[ale82x]

secondo voi è meglio far passare i dati in un tunnel ssh o ssl???

per esempio, devo condividere una cartella in internet (so xp):

ipotesi 1: installo openssh e lo configuro, riesco ad accedere

pro: devo aprire (o forwardare) una sola porta, la 22

contro: è un casino impostare i permessi perchè devo creare l'utente nel sistema e gli devo dire cosa può e non può vedere...

ipotesi 2: installo filezilla server e lo configuro come ssl esplicito, riesco ad accedere

pro: posso creare utenti e permssi molto più facilmente e creare home directory che in openssh

contro: devo aprire oltre alla porta 21, altre porte (che adesso non ricordo...)

ora, la mia domanda è: anche con ssl viene criptato tutto il traffico, o solo user e password???
con ssh sono sicuro....

ci vorrebbe un server sftp semplice come un server ftp!!!!! ecco la soluzione!!!!

[microzott]

http://it.wikipedia.org/wiki/Secure_Sockets_Layer

http://it.wikipedia.org/wiki/Secure_shell

[SataNik]

Alex, cerca il post su openvpn del nostro caro Jarod. La tua soluzione e' la'

[JeanBabalan]

a seconda del protocollo cambia anche il client, occhio...

SFTP (SSH File Transfer Protocol) usa un client SSH
FTPS (FTP over SSL) usa un client FTP

http://en.wikipedia.org/wiki/File_Transfer_Protocol

quindi verifica anche che client è meglio usare...

[ale82x]

si, ma la mia domanda era solo cosa fareste voi se vi dovesse capitare una cosa del gennere...

anch'io per me ho fatto una VPN con openVPN (ancora grazie a Jarod), o farei una VPN in altri modi.

però se dovessi solo condividere una cartella quale sarebbe il metodo più veloce e semplice, potremmo considerarlo un sondaggio...

su wikipedia ho letto:

Quote:

Sia TLS che SSL richiedono alcune fasi basilari:

* Negoziazione tra le parti dell'algoritmo da utilizzare
* Scambio di chiavi segrete tramite cifratura a chiave pubblica e identificazione tramite l'utilizzo di certificati
* Cifratura del traffico tra le parti a chiave (segreta) simmetrica

quindi cifra tutto il traffico, non solo le password... il mio dubbio era anche questo...

per il livello di cifratura da quello che ho capito è meglio il protocollo ssh in quanto è nato per quello, l'ssl a un aggiunta a protocolli già esistenti...

ftp su sll
https
ecc...

@JeanBabalan: in che senso vedi qual'è il client che è meglio usare?
io quando utilizzo l'sftp uso winscp
invece per l'ftp, filezilla (client)

[SataNik]

Se e' solo per conoscenza si, ssl e' un layer aggiuntivo, per creare tunnel per connessioni tcp (per udp non saprei, perche' non l'ho mai provato).
Quindi sicuramente puoi creare un layer su tutti i protocolli che usano TCP (telnet, ftp, http, pop3, smtp, ecc.)
SSH e' piu' un telnet+ssl (secure shell).

Se vuoi analizziamo i protocolli piu' in dettaglio. Comunque non ricordo ssh, ma ssl effettua uno scambio di chiave (simmetrica) di sessione con rsa (chiave pubblica). Il crypt dei pacchetti veri e propri avviene con algo simmetrici (3des, aes e altri).
Per SSH qualcuno si ricorda se fa lo stesso ?

[ale82x]

io non ci capisco molto di ingelese ma mi sembra di capire da questa pagina che nell'ftps cripta solo la sessione (comandi) e non i dati veri e propri...

http://geekswithblogs.net/bvamsi/arc.../23/73147.aspx

booo!!!!

io preferisco il server ftp perchè è molto più semplice da configurare, crei l'utente e al tempo stesso gli dici dove e quali permessi ha....

[SataNik]

Dipende. Ci sono ftps che cryptano solo la sessione comandi e non le sessioni di trasferimento (port e pasv). Altri che fanno entrambi.

Per esempio: raidenftpd fa entrambi :

http://www.raidenftpd.com/en/raiden-...-features.html

[Neles]

Quote:

Originariamente inviato da SataNik

non ricordo ssh, ma ssl effettua uno scambio di chiave (simmetrica) di sessione con rsa (chiave pubblica). Il crypt dei pacchetti veri e propri avviene con algo simmetrici (3des, aes e altri).
Per SSH qualcuno si ricorda se fa lo stesso ?

Da qui (per ssh1, per la 2 credo valga lo stesso):

Quote:

Ogni host su cui è installato ssh possiede una coppia di chiavi RSA (un algoritmo di crittografia a chiave asimmetrica) lunghe 1024 bit, una pubblica ed una privata. In più, ogni utente che utilizza ssh può opzionalmente generare una propria coppia di chiavi RSA.

All'atto della connessione, il server comunica al client due chiavi pubbliche: una fissa di 1024 bit che è la vera e propria chiave dell'host e l'altra di 768 bit che viene rigenerata ogni ora. Il client allora genera una sequenza casuale di 256 bit e la codifica con le chiavi pubbliche del server. Da questo momento in poi la connessione viene crittografata con uno degli algoritmi a chiave simmetrica supportati da ssh (IDEA, DES, 3DES, Arcfour, Blowfish) e si passa alla fase di autenticazione.

[Jaco]

Nel modello a 5 strati (layers) di TCP/IP, TLS/SSL, così come SSH lavorano nello strato più alto (application layer), quindi al di sopra dello strato di trasporto (quello di TCP e UDP per capirci).

Tra i vari protocolli nello strato di applicazione ci sono quelli che non usano meccanismi di protezione (inviano il traffico in chiaro) come FTP, HTTP, TELNET e così via e quelli che cifrano il traffico come appunto SSH e TLS/SSL.

In sostanza rendono sicuro (criptato) tutto quello che TCP e UDP mandano in modo non sicuro (in chiaro) su Internet,

Sia SSH che TLS/SSL in qualche modo creano sempre un tunnel sicuro in cui far passare il traffico di altri protocolli che normalmente viaggia in chiaro.

La maggior parte degli attuali sistemi per rendere sicure le trasmissioni usano un sistema misto che si basa su algoritmi di cifratura asimmetrica (chiavi diverse per cifrare e decifrare) per gestire la prima fase del collegamento per passare poi a protocolli basati su algoritmi di cifratura simmetrica (unica chiave sia per cifrare che per decifrare).

La prima fase viene gestita utilizzano algoritmi come RSA (Rivest Shamir Adleman), DF (Diffie Hellman) o DSA (Digital Signature Algorithm) a chiave pubblica (asimmetrico) mentre la seconda fase utilizza DES (Data Encryption Standard), 3DES (Triple DES, DES applicato 3 volte) o AES (Advanced Encryption Standard) per citare i più noti.

Riguardo la differenza tra i due protocolli, TLS/SSL può usare il meccanismo del certificato digitale di validazione per cui attraverso un terzo indipendente, la CA (certification authority), si garantisce che 'chi è' è effettivamente 'chi dice di essere'.

Di contro SSH con il forwarding delle porte è più versatile ma per usare le porte privilegiate (sotto la 1024) è necessario essere root.

Ovviamente tutto dipende da quello che si deve fare e cosa si ha a disposizione (client e server del protocollo rispetto al/ai sistemi operativi utilizzati).

[ale82x]

cavolo se siete avanti... io mica vi volevo spingere così avanti...

diciamo che un vostro cugino vi chiede di poter scaricare delle cose dal vostro serverino. voi avete un pc (xp) dietro ad un router (nat) e la strada più breve per dargli accesso ai vostri file è?????
nota: solo scaricare quindi permessi di sola lettura e naturalmente il traffico criptato, così nessuno sa cosa ci stiamo scambiando

1) server: installo filezilla server configuro l'opzione ftps, apro la porta 21 990 e le porte per il trasferimento passivo
client: installo file zilla client e lo configuro

2) installo openssh (ma perchè non lo sviluppano +??? ), configuro tutto a riga di comando. e creo l'utente su windows e gli do i permessi
apro solo la porta 22

client: installo filezilla client o winscp e configuro il tutto...

ora secondo voi entrambi le soluzioni sono valide??? la più semplice e veloce??? per me filezilla server....

così giusto per sapere cosa fareste voi, in pratica...

[SataNik]

Per me il migliore e' raidenftpd

[JeanBabalan]

Quote:

Originariamente inviato da ale82x

così giusto per sapere cosa fareste voi, in pratica...

io userei serv-U con il certificato, oppure più smart, installerei IIS su XP, metterei il browsing della directory, il certificato e l'autenticazione e scaricherei tutto in https; se poi conosci l'ip sorgente, puoi già limitare l'accesso, il tutto senza software di terze parti.

Ti dico https, perchè a scaricare criptato ho visto parecchi client rallentarsi enormemente con cpu al 100% perchè non gestiscono bene ftps (es cuteftp e filezilla)

[ale82x]

sti azz... mettere serv-u che se non sbalgio non è gratis....

non va bene filezilla server???

ma scusa come fai a far scaricare tramite https? configuri IIS, e praticamente vedi il contenuto della cartela come link dove li puoi scaricare.... giusto???

ma poi bisognerebbe proteggere la cartella con password, no?

[JeanBabalan]

Quote:

Originariamente inviato da ale82x

sti azz... mettere serv-u che se non sbalgio non è gratis....

non va bene filezilla server???

ma scusa come fai a far scaricare tramite https? configuri IIS, e praticamente vedi il contenuto della cartela come link dove li puoi scaricare.... giusto???

ma poi bisognerebbe proteggere la cartella con password, no?

..e dove è il problema?? basta eliminare l'accesso anonimo in IIS e vedrai che la password ti viene richiesta