Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Erfahrungen mit verschlüsselten NAS-Systemen auch bezüglich Angriffspunkten

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

16.08.2012, aktualisiert 17.08.2012, 9591 Aufrufe, 11 Kommentare

Hallo D.o.b.b.y und andere Kollegen.

Über den Thread http://www.administrator.de/contentid/189099 kam bei mir angeregt durch Dobbys Beitrag Interesse auf bezüglich verschlüsselter NAS-Systeme. Genauer geht es um folgendes Szenario:

Jemand hat schützenswerte Daten auf einem Server oder hier einem NAS und kann diese Geräte leider physikalisch nicht ausreichend sichern. Somit wird versucht, gegen Diebstahl des Datenbestandes mittels Verschlüsselung abzusichern. Der Knackpunkt ist, dass NAS-/serverseitig keine Kennworteingabe nötig sein soll, auch nicht beim Neustart des Gerätes [Beispiel: Stromausfall], wenn, dann allenfalls clientseitig.

Hat jemand von Euch hierzu Erfahrungen mit verschlüsselten NAS-Systemen wie beispielsweise diesem: http://www.qnap.com/de/index.php?lang=de&sn=375&c=292&sc=52 ... von QNAP und könnte Fragen wie diese folgenden beantworten:
->Der Nutzer greift auf eine Freigabe des NAS zu und dann wird er autorisiert (via Zertifikat/Kennwort/"Schlüssel"?/whatever) und nur seine Freigabe wird entschlüsselt? Oder wie geht die Anmeldung am NAS von statten? Interesse deshalb, da ich mich natürlich frage, ob so eine Entschlüsselung eines Teils des ganzen, ich nenne es mal Cryptocontainers, technisch möglich ist. Wenn nicht nur teilweise möglich, dann wäre der Schlüssel für das ganze Ding ja sofort im RAM des Gerätes (falls es RAM nutzt und nicht wie Tresor arbeitet) und ist somit angreifbar für jemanden, der auch nur ein einziges kleines Nutzerkennwort kennt - also wären alle Daten für jeden Mitarbeiter angreifbar, der sich das NAS schnappt.

Ich möchte noch betonen, dass ich bereits Diskussionen geführt habe um Sinn und Unsinn von Serververschlüsselung und dass ich hiermit nur versuche, eine weitere Alternative zu entdecken, wobei leider die Produktbeschreibungen nicht wirklich aussagekräftig sind.

Mitglied: Dobby
16.08.2012, aktualisiert um 22:36 Uhr
Hallöle DDW,

also die Sache ist natürlich im wahrsten Sinne des Wortes nicht so einfach zu beantworten, denn einerseits
zielt das NAS von QNAP auf KMU´s ab und andererseits ist es FIPS 140-2-zertifiziert und benutzt AES-256 und somit müsste eigentlich die Sache geschützt sein.

Wenn ich das ganze NAS klaue oder stehle muss ich es auch zwangsweise von der Stromquelle trennen und bei einem Anschluss an eine Stromquelle wären die Daten (Schlüssel) aus dem RAM vom NAS ja eigentlich raus.

Wenn nun aber jemand nur einbricht und das NAS vor Ort angreift hat er entweder die Schlüssel die auf dem NAS sind und die Passwörter nicht oder aber er nicht mal die Schlüssel denn die befinden sich in dem anderen Fall auf den einzelnen Klient PC´s.

So wie ich das in dem Manual gelesen habe logt man sich als Admin ein und legt erst einmal fest welche Volumes (HDD`s) verschlüsselt werden sollen. Single Disk, JBOD´s oder Raid´s und dann legt man Benutzer an
und für die Benutzer erzeugt man dann Schlüssel, Passwörter und Benutzerordner und dann erst entscheidet man sich für die Methode ob der Benutzer ein normales Passwort bekommt oder der Schlüssel gedownloadet wird und auf den Klient PC´s installiert wird. Natürlich kann der Benutzer dann "eigentlich und theoretisch" alle verschlüsselten Daten einsehen aber aufgrund der user Berechtigung eben doch nur die Daten in den für Ihn freigegebenen Ordnern und Verzeichnissen.

#Edit: Vor allem ist meines Erachtens durch die FIPS 140-2 Zertifizierung gewährleistet das die Integration des AES-256 Algorithmus ordentlich umgesetzt wurde und auch den strengen US Richtlinien entspricht und man somit auch Versicherungstechnisch etwas besser gestellt ist. Falls doch mal irgend was an das man nicht gedacht hat passiert.
Bitte warten ..
Mitglied: DerWoWusste
16.08.2012, aktualisiert um 22:40 Uhr
[offtopic/ontopic -wie man's nimmt]:
Wenn ich das ganze NAS klaue oder stehle muss ich es auch zwangsweise von der Stromquelle trennen und bei einem Anschluss an eine Stromquelle wären die Daten (Schlüssel) aus dem RAM vom NAS ja eigentlich raus.
Wenn das NAS über eine redundante Stromversorgung verfügt, nehme ich eine USV mit vor Ort (*schlepp* ) und transportier das Ding samt eingesteckter USV im laufenden Betrieb ab. Alles was denkbar ist, darf gerne in die Überlegungen mit einbezogen werden. Um einen Rahmen zu setzen: wenn das Ding beispielsweise im Büroflur offen steht, wäre das ja einsehbar und somit wüssten Angreifer (welche nicht selten inhouse sitzen) eben solche Details und können eben solche Vorbereitungen treffen.

Zum eigentlichen Thema: ich möchte auf weitere Kommentare warten.
Bitte warten ..
Mitglied: 60730
16.08.2012, aktualisiert um 23:45 Uhr
moin,

[1/2 OT]

Alles was denkbar ist, darf gerne in die Überlegungen mit einbezogen werden.
Um einen Rahmen zu setzen: wenn das Ding beispielsweise im Büroflur offen steht, wäre das ja einsehbar und somit wüssten Angreifer (welche nicht selten inhouse sitzen) eben solche Details und können eben solche Vorbereitungen treffen.

Naja, also das Ding, was du da oben verlinkt hast...
  • tuts noch garnicht geben tun
  • ist ein 19" Gerät
  • hat eine (imho) grade so ausreichende CPU für das Ver- und entschlüsseln, macht also nicht nur Krach, sondern auch Wärme - also Büroflur fällt da in meinen Augen weg - außer das ist so ne kleine Klitsche mit weniger als 400 m² Bürofläche und die dürfen Brandlasten im Flur betreiben.

Das die Datendiebe Insiderwissen haben, das sollte und muß man mal annehmen und die tragen die Daten evtl. ganz anders weg.

Von daher....

Wir haben ne richtig nette Überwachungslösung, du kommst nur mit nem RFID Key rein, wirst (außer du hälst den RFID Key nochmal an ne andere versteckte Stelle) solange aufgenommen, wie du da drin bist und ich seh, ob ich nen 1,2 oder 3 Tagebart hab.

Summa Sumarum bin ich bei der Lösung in ner ähnlichen Preislage, wie das Ding kosten kann.
Und ich kann (naja - könnte) durchaus mehr sichere Daten beherbergen, als in das Ding da passt.
Und die Daten/Gerätediebe, die keinen Schlüssel haben, die werden von den netten Herren der Lach und Schiesgesellschaft und die fragen nicht, sondern werden gleich handgreiflich.. "nett" begrüßt mit nem abgewandelten Spruch von Hakan. wie kommst DU hier rein? (Alles schon erlebt)
Und auch das kostet jährlich nicht wirklich so viel, wie ein Tag Ausfall in unserem Schuppen.

[OT]

Gruß
Bitte warten ..
Mitglied: C.R.S.
19.08.2012 um 20:55 Uhr
Zitat von DerWoWusste:
->Der Nutzer greift auf eine Freigabe des NAS zu und dann wird er autorisiert (via
Zertifikat/Kennwort/"Schlüssel"?/whatever) und nur seine Freigabe wird entschlüsselt? Oder wie geht die
Anmeldung am NAS von statten? Interesse deshalb, da ich mich natürlich frage, ob so eine Entschlüsselung eines Teils des
ganzen, ich nenne es mal Cryptocontainers, technisch möglich ist. Wenn nicht nur teilweise möglich, dann wäre der
Schlüssel für das ganze Ding ja sofort im RAM des Gerätes (falls es RAM nutzt und nicht wie
Tresor arbeitet) und ist somit angreifbar für jemanden, der
auch nur ein einziges kleines Nutzerkennwort kennt - also wären alle Daten für jeden Mitarbeiter angreifbar, der sich
das NAS schnappt.

Der Admin schaltet das Volume frei, deshalb sollte ein User nicht die Verschlüsselung brechen können. Aus dem Handbuch geht meines Erachtens hervor, dass es eine ganz normale FDE ist, die weder in Abhängigkeit zu den Freigaben steht bzw. Dateisystembezug hätte, noch die Firmware schützt.

Ich möchte noch betonen, dass ich bereits Diskussionen geführt habe um Sinn und Unsinn von Serververschlüsselung
und dass ich hiermit nur versuche, eine weitere Alternative zu entdecken, wobei leider die Produktbeschreibungen nicht wirklich
aussagekräftig sind.

Auf ein unsicheres System kann man grundsätzlich nur bereits verschlüsselte Daten schicken.

Um unterhalb der Sinnfrage weitere Alternativen zu diskutieren, musst Du schon klarstellen, wann genau Du ein System für nicht ausreichend sicher hältst, um Klardaten zu halten, jedoch für ausreichend geschützt, um Remote-User zu authentifizieren und für sie Ver-/Entschlüsselungen vorzunehmen. Da sehe ich im Normalfall keinen Unterschied.

Ansonsten besteht ein Kompromiss darin, den machbaren physischen Schutz ganz auf die Sicherheit auszurichten, dass die Volumes in bestimmten Situationen gesperrt werden und Schlüsselmaterial vernichtet wird. Dafür gibt es keine Off-the-shelf-Lösungen.
Dieses System dann überhaupt noch mal remote zu entsperren, und wie - teilweise intrinsisch oder mit Hilfseinrichtungen, ist schon ein weiterer Kompromiss. Kann man alles machen, wenn man sich der Schwächen bewusst ist.

Grüße
Richard
Bitte warten ..
Mitglied: DerWoWusste
20.08.2012 um 09:21 Uhr
Moin Richard.

Um unterhalb der Sinnfrage weitere Alternativen zu diskutieren...
Das ist nicht meine Absicht. Ich suche Erfahrungen zu verschlüsselten NAS-Systemen. Hast Du welche?
Bitte warten ..
Mitglied: psannz
20.08.2012, aktualisiert um 11:01 Uhr
Sers,

ich kann hier selbst zwar nicht mit erprobten Erfahrungen strotzen, wohl aber berichten wie ich bisher das Problem umgangen habe:
Auf der NAS liegt ein iSCSI Target, sonst nichts. Das ganze wird in einem Server gemountet, und der Inhalt dann via Bitlocker verschlüsselt. Positiver Nebeneffekt ist dass die Leistungsfähigkeit der NAS wegen einer Verschlüsselung nicht einbricht bzw. man eben nicht 1000€ für die NAS-Basis löhnt, sondern eben auch mit 500 für ein 4-Slot Modell hinkommt.
Das Ganze hat natürlich die Limitation dass sich ein User nicht mal eben auf der NAS einloggen kann.

Das Ganze funktioniert natürlich nicht wenn man sich in einem Büro ohne Server befindet bzw. wenn nur eine NAS als zentrale Datenschleuder vorhanden ist. Womit wir wieder beim ursprünglichen Problem sind. Nämlich dass man im Prinzip das Passwort bzw. das Zertifikat auf der Hardware speichern muss.
Klar, die Nutzer müssen sich immernoch am Gerät anmelden (e.g. via AD o.ä.) und die Daten werden erst im Zugriffsmoment entschlüsselt, aber damit hat man eben auch das Risiko das ein schwaches Passwort im Benutzernamen etwa mitbringt. Bringt ja nix die NAS mit ner 1024er AES zu versehen nur damit dann ein Nutzer "Chef" sich das Passwort "God" gibt.

Brauchst in dem Fall also eine saubere Zugangsdatenpolicy.
Und eben auch eine klare Strukturierung von Zugangsdaten. Die Inside-Man-Attacke wirst du wohl egal wie nicht abwenden können, aber zumindest etwas einschränken. Hat aber wieder weniger mit dem eigentlichen Thema zu tun.

Die nächste Frage ist dann natürlich auch ob denn das intern gespeicherte Passwort zur Entschlüsselung wirklich sicher abgelegt ist, oder eventuell sogar extrahierbar ist. Da ist die FIPS-Cert sicherlich ein guter Ansatz für Qualitätsfragen.
Den Weg zwischen NAS und Endnutzer sprechen wir mal lieber erst garnicht an. Der wird wohl als sicher gelten müssen.

Letzenendes ist im Falle der Verschlüsselung auf der NAS imo weniger die Frage wie du der NAS den Key zur Entschlüsselung zur Verfügung stellst, sondern viel mehr wie sicher und sauber die Authentifizierung an der NAS arbeitet und ob es evtl. eine Berechtigungsstruktur gibt.

Grüße,
Philip

:edit: sorry für die WoT, wurde doch ein wenig viel.
Bitte warten ..
Mitglied: DerWoWusste
20.08.2012 um 12:49 Uhr
Moin.
Es geht um verschlüsselte (=verschlüsselnde) NAS-Systeme und Ihre Eigenheiten. WoT leider vergebens. ;)
Bitte warten ..
Mitglied: psannz
20.08.2012, aktualisiert um 13:43 Uhr
Zitat von DerWoWusste:
Moin.
Es geht um verschlüsselte (=verschlüsselnde) NAS-Systeme und Ihre Eigenheiten. WoT leider vergebens. ;)

Nuja, wie man es nimmt. So wie ich den QNAP-Weg versteh werden die Daten on-the-fly entschlüsselt, eben so wie der Nutzer grad drauf zugreift. Die Authentifizierung für die angeforderten Daten werden ja weiterhin wie eingetragen Benutzeraccounts auf der NAS oder via AD/LDAP geregelt. Der Nutzer kommt natürlich nur auf die Volumes bzw Freigaben die die jeweiligen ACL zulassen. Soweit eigentlich alles ganz normal.

Der einzige große Unterschied ist imo ob die NAS das verschlüsselte Volume automatisch bereit stellt (Zertifikat/Key auf NAS gesichert) oder ob die Bereitstellung erst auf Nutzerinteraktion geschieht.

Alles andere würde die Sache aus Nutzersicht ja total verkomplizieren. Also bei einer verschlüsselten/verschlüsselnden NAS ;)
Bitte warten ..
Mitglied: Lochkartenstanzer
20.08.2012 um 19:14 Uhr
moin,

Für solche Zwecke wurde das TPm erdacht. Damit kann man Schüssel auf dem gerät sicher verwahren und die laufwerke damit verschlüsseln. Allerdings muß man natürlich imemr noch dafür sorgen, daß keiner die hardware heraustragen kann oder auch irgendwelche "Wanzen" an dem gerät istalliert, die die Datenleitungen z.B. am prozessorbus abhören können.

Die frage ist wie imemr bei IT-Security: Gegen welche Bedrohugne will man sich schtüzen und welche kosten verwursacht der Schutz im Verhältnis zum finanziellen Schaden.

lks

PS: Die iSCSI-Variante, bei der der Client für die verschüsselung sorgt ist eine praktikable Möglichkeit, die allerdings Ihre Grenzen im gemeinsamen zugriff findet.

PPS: Man kann im Selbstbau auch einen Schlüssel im Netz hinterlegen, den das System per ssle mit client und serverauthentifikation holt und damit die Laufwerke entschlüsselt. Sobald man das System sperren will, nimmt man den Schlüssel vom netz. Ist allerdings für DOS-Angriffe anfällig.
Bitte warten ..
Mitglied: DerWoWusste
20.08.2012 um 22:47 Uhr
Ich setz' den Thread auf gelöst, da keine praktischen Erfahrungen mit verschlüsselndem NAS zu bestehen scheinen, zumindest keine für meine Problemstellung brauchbaren. Es war nur interessehalber, denn die eigentliche Problemstellung habe ich bei uns schon lange hinreichend gelöst. Danke für Interesse und Anregungen.
Bitte warten ..
Mitglied: Lochkartenstanzer
21.08.2012 um 09:42 Uhr
moin,

Ich mache das halt mit Key auf USB-Stick und gesichertem Zugang zur hardware (Selbstbau-NAS mit debian). Den "kommerziellen" Lösungen vertraue ich nicht, selbst wenn sie Zertifiziert sind, weil ich da schon zu oft erlebt habe, daß die Eigentore eingebaut haben. So weiß ich wenigstens, wen ich treten muß, wenn etwas schiefgeht.

lks
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Linux Userverwaltung
Enter-Taste verschafft Angreifern Root-Rechte auf verschlüsselten Systemen (1)

Link von magicteddy zum Thema Linux Userverwaltung ...

Router & Routing
OpenVpn Verbindung Synology NAS hinter Zywall USG 40 (2)

Frage von Tirgel zum Thema Router & Routing ...

SAN, NAS, DAS
gelöst NAS RAID5 - RAID0 und Backup (7)

Frage von easy4breezy zum Thema SAN, NAS, DAS ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...