Netzwerkspeicher verschlüsseln

Jonny_6700d5 · 11. November 2019 um 06:22

Hallo,

wir haben im Hause mehrere Computer. Da sich auf diesen teilweise sensible Daten befinden, wurden die Rechner mittels TrueCrypt komplett verschlüsselt. Also ein Schutz gegen das Daten auslesen, wenn der ganze Rechner auf einmal weg ist.
Nun haben wir im Netzwerk noch Speicherplatz der per NAS eingehängt wurde. (NSLU2 mit 2 Speichermedien).

Damit Dokumente zentral genutzt werden können, würde ich diese gerne auf dem Netzwerkspeicher ablegen. Da dieser jedoch nicht verschlüsselt ist, ist dies nicht möglich.

Das Hauptproblem ist, das der NAS keine Eingabemöglichkeit für ein Passwort besitzt.

Gibt es eine Möglichkeit die Daten auf den beiden Server Festplatten zu verschlüsseln, so das alle Clients die Daten nutzen können?

Gruß und frohe Weihnachten!
Jonny

PChristoph · 11. November 2019 um 06:22

Hallo Jonny!

Gibt es eine Möglichkeit die Daten auf den beiden Server
Festplatten zu verschlüsseln, so das alle Clients die Daten
nutzen können?

Sollen die Daten auch von mehreren Rechnern aus gleichzeitig verwendet werden? Oder greift immer nur ein Benutzer darauf zu?

Wenn das Zweite zutrifft, könntest du ja einfach mit TrueCrypt ein verschlüsselte Containerdatei auf dem Netzwerkspeicher anlegen.

mfg
christoph

Thomas_Fischbach_ac0842 · 11. November 2019 um 06:22

Hallo,

m. E. besteht doch die Möglichkeit, das Gerät z.B. unter „Unslang“ o.ä. zu betreiben:

http://de.wikipedia.org/wiki/NSLU2

Dann wäre es doch kein Problem, dort ein Crypto-Loop-Pseudo-Device einzuhängen.

mfg, tf

xeen3d · 11. November 2019 um 06:27

Hallo Jonny,
willst du die Daten gegen Diebstal (Trojaner) schützen oder gegen das tatsächliche entwenden des Gerätes ?
ich frage weil dazu eine Verschlüsselung des gesamten Nas eigentlich nicht der richtige Ansatz ist.
Irgendwann will jemand mit den Daten arbeiten spätestens dann liegen sie im Klartext vor und jeder Datendieb weiss das dummerweise auch er/sie wird exakt den Schwachpunkt aus nutzen und anstatt dein Nas System einen Klient Rechner der entschlüsseln kann angreifen.

Normalerweise hat ein Nas auch immer eine Möglichkeit sich entweder über eine eigene oder über eine Datenbank eines dritten (Radius Active Directory E-Directory LDAP usw) oder mit eigenen Modulen ACLs auf die Dateien und Ordner zu legen so das beim Zugriff eine Authentifizierung stattfinden muss.

Das schützt nicht gegen Diebstahl aber dagegen das ein unbefugter sich Daten nimmt auf die er/sie kein Recht hat.

Das Gerät welches Ihr im Einsatz habt ist was die Sache nicht eben einfacher macht ein reines Consumer Gerät also was für zuhause nicht für Gewerblichen Einsatz hier der Orginal Auszug aus dem Handbuch:

"Sie können Ihre Dateien öffentlich zur Verfügung stellen oder passwortgeschützte Konten für autorisierte Benutzer erstellen. "

Eine Vollverschlüsselung schützt nur vor einem einzigen Szenario und zwar wen jemand bei euch einbricht und das Gerät entwendet, alles andere kannst du mit den Mitteln des Geraetes bereits lösen.

Anbei ein Paar Links von Orten wo dir geholfen werden kann speziell bei dem Getät:

Firmware gegen eine angepasst Linux Distro tauschen und damit das Gerät aufwerten:

http://www.nslu2-info.de/index.php?page=Portal

OpenSlug auch angepasste Firmware:

http://www.openslug.org/

MySlug sehr gute deutsche Seite mit vielen Tips zu dem Gerät:

http://www.myslug.de/index.php?title=Hauptseite

Richte das Gerät so ein das es Benutzerkonten hat du musst danach an jedem Rechner das passende Passwort für den Zugriff eingeben, anhand des angelegten Benutzers steuerst du auch was der Rechner/Benutzer überhaupt sieht, und so können alle auch sensible Dokumente auf dem NAS liegen da nur Zugriff hat wer auch darf. Das kannst du in jeder Freigabe auf dem NAS einzeln einstellen.
Und davor das dir das Gerät geklaut wird hilft letztendlich nur eine Verschlüsselung wahrscheinlich können einige der freien Distros das sogar das musst du in den Communitys einfach mal fragen.
Preiswerter ist jedoch das Gerät an einem Ort zu betreiben der den Diebstahl bereits anhand der Räumlichen Gegebenheit behindert zb ein abgeschlossener Raum.

Frohes Neues.

Andre

Hans_H_Froehlich · 11. November 2019 um 06:37

Hi,

auf Basis der ‚FreeNAS‘-Distribution habe ich ein NAS mit verschlüsseltem Dateisystem für die Datenpartition erstellt, dass via Chipkarte freigeschaltet wird. Hierzu verwende ich einen Chipkartenleser mit integriertem PIN-Pad. Auf diese Weise brauche ich keine Konsole für das NAS. Auch Sniffer-Attacken wie z.B. einem Keyboard-Sniffer laufen in’s Leere.

Zur Funktionsweise:
Das Dateisystem ist mit AES256 verschlüsselt. Freigeschaltet wird es, indem dem System ein 512 bit langes Schlüsselmaterial bekannt gegeben wird. Dieses Schlüsselmaterial habe ich mit der öffentlichen Schlüsselkomponente eines RSA-Schlüssels verschlüsselt auf einem USB-Stick abgelegt. Die zugehörige private Schlüsselkomponente ist auf eine Chipkarte abgelegt.

Bootvorgang:
* Das NAS bootet das System z.B. von einer CF-Karte.
* Im Anschluss an den normalen Init-Vorgang werden alle angeschlossenen USB-Speicher nach der Existenz der Freischaltekomponenten durchsucht.
* Auf diesen USB-Speicher wird für das NAS vorhandenes verschlüsseltes Schlüsselmaterial gesucht.
* Für jedes Schlüsselmaterial wird Admin aufgefordert, seine 6 stellige PIN in das Kartenterminal einzugeben, die Karte sollte bereits gesteckt sein.
* Das entsprechende Laufwerk wird entsprechend der konfigurierten Benutzer- und Gruppenrechte gemountet.

Solange das NAS in Betrieb ist, bleibt das Dateisystem gemountet, eine weitere Interaktion mit dem Admin ist nicht erforderlich. Das gilt auch, wenn die Platten im Idle-Betrieb in den Sleep- oder Standby-Modus geschickt werden.

Getestet habe ich das System mit einem gespiegeltem Plattenverbund (Raid 1).

Gruß
Hans-H.