Tengo un sistema heterogéneo (tanto MS como * nix) que se comunica con CIFS / SMB. ¿Cómo puedo garantizar el cifrado de datos adecuado en la capa de aplicación?
Si está en la "capa de aplicación", entonces las aplicaciones lo hacen, en qué aplicaciones ven, es decir, los archivos. En otras palabras, las aplicaciones deben elegir un formato común para los archivos cifrados. Considere formato OpenPGP como punto de partida, y GnuPG como una biblioteca de código abierto y una utilidad de línea de comandos que conoce este formato. Todavía tiene que decidir qué tipo de modelo de seguridad desea aplicar; una simple clave común compartida entre las aplicaciones instaladas relevantes podría ser suficiente, o no, dependiendo de lo que esté tratando de hacer (el cifrado es como un medicamento, no es una sola cosa que se pueda aplicar genéricamente en todas partes; hay detalles). / p>
Si, por otro lado, le gustaría que las propias aplicaciones no tengan conocimiento de ningún cifrado, de modo que las aplicaciones solo vean un CIFS / SMB "normal" que se encripta bajo el capó, entonces, por definición, esto no es cifrado "en la capa de aplicación" sino en alguna otra capa más profunda. Sugiero usar una VPN . IPsec es un protocolo de seguridad que agrega funciones de tipo VPN a IP, y que muchos sistemas operativos implementan (incluyendo Windows y Unix no prehistórico-como). Una VPN será buena si su modelo de seguridad previsto trata sobre atacantes que espían las líneas de comunicación entre las máquinas involucradas; no ayudará en el caso de archivos compartidos si la máquina en la que se alojan físicamente los archivos también es potencialmente hostil.
Use Samba 3.3.x + y establezca server signing = [auto|mandatory|disabled] en la sección Global (deshabilitado por defecto). El cifrado SMB de nivel compartido es automático de forma predeterminada. Esto se ha probado con WinXP / Win7 y AIX 5.3 ejecutando Samba 3.6.7. El cifrado SMB estuvo disponible en Samba 3.2 pero la firma del servidor no apareció hasta 3.3. Estos son necesarios para los clientes Win7 configurados según las recomendaciones de seguridad de Microsoft (NTLMv2 y cifrado de 128 bits).
Ver: enlace
Aunque es posible que haya descubierto esto, estaba buscando la misma información y podría haber encontrado algo más útil. Lo que parece que está buscando es "transporte de red cifrado", y está disponible en Samba desde versión 3.2 (al menos) .
Lamentablemente, es muy difícil saber cómo configurar esto mirando los documentos (incluso el Wiki de Samba no parece tener información al respecto), pero una forma de hacerlo es usando -e Opción para smbclient . Es posible que tenga más suerte al encontrar detalles sobre cómo montar un recurso compartido de Samba utilizando el cifrado, pero hasta ahora no he podido (creo que tiene más que ver con la configuración del servidor que con la configuración del cliente).
Esta página sobre el cifrado de transporte SMB en Windows también puede ser útil.
Lea otras preguntas en las etiquetas encryption network windows unix