SMB3 update

" * CIFS: Enable encryption for SMB3 (LP: #1670508)"

Eddig nem volt, bakker?!

( SzBlackY | 2017. 03. 16., cs – 22:13 )

AFAIK ha MS szerverrel beszélgettél, akkor nem, protokoll szinten az SMB 3-ban (Win 8/Win Server 2012) jelent meg, előtte csak (1-nél opcionális, 2-nél [Vista] kötelező) signing volt.
Samba oldalon a 3.2 óta a UNIX extensions részeként volt/lehetett encryption, de ez csak samba-samba (ill. samba-cifs) kommunikációban működött.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

samba != smb
Nem?

Bar ez nekem nem all ossze akkor a fentivel szemben. Mikor tanult meg a samba titkositottan beszelni es akkor most mi a ketto kozott a kulonbseg? Sosem vagtam, h miko cifs, smbfs stb.

Ettol fuggetlenul aki 2000 utan olyan protokolt csinalt, amelyik nem tudott nativan titkositast az mind kapja be.

Ahogy a bevezető postomban volt, a Samba a UNIX extensions keretében (az SMB1-be még tudtak vendor-specifikus dolgokat patkolni) a 3.2 óta tudott encryption-t. Csak ezt az MS soha nem implementálta, úgyhogy csak kompatibilis (Samba utilok és valamivel később a cifs kernel modul) kliensekkel működött.

Aztán az MS az SMB 3-ban (W8/WS2k3) jutott el odáig, hogy kéne protokoll szinten encrypt, öt évvel a Samba után :) Természetesen még véletlenül sem kompatibilisen a korábban létező implementációval.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Mindig zavarban vagyok, amikor a nagyvállalati IT 101-hez kell visszalépni.

Szerintem Te pontosan tudod, hogy nem a titkosítatlan SMB forgalom volt 5 éve az utolsó a nyílt forgalmak sorában a vállalati hálózatokon.
Még a mai nap is ott figyelnek a http-k, self-signed https-ek, telnet-en kommunikáló vastag- és terminálkliensek, titkosítatlan SQL kapcsolatot nyitó kliensek, ftp "file-átadások" stb.

Ha tényleg tudod ezeket, nem fogom fel, miért trollkodsz.
Hiszen a sokféle titkosítatlan, gyakran fájdalmas átalakításokkal titkosítható forgalom megvédésére kifejezetten faék egyszerűségű eszköz Windows-on az IPSec infrastruktúra használata.

Üdv,
Marci

> Mindig zavarban vagyok, amikor a nagyvállalati IT 101-hez kell visszalépni.

Hogymi?

> Szerintem Te pontosan tudod, hogy nem a titkosítatlan SMB forgalom volt 5 éve az utolsó a nyílt forgalmak sorában a vállalati hálózatokon.
> Még a mai nap is ott figyelnek a http-k, self-signed https-ek, telnet-en kommunikáló vastag- és terminálkliensek, titkosítatlan SQL kapcsolatot nyitó kliensek, ftp "file-átadások" stb.

WTF? Mennyiben menti fel egy masik benasaga az smb-t?
Nem masikrol, az SMB-rol van szo, erre koncentralj.

> Hiszen a sokféle titkosítatlan, gyakran fájdalmas átalakításokkal titkosítható forgalom megvédésére kifejezetten faék egyszerűségű eszköz Windows-on az IPSec infrastruktúra használata.

Akkor megegyszer: a topic nem a http-rol, az sql-rol, se barmelyik masikrol szol.

ui.: Vajon miert csinaltak meg megis?

Ez a szál arról szól, hogy Szerinted bullshit, hogy SMBv3 előtt Windows környezetben az IPsec megfelelő és egyszerű titkosítást nyújtott.

"ui.: Vajon miert csinaltak meg megis?" Mert kérdés nélkül még egyszerűbb teríteni egy protokollba épített védelmet.

szerk:
"Hogymi?"

In American university course numbering systems, the number 101 is often used for an introductory course at a beginner's level in a department's subject area.

Üdv,
Marci

> Ez a szál arról szól, hogy Szerinted bullshit, hogy SMBv3 előtt Windows környezetben az IPsec megfelelő és egyszerű titkosítást nyújtott.

Ez a szal arrol szol, h az ipsec-kel kellett osszeganyolni, mert alapbol plain textben mukodott ahelyett, h megcsinaltak volna tisztesseggel.
Ergo terelsz.

"Ergo terelsz."

Milyen jó lenne, ha nem sunyiságot keresnél mindenáron a szavaimban!

Mindösszesen az érdeklődő topiktárs, bennyh látókörét gondoltam szélesíteni az IPsec egykori szerepére való utalással.

Ez pöttyet sem volt bullshit.

Továbbá nem kívántam mentegetni a régi SMB verziókat, hiába próbálod így értelmezni.

Üdv,
Marci

Amin lehet bakapcsolom, de nem töröm magam nagyon. Nem tudom, hogy normálisabb hitelesítésen kívűl van-e értelme a teljes forgalmat titkosítani, amikor a switch úgy is annak dobja tovább a forgalmat, akinek kell, komolyabb adatlopáshoz meg úgy is porttükrözés kellene, vagy rosszul gondolom? Nem gúnnyal kérdezem, hanem érdeklődve, hátha tanulok valamit.