Mandi! Piviul
    In chel di` si favelave...

    ai dati avvenga in modo criptato. La comunicazione che vedo dura
    criptare è la comunicazione fra client windows e server samba. Vedo che

    No, già ora tutte le comunicazini tra client e domain controller sono già cifrate; il problema è che a quanto ricordo è la stessa microsoft che sconsiglia di cifrare tutto il traffico per questioni prestazionali...

    Io cercherei di affrontare il problema in altro modo...

    --

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Piviul@21:1/5 to Marco Gaiarin on Wed Nov 13 09:00:01 2024
    This is a multi-part message in MIME format.
    On 11/12/24 18:56, Marco Gaiarin wrote:
    [...]
    No, già ora tutte le comunicazini tra client e domain controller sono già cifrate; il problema è che a quanto ricordo è la stessa microsoft che sconsiglia di cifrare tutto il traffico per questioni prestazionali...

    In effetti ho controllato con wireshark e con "server smb encrypt" il
    traffico (almeno quello SMB2) è criptato. Avresti un riferimento sul decadimento delle performance?


    Io cercherei di affrontare il problema in altro modo...

    ...mi fai incuriosire, tipo?

    Piviul

    <!DOCTYPE html>
    <html>
    <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    </head>
    <body>
    <div class="moz-cite-prefix">On 11/12/24 18:56, Marco Gaiarin wrote:<br>
    </div>
    <blockquote type="cite"
    cite="mid:[email protected]">[...]<span
    style="white-space: pre-wrap">
    </span>
    <pre class="moz-quote-pre" wrap="">No, già ora tutte le comunicazini tra client e domain controller sono già
    cifrate; il problema è che a quanto ricordo è la stessa microsoft che sconsiglia di cifrare tutto il traffico per questioni prestazionali...</pre>
    </blockquote>
    <p>In effetti ho controllato con wireshark e con "server smb
    encrypt" il traffico (almeno quello SMB2) è criptato. Avresti un
    riferimento sul decadimento delle performance?</p>
    <p><br>
    </p>
    <blockquote type="cite"
    cite="mid:[email protected]">
    <pre class="moz-quote-pre" wrap="">Io cercherei di affrontare il problema in altro modo...</pre>
    </blockquote>
    <p>...mi fai incuriosire, tipo?</p>
    <p>Piviul<br>
    </p>
    </body>
    </html>

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Davide Prina@21:1/5 to All on Sun Nov 17 11:30:01 2024
    Piviul ha scritto:

    Marco Gaiarin wrote:

    Io cercherei di affrontare il problema in altro modo...

    ...mi fai incuriosire, tipo?

    un metodo potrebbe essere quello di crearsi una rete Service Mesh.
    Sarà poi il Service Mesh ad occuparsi della cifratura del canale,
    mentre tutti i servizi comunicano in chiaro, ma solo in localhost.
    Inoltre puoi scegliere il tipo di cifratura, hai il rinnovo
    automatico dei certificati[¹], puoi anche usarla per l'autorizzazione ed eliminare i firewall, può fare anche da bilanciatore, discovery, ... Normalmente funzionano su molti livelli ISO/OSI e quindi può essere
    usata per quasi tutto.

    Tieni conto che vari Service Mesh sono previsti solo per ambienti
    container, altri invece sono misti.

    Ti do un esempio con alcuni strumenti che potrebbero essere collegati:
    * service mesh: https://github.com/OpenHotPot/hotpot
    * cassaforte/CA: https://openbao.org/
    * Nomad is a simple and flexible workload orchestrator to deploy:
    https://github.com/OpenNood/nood
    * code as a service: https://opentofu.org/

    Ciao
    Davide

    [¹] non so se avete visto la proposta di far scadere tutti i certificati
    dopo 3-4 mesi, proposta capeggiata da Apple.
     
    --
    La mia privacy non è affar tuo
    https://noyb.eu/it
    - You do not have my permission to use this email to train an AI -
    If you use this to train your AI than you accept to distribute under AGPL license >= 3.0 all the model trained, all the source you have used to
    training your model and all the source of the program that use that model

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Marco Gaiarin@21:1/5 to All on Wed Nov 20 23:20:01 2024
    Mandi! Piviul
    In chel di` si favelave...

    traffico (almeno quello SMB2) è criptato. Avresti un riferimento sul decadimento delle performance?

    No, ho cercato ma non trovato. Scusa.


    Io cercherei di affrontare il problema in altro modo...
    ...mi fai incuriosire, tipo?

    Anche cambiare approccio. Stile separare le cose che vanno criptate di
    sicuro e metterle su altro (esempio: istanza nextcloud).

    --

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)