login con smart-card

[spaccabits]

dopo un decennio che non partecipo al forum sono tornato con un problema, ovviamente, spero di aver indovinato l'argomento generale.

breve presentazione del problema.
una cooperativa con cui collaboro per la parte informatica (gratis et amore Dei, è una ONLUS) ha la necessità di acquistare 3 notebook per dei suoi operatori destinati a girare tra varie strutture (i fissi più recenti sono già Debian 11, i primi con delle derivate), dovendo trattare dati riservati ed anche molto delicati (in particolare sanitari e situazioni legali), per cui ho già previsto Debian per tutti con la home criptata, in caso di smarrimento/furto non ci saranno problemi legati alla privacy.
per rafforzare la sicurezza mi sono chiesto se fosse possibile "costringere" il login tramite smart-card (l'ideale sarebbe poter utilizzare la Tessera Sanitaria - Carta Nazionale/Regionale Servizi, quella della Toscana è forse utilizzabile, la si utilizza già per molti servizi), ho cercato a lungo in rete, ma senza trovare nulla di significativo.
ovviamente l'uso della smart-card non dovrebbe precludere l'accesso a su/sudo e neppure con password (per root e chiaramente molto forte, sono esperto nell'inventare password particolarmente ostiche , ma evidentemente non posso costringere gli utenti a password "che voi umani ..." , per questo ho pensato alle smart-card)

domanda: qualcuno ha esperienza in proposito? se sì, come ha risolto?

grazie

[marcomg]

Temo che per i notebook possa risultare molto scomodo dal momento che non avresti il lettore smart card.

Penso tu abbia già visto questo
https://wiki.debian.org/Smartcards
https://ubuntu.com/server/docs/security-smart-cards

dovendo trattare dati riservati ed anche molto delicati

Ma usate un gestionale online? Come vengono gestiti i dati in locale?

E un otp? https://askubuntu.com/questions/1169175 ... th-lightdm

[spaccabits]

un lettore smartcard USB costa pochi euro ed è facile portarselo dietro, inoltre ho già visto dei notebook (HP, ricondizionati, la cooperativa è una ONLUS e certo non può investire migliaia di euro) con lettore incorporato (non so se compatibile con Linux, ma domani vado a controllare), io uso normalmente questo https://www.bit4id.com/dispositivi/lett ... -air-di-3/ per accedere ai servizi della mia regione (Toscana) e non soltanto, e questo è davvero costoso, ma ha anche interfaccia NFC.

è da escludere l'idea di applicazioni online, servono per lavori in mobilità - lavori per i quali basta ed avanza la suite di Libre Office - e soprattutto non è detto che ci sia la possibilità di connettersi; inoltre per le cose che devono essere fatte c'è il problema della privacy e l'online .. beh ... si sa quanto sia rischioso riguardo la privacy.
questo esclude anche la possibilità di usare OTP (che sia di Google o di qualunque altro fornitore).
se troveranno una connessione, non indispensabile, si collegheranno alla sede principale in VPN (Wireguard), come già succede con le sedi distaccate (attualmente con OpenVPN, ma sto finendo di preparare un nuovo router/firewall - OPNsense - perché il vecchio è troppo tempo che non viene aggiornato, sembrerebbe abbandonato dal costruttore; con OPNsense tutti i collegamenti esterni verso la sede saranno con Wireguard); il firewall è già molto selettivo, lascia passare giusto l'indispensabile.

Come vengono gestiti i dati in locale?

cioè? non c'è nulla online (salvo la posta, ovviamente ), è tutto in locale (si tratta di normale lavoro di ufficio: relazioni, contabilità, tabelle).

ti ringrazio per i link, ma sì, li avevo già visti, però 1) non dicono molto 2) non c'è nulla di specifico per Debian

... resto in attesa di altre idee e/o soluzioni ...

se autonomamente riesco a trovare una soluzione la condividerò

[marcomg]

questo esclude anche la possibilità di usare OTP (che sia di Google o di qualunque altro fornitore).

Non lo esclude. Perché mai dovrebbe? Mica deve essere online. Tra l'altro Google authenticator (non l'app del telefono) è un software open source che implementa TOTP (RFC 6238) che è uno standard. Ogni smartphone può diventare un token.

è da escludere l'idea di applicazioni online, servono per lavori in mobilità - lavori per i quali basta ed avanza la suite di Libre Office - e soprattutto non è detto che ci sia la possibilità di connettersi

No ok, ma mi chiedevo come venisse gestito l'archivio e i backup. Non penso facciano girare pennette, o si?

si collegheranno alla sede principale in VPN (Wireguard), come già succede con le sedi distaccate

Ad oggi per gestionali e tutto si tende a non usare più le VPN. Si usa il concetto di "0 trust" per cui si paragona la rete aziendale a una rete pubblica (d'altra parte se un PC è compromesso...) https://cloud.google.com/beyondcorp?hl=it

[midnite]

ma il lettore di smartcard, per autenticare la connessione, non necessita comunque di un accesso online al server che gestisce le autorizzazioni?

[spaccabits]

Non lo esclude. Perché mai dovrebbe? Mica deve essere online. Tra l'altro Google authenticator (non l'app del telefono) è un software open source che implementa TOTP (RFC 6238) che è uno standard. Ogni smartphone può diventare un token.

ok, ma voglio anche evitare di complicare la vita alla gente , se funzionasse una smartcard (meglio CNS) sarebbe tutto più semplice

No ok, ma mi chiedevo come venisse gestito l'archivio e i backup. Non penso facciano girare pennette, o si?

ovvio che no, niente chiavette (anzi: saranno proibite! ), copie d'archivio e backup verranno fatte su macchine nella direzione via rete (o quando saranno presenti o via VPN - Wireguard -

r gestionali e tutto si tende a non usare più le VPN. Si usa il concetto di "0 trust" per cui si paragona la rete aziendale a una rete pubblica (d'altra parte se un PC è compromesso...) https://cloud.google.com/beyondcorp?hl=it

tutto in cloud? ... dopo l'utilizzo di Windows è la cosa più insicura che si possa pensare
niente VPN? forse è meglio se leggi qualcosa sulla sicurezza

[spaccabits]

ma il lettore di smartcard, per autenticare la connessione, non necessita comunque di un accesso online al server che gestisce le autorizzazioni?

no, non deve, funziona (funzionerebbe) come con il riconoscimento biometrico

[marcomg]

niente VPN? forse è meglio se leggi qualcosa sulla sicurezza

Niente VPN. E di cose sulla sicurezza ne leggo a pacchi. La rete interna va considerata insicura quanto quella esterna, questa è l'ultima frontiera e concordo.
La VPN è considerata retrograda a quel fine e visto che spesso la rete interna viene considerata sicura e molte risorse non sono autenticate se viene bucata sei nella cacca

Ci sono contesto in cui ancora si considera una rete sicura per semplicità. Ma nella maggior parte dei casi per medio piccole aziende quella soluzione è la migliore.

[spaccabits]

La rete interna va considerata insicura quanto quella esterna, questa è l'ultima frontiera e concordo.

nessuna macchina è sicura, neppure una scollegata dalla rete: ormai diversi anni fa (2008) abbandonai del tutto Windows perché mi fu portata una macchina (con XP) a cui un virus aveva sputtanato la MFT così bene che l'unica fu formattare il disco, tutti i file risultavano di 16TB, su un disco di 40GB!! e io che consideravo NTFS l'unica cosa decente di Windows ... il virus era stato preso con una chiavetta USB ...

Ma nella maggior parte dei casi per medio piccole aziende quella soluzione è la migliore.

cioè la "nuvola"? no, resto convinto che è meglio mettere sulla rete locale la macchina esterna, ovviamente in VPN, che sicuramente dà più sicurezza di un WiFi pubblico.
non vedo perché una VPN sia da considerare "retrogada", ovviamente non parlo di VPN commerciali! parlo di una VPN appoggiata ad un server interno alla rete (offrono questa possibilità molti router/gateway/firewall, anche open-source, come OpenWRT e OPNsense); oltretutto Wireguard - che strettamente parlando è più una P2P che una VPN - dà performance veramente buone con una criptografia decisamente forte.
l'idea del cloud non mi ha mai convinto troppo, troppo dipendente da aziende di cui non si sa nulla e che non è possibile controllare, direi che è l'esatto contrario della filosofia open-source.

[marcomg]

cioè la "nuvola"?

Si, ma cloud è un po' vago come termine.

troppo dipendente da aziende di cui non si sa nulla e che non è possibile controllare, direi che è l'esatto contrario della filosofia open-source

Questo dipende Cloud è un tipo di infrastruttura ad architettura distribuita e comunque non ha a che vedere con lo zero trust. E dipende quanti dipendenti ci sono puoi sempre "fabbricarti il tuo".

non vedo perché una VPN sia da considerare "retrogada"

Per un motivo semplice: hai risorse che all'interno della rete locale non sono autenticate/sono meno autenticate? Con una vpn se colleghi una macchina esterna "malvagia" hai fatto patatrac. Non stai utilizzando il protocollo zero trust.
Hai risorse interne autenticate adeguatamente? A che ti serve la VPN? Puoi accedervi direttamente.
Tra l'altro anche se accedessi ad un WiFi pubblico non è questo gran problema https://www.debianizzati.org/ma-una-vpn ... e-davvero/

Per esempio, per la gestione di documenti, una idea è https://nextcloud.com/ con collabora. I documenti li si redigono direttamente tramite browser. Volendo si possono anche sincronizzare sul PC. Qui se vuoi farti una idea delle funzionalità (l'articolo è stato pensato per l'implementazione casalinga, ma il software è pensato in ambito aziendale) https://www.debianizzati.org/il-nas-def ... omment-476

Si può configurare molto bene in modo da dare il giusto accesso ai giusti gruppi, hai le revisioni e puoi gestire in maniera centralizzata i backup.
Gestisce bene la crittografia e i backup però lo devi fare in Cloud (non per un limite di nextcloud, ma perché a meno che non abbiate più sedi in più città diverse dove potete fare i backup incrociati devi garantire la space diversity).
A quel punto o Backblaze o AWS, o quello che vuoi fa al caso tuo.

Io comunque non devo vendere nulla quindi sei libero di fare come meglio credi

[spaccabits]

Cloud è un tipo di infrastruttura ad architettura distribuita e comunque non ha a che vedere con lo zero trust. E dipende quanti dipendenti ci sono puoi sempre "fabbricarti il tuo".

sì sì, tutto molto carino, anche un cloud personale è pensabile (ma salvo sia una cosa molto casalinga devi avere una macchina abbastanza potente, almeno come storage ... e non possiamo spendere più di tanto), ma come metti fisicamente in comunicazione, in sicurezza, i vari client/sedi distaccati con la sede principale? io conosco soltanto due modi: 1) una connessione dedicata (ma non siamo una banca ), 2) oppure ... oppure cos'altro? ... ...

Tra l'altro anche se accedessi ad un WiFi pubblico non è questo gran problema https://www.debianizzati.org/ma-una-vpn ... e-davvero/

grazie del suggerimento, ma si dà proprio questo caso:
Ovviamente poi ci sono molte altre realtà in cui l’uso di una VPN è fondamentale, ma in questo caso siamo soprattutto in ambito aziendale (un esempio è poter accedere alla LAN aziendale da casa), accedere alla propria LAN domestica da fuori, etc. Sono comunque tutti ambiti che solitamente non riguardano l’utente comune.
... non sono/siamo utenti comuni ...

[marcomg]

una connessione dedicata

La connessione dedicata non è una politica zero trust.

2) oppure ... oppure cos'altro? ...

Autenticazione del server e del client. Autenticato ad accedere una specifica risorsa e non altro niente VPN. Quindi in caso di violazione dello specifico client la questione rimane circoscritta a ciò che gli è perme fare e non riguarda gli altri.

grazie del suggerimento, ma si dà proprio questo caso:
Ovviamente poi ci sono molte altre realtà in cui l’uso di una VPN è fondamentale, ma in questo caso siamo soprattutto in ambito aziendale (un esempio è poter accedere alla LAN aziendale da casa), accedere alla propria LAN domestica da fuori, etc. Sono comunque tutti ambiti che solitamente non riguardano l’utente comune.
... non sono/siamo utenti comuni

Dai, cavoli, lo ho scritto io l'articolo i tuoi utenti che usano l'infrastruttura informatica non sono utenti comuni e per questo hanno bisogno di una VPN.

Questo mica vuol dire che l'infrastruttura sia stata ben congegnata e che sia la scelta migliore

L'articolo era una non troppo celata invettiva contro nordvpn, ma era utile a spiegare perché non ti serve una VPN nemmeno se ti colleghi da un WiFi pubblico.

ma salvo sia una cosa molto casalinga devi avere una macchina abbastanza potente, almeno come storage ... e non possiamo spendere più di tanto

Molto potente è relativo. Per calcolare il costo serve buttare giù un progetto per il dimensionamento.
Dipende da tante cose (e anche dai picchi di accesso), numero di utenti, quantità di dati da gestire.

Esistono anche i VPS. Insomma è una valutazione che va fatta con tutti i dati alla mano e valutati costi/benefici sul breve e lungo termine e la facoltà di scaling.
Per esempio nextcloud permette la federazione di istanze e un sistema per il Global Site Selector quindi è più sempliceimplementare un sistema distribuito senza dover implementare HAProxy.
Tutto dipende da quante decine di migliaia di dipendenti ci sono e in quanti paesi. Cioè è un software idoneo ad un nas casalingo, ma anche ad una multinazionale.

La soluzione migliore va valutata in base alle esigenze. In ogni caso rimango scettico sul fatto che la VPN sia la migliore soluzione. Bisogna sapere cosa c'è a valle. Come condividete le risorse poi?
Dipende da come può non essere la soluzione ottimale, ma neanche tragica. Spesso purtroppo lo è sicuramente non è il vostro caso

[spaccabits]

Autenticazione del server e del client

ok, ma si dovrà appoggiare comunque ad una connessione criptata altrimenti non serve a nulla, una Wireguard non richiede troppe sbattimento di certificati, chiavi e chi più ne ha più ne metta , con un throughput che non fa rimpiangere la mancanza di una connessione diretta: non dico che potresti metterci sopra una iSCSI, ma poco ci manca, un ping diretto (router -> server) mi dà una media, su 5, di 22.231ms, lo stesso identico ping "da remoto" tramite Wireguard mi dà una media di 47.330ms, non male, considerando che vengo da un mondo dove un ping di qualche centesimo era roba fantascientifica ... ...

luigi

PS: piuttosto: ho un problemino HW (?) su una macchina personale (scheda di rete Realtek ... stramaledette ... ), ho fatto un post apposito, mica avresti voglia di dargli un'occhiata?

[marcomg]

comunque ad una connessione criptata

SSL?

Wireguard non richiede troppe sbattimento di certificati, chiavi e chi più ne ha più ne metta

Rigiro la domanda per farti capire se hai fatto le cose comunque "perfette" o no. Se "buco" la VPN o se mi collego alla LAN, posso farti danni?

PS: piuttosto: ho un problemino HW (?) su una macchina personale (scheda di rete Realtek ... stramaledette ... ), ho fatto un post apposito, mica avresti voglia di dargli un'occhiata?

Si ti ho risposto, ma la domanda non è semplice da rispondere quanto questa