serviceadmin
Goto Top

Wie sicher sind Netzwerkfestplatten (NAS) ?

Wir möchten sehr sensible Daten ausserhalb der Domäne auf einer Netzwerkfestplatte speichern.

Der Vorteil besteht nach unserer Ansicht in der abgekoppelten Benutzerverwaltung/Zugriffssteuerung.

So könnte z.B. auch ein Nichtadmin (Führungskraft) die Zugriffssteuerung auf diese Daten übernehmen. Innerhalb der Domäne haben einfach zu viele Entwickler Administratorrechte und Schlupflöcher gibt es dort bestimmt viele. Eine externe Lösung scheint daher die bessere Wahl.

Nun fragen wir uns jedoch, wie sicher die Freigabe/Zugriffssteuerung einer aktuellen Netzwerkfestplatte überhaupt ist.

Es wäre unschön, wenn die Zugangsdaten im Klartext über das Netzwerk geschickt würden und sich der Zugang mit einfacheln mitteln Hacken lassen wurde und somit jeder mit ein bisschen IT-Knowhow an die Daten kommen kann.

Welche Modelle sind eher für Homeuser, ohne grossen Sicherheitsbedarf.
Und welche genügen hohen Ansprüchen.

Es scheint auch so zu sein, dass einige Laufwerke keine stabile Software besitzen und durch Abstürze ihren Inhalt ohne Zutun vernichten.

Auf welche Modelle/Hersteller sollen wir uns konzentrieren, ohne die xxx Euro Liga zu verlassen?

Content-Key: 42044

Url: https://administrator.de/contentid/42044

Ausgedruckt am: 29.03.2024 um 08:03 Uhr

Mitglied: AndreasHoster
AndreasHoster 12.10.2006 um 15:56:51 Uhr
Goto Top
Wenn die Entwickler Domänen-Admin-Rechte haben, dann ist prinzipiell was falsch gelaufen.
Admin-Rechte auf einzelnen Servern, Rechnern ist ja okay, aber nicht für die ganze Domäne.
Aber seis drum.
Wenn Du Angst hast, daß jemand den Netzwerkverkehr innerhalb des LANs abhört, dann gibts überhaupt keine sichere Lösung.

Windows NT/2000/XP verschickt überhaupt keine Passwörter im Klartext, wenn man das für alte SAMBA Versionen noch braucht, dann muß man das erst über einen Registry Key aktivieren, damit Windows das tut. Also daher kein Problem. Die danach übertragenen Daten werden allerdings nicht verschlüsselt. Wobei zum Abhören in einer geswitchten Umgebung braucht man Zugriff auf die Konfiguration des Switches und wenn man dem Netzwerkadmin nicht soweit vertraut, dann weiß ich auch nicht mehr weiter.

Im Prinzip sind die heutigen NAS so sicher, wie es ein Server auch ist, mit schlechten Passwörtern weniger sicher, bei etwas mehr Bedachtsamkeit sicherer.
Aber gegen einen Ausbau der Festplatte und direktes lesen davon hilft auch das nicht. Oder einen Klau des schnuckeligen kleinen NAS, welches man im Mantel mitnehmen kann, ohne das es auffällt.
Mitglied: serviceadmin
serviceadmin 12.10.2006 um 16:05:54 Uhr
Goto Top
Also ist davon auszugehen, dass die Authentifizierung von einem Windows-Client an einer NAS Festplatte gesichert abläuft?

Wie ist es denn mit dem Datenverkehr vom NAS in das Netzwerk? Werden diese Daten auch sicher übertragen?

Am liebsten wäre mir eine Art Intra-VPN Zugriff zwischen der Usergruppe und dem NAS,
gibt es da soetwas?

Wie gesagt, auf der Festplatte sollen keine Softwareupdates sondern sensible Daten gelagert werden auf die vielleicht 5 Personen Zugriff bekommen sollen!
Mitglied: nils-0401
nils-0401 12.10.2006 um 21:17:43 Uhr
Goto Top
Du solltest vielleicht noch darauf achten, dass falls der NAS Server einen USB Port hat, dieser deaktiviet wird oder die Platte weggeschlossen ist, normal braucht man auf den USB Ports nämlich kein Passwort. Wenn sich also ein Mitarbeiter mit einem Laptop dranhängt....
Wenn du das Dingen wegsperrst hast du auch gleich den Diebstahlschutz. also ich würde sagen sobald jemand Physischen zugriff auf das Teil hat ist die Sicherheit in Gefahr!

hoffe der Gedanke hilft weiter.
Nils
Mitglied: Supaman
Supaman 12.10.2006 um 21:17:43 Uhr
Goto Top
wenn schon nas und sensible daten, dann denk auch an ein raid-nas und backupsface-smile
Mitglied: nils-0401
nils-0401 12.10.2006 um 21:19:56 Uhr
Goto Top
man sollte das synchron posten einführen... haben wir ja durch Zufall auf die Sekunde hinbekommen...
Mitglied: meinereiner
meinereiner 12.10.2006 um 23:30:38 Uhr
Goto Top
sensible Daten und billiges NAS?? Da streuben sich bei mir die Nackenhaare.
Die billigen Teile die ich gesehen habe unter (1000€), gefallen mir von der Rechtevergabe gar nicht. Dazu kommt, das bei einem Hardwaredefekt in 1-2 Jahren schon heftig Probleme kommen können, wenn man Ersatz braucht.

Meine Idee dazu wäre:
Ein eigener Server, der nicht in der Domäne ist. Da kann ich eine eigene Rechtestruktur aufbauen. Macht man den zum DC, kann man über eine Vertrauensstellung zur eigentlichen Domäne sogar die "normalen" Konten verwenden.
Eine abgespeckte Variante wäre das Ganze unter VMWare oder "Virtual Server" aufzusetzen.
Mitglied: serviceadmin
serviceadmin 13.10.2006 um 12:09:18 Uhr
Goto Top
Mitglied: serviceadmin
serviceadmin 13.10.2006 um 12:10:15 Uhr
Goto Top
sensible Daten und billiges NAS?? Da streuben
sich bei mir die Nackenhaare.
Mit sensible Daten ist in diesem Fall eher "zugriffssensibel" gemeint.
Backup würde jeden Tag durchgeführt und es ist auch nicht so, dass die Daten nicht wiederbeschaffbar wären. Im grunde genommen geht es darum eine günstige und einfach bedienbare Dateiablage für eine Arbeitsgruppe herzustellen.

Meine Idee dazu wäre:
Ein eigener Server, der nicht in der
Domäne ist.
Die Idee ist gut und ist auch noch auf unserer Liste.
Problem: Es ist halt keine Out-Of-The-Box Lösung und müsste von einem Admin betreut werden. Das wäre bei einem NAS mit Rechtevergabe über das Webinterface nicht der Fall.

Ganze unter VMWare oder "Virtual
Server" aufzusetzen.
Dieser Tipp ist auch eine Überlegung, die bisher noch gar nicht in Betracht gezogen wurde.
Mitglied: serviceadmin
serviceadmin 13.10.2006 um 12:12:53 Uhr
Goto Top
Ich würde mich freuen wenn jemand noch etwas zu dem Punkt der Anmelde-/Zugriffssicherheit bei den NAS Festplatten sagen könnte. Wenn die aktuellen Modelle die Benutzerdaten unverschlüsselt über das Netzwerk senden, wäre diese Idee wohl sofort gestorben.
Mitglied: Suschi
Suschi 13.10.2006 um 22:46:19 Uhr
Goto Top
Wie sicher ist ein NAS? Wie sicher ist VPN? Wie sicher ist im allgemeinen eine Übertragung übers Netz? Alles genau so unsicher wie Administratoren oder Hacker es abfangen können.
Meine Lösung wäre: EFs mit IPSEC. Wie sicher ist das dann? So sicher wie die Anzahl der Personen/Administratoren, die den Account dessen kennen, mit dem verschlüsselt wird.
Dazu kann mann noch ein 4, 6 - Augenprinzip des Accounts machen, dann haben nur noch die die Möglichkeit in die Daten einzusehen, die daran beteiligt sind und das nie alleine.
Vorausgesetzt man kennt sich damit aus, jedoch das ist bei der ganzen Computerwelt so.
Bis jetzt wurde EFS noch nicht geknackt und es erscheint mir auch als aüßerst schwierig.
Warum zu teueren Mittel greifen, wenn das Betriebsystem oder eine Fremdsoftware es schon mitbringt. NAS ist eh eine Sache für sich. Zu teuer und man benötigt wieder jemanden der sich sehr gut damit auskennt.
Mitglied: meinereiner
meinereiner 13.10.2006 um 23:40:01 Uhr
Goto Top
Anmelde-/Zugriffssicherheit bei den NAS
Festplatten sagen könnte. Wenn die
aktuellen Modelle die Benutzerdaten
unverschlüsselt über das Netzwerk

Die Frag lässt sich so nicht beantworten, das hängt von dem Betriebssystem ab, was auf dem NAS läuft und auch wie es konfiguriert ist.
Mitglied: meinereiner
meinereiner 13.10.2006 um 23:41:06 Uhr
Goto Top
Bis jetzt wurde EFS noch nicht geknackt und

Das stimmt nicht!
Mitglied: Suschi
Suschi 14.10.2006 um 13:46:18 Uhr
Goto Top
würde mich interresieren von wem? Es ist leicht gesagt, es gibt viele Tools, die es angeblich können. Ich habe alle mir bekannten getestet und kein einziges davon kann es.
Selber auch habe ich/wir viel getestet.
Wie gehts?
Mitglied: meinereiner
meinereiner 14.10.2006, aktualisiert am 18.10.2012 um 17:57:19 Uhr
Goto Top
Mitglied: Suschi
Suschi 14.10.2006 um 15:43:56 Uhr
Goto Top
Falsch. So wie er es macht, kann ich es auch, damit ist es jedoch nur bedingt möglich.
Aber entschlüssle mal Dateien, bei dem es keinen Schlüssel des Recovery Agents gibt oder bei dem das Passeort unbekannt ist. Du kein Zertifikat mit privatem Schlüssel des Benutzers hast und kein Passwort, sondern nur deines.
Ich meine mit knacken: Ich finde verschl. Dateien auf einem Server und kann sie entschlüsseln, ohne jegliche Schlüssel oder Zertifikate, denn wer die hat kann alles öffnen.
Wenn man efs dateien knacken möchte, hat man keinen Zugriff auf den Schlüssel des Recovery Agents, denn der sollte nicht auf dem Server und nur ein oder zwei Personen bekannt sein bzw. in einem gesicherten Verzeichnis liegen. Selbst wenn man den Schlüssel des Agents hat, aber nicht das Zertifikat ist es nicht möglich.
Ich kann eine Tür öffnen, wenn ich das Versteck des Schlüssels weiß.
Teste mal selbst mit dem Elcom Tool. Erstelle eine verschlüsselte Datei in einem Verzeichnis.
Melde dich erneut unter einem anderem Account an und versuche mit dem Tool es zu öffnen.
Keine Chance.
Mitglied: Suschi
Suschi 14.10.2006 um 15:56:25 Uhr
Goto Top
sorry, wie ich geschrieben habe, war nebenbei. Ich hoffe du hast trotzdem verstanden.
Mitglied: Suschi
Suschi 14.10.2006 um 16:00:16 Uhr
Goto Top
sorry, wie ich geschrieben habe, war nebenbei. Ich hoffe du hast trotzdem verstanden.