From: Doruk Fisek (dfisek@fisek.com.tr)
Date: Mon 31 Jul 2000 - 18:07:24 EEST
Merhaba,
Monday, July 31, 2000, 8:10:16 AM, you wrote:
MEC> Samba konusunda çok yeniyim. Okuduğum dökümanlarda (1) , win9X
MEC> istemci makinalarla, Samba sunucu arasındaki passwd iletişimimde
MEC> , win9x makinalarda cyrptonun çok basit olduğu ve kolaylıkla
MEC> decyrpte edilebileceği yazılıyor. Ancak NT 5.0 da kriptolamanın
MEC> güvenli olduğuna değiniliyor. İncelediğim kadarıyla Samba
MEC> gerçekten mükemmel olanaklar sunuyor ancak bu güvenlik zaafıyla bu
MEC> olanakları bağdaştıramadım. Bu güvenlik zaafını önlemenin bir
MEC> yolu var mı?
Seminerlerde de belirttigim gibi bu "samba"nin bir guvenlik sorunu ya
da zaafi degildir. Windows aginin mimarisinden kaynaklanan ve
Samba'nin bu agi yonetmek icin inherit ettigi bir guvenlik sorunudur.
Sinirlama sunucu tarafindan degil istemci tarafindan gelmektedir.
Win9x'lerin kullandigi lanman hash algoritmasindan kaynaklanmaktadir.
NT 5.0, Win9x istemcilerle iletisimde guvenli oldugunu iddia edebilir,
sonucta bu bir pazarlama politikasidir. Ama gercekte, sunucunun
kapasitesi bir istemci/sunucu sisteminde istemcilerin sifreleme
kapasitesi ile sinirlidir. www.l0pht.com onemli bir basvuru kaynagi
olabilir.
NT 5.0 ancak, iki NT arasinda baglanti saglandigi zaman, guclu bir
sifreleme kullanabilmektadir. Tum bilgisayar aginiz NT is
istasyonlarindan olusmadigi takdirde, bir anlam ifade etmemektedir
(ayni olay linux'ta da kolaylikla gerceklestirilir).
Ancak guvenligi tekil olarak degil, kurumunuzun guvenlik politikalari
ile bir butun olarak ele almak gerekir. Bahsedilen guvenlik sorunu ile
benzer kategoride, e-mail'ler de guvensizdir. Eger politika olarak,
tek tek tum kullanilan programlarda kurum ici guvenlik saglamayi
dusunuyorsaniz, e-mail gonderirken de istemcilerin sunucu ile arasinda
secure e-mail baglantisi kurmaniz gerekir. Ornekler cogaltilabilir.
Samba, tekil cozum olarak SSL ile istemciler arasinda baglanti
kurmasini onermektedir (tabii hem sunucuya, hem de istemcilere ssl
kutuphanelerinin kurulmasiyla). Bu da tatminkar bir tekil guvenlik
saglar. Ayarlamalarla ilgili bolumu, linkini verdiginiz kitapta ilgili
bolumde bulabilirsiniz.
http://www.kneschke.de/projekte/ksamba/using_samba/appa_01.html
Genelde kurum ici agda guvenligin bu sekilde degil, farkli metotlarla
saglanmasinin daha pratik oldugunu dusunuyorum. Zaten genis alan
aglarinda da Windows agi hemen hic kullanilmamaktadir.
Tercih gene de sizin.
Doruk
------------------------------------------------
FISEK GRUP - http://www.fisek.com.tr
Istanbul : 0.216.4284693 / 0.212.6521130
Ankara : 0.312.3857026 / 0.312.3952377
------------------------------------------------
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/