Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Verschlüsselung im Serverraum

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

17.09.2009, aktualisiert 22:16 Uhr, 9004 Aufrufe, 38 Kommentare, 3 Danke

Hi Admins!

Gegeben sei ein nicht ausreichend gegen Einbruch zu sichernder Serverraum. Zu schützen sind lediglich die Daten, materieller Verlust spielt hier keine Rolle.
Als Bitlocker und Ähnliches populär wurden, sah es ja zunächst aus, als könnte man damit ganz wunderbar solche Geräte schützen. Mittlerweile ist klar geworden, dass nur eine Verschlüsselung mit PBA (Kennworteingabe vorm Booten) ausreichenden Schutz bieten kann. In diesem Fall genaugenommen nicht einmal die, denn im Serverraum steht eine USV [oder eine könnte mitgebracht werden], so dass theoretisch die Geräte im eingeschalteten Zustand samt USV gestohlen werden könnten - somit wäre der Schlüssel angreifbar im Arbeitsspeicher ("cold boot attack").

Man müßte eine Technik haben, bei der der Schlüssel nicht eingegeben werden müßte (halte ich bei Servern anders für nicht praktikabel) und dennoch gegen cold boot attacks gefeit sein.
Gibt es auf diesem Sektor irgendeine Neuerung, die ich verpasst habe?
38 Antworten
Mitglied: Supaman
17.09.2009 um 22:20 Uhr
ich würde mal sagen, das der fall das man einen eingeschalteten server samt usv klaut, eher theoretischer natur ist. der "normale" einbrecher ist an der hardware interessiert ist und nicht an den daten. falls du diesen punkt trotzdem absichern willst, würde ich die usv einbetonieren, oder einen shutshown mechanismus installieren, wenn ein bestimmtes gerät an anderer stelle in der firma nicht mehr anpingbar ist (=netzwerkkabel gezogen).

umgekerter ansatz: wer an den daten interessiert ist, klaut nicht den server sondern geht anders vor.

nicht nicht eingeben? warum nicht? server werden eher selten neu gestartet. alternativ gibts auch kryptosoftware, die den key von einem usb dongle liest, z.b. aladdin etoken - safeguard easy kann das. nachteil: wer den token hat, muss das pw nicht kennen - ist das token weg, gibts probleme wenn man keine weitere authentifizierung implementiert hat.
Bitte warten ..
Mitglied: DerWoWusste
17.09.2009 um 22:37 Uhr
Danke.
der "normale" einbrecher ist an der hardware interessiert ist und nicht an den daten
Ich gehe hier von gezielter Werksspionage aus, nicht von normalen Einbrechern. Die Daten sind eine Menge Wert, die Hardware ist zu vernachlässigen.
USV - Und was ist, wenn die mit einer mobilen USV anrücken?
Die Shutdown-Idee ist nett, birgt aber ein Risiko durch Fehlalarme.

wer an den daten interessiert ist, klaut nicht den server sondern geht anders vor
Das interessiert hier nicht. Blende den Gedanken bitte aus.

server werden eher selten neu gestartet
Gut. Dann stell Dir vor, einer der Server stürzt über Nacht ab. Was dann, möchtest Du der Erste sein, der morgens in der Firma ist, so schön gegen 6:30? Da ist mir ein automatischer Neustart ohne Kennworteingabe doch der sympathischere Gedanke.

Die Sache mit dem eToken ist natürlich unpassend in diesem Fall, wie Du selber erkannt hast.

--
Kurzum: um die Frage zu vereinfachen: gibt es einen ganz neuen Gedanken/neue Technik für diese Problemstellung unabhängig von wenn und aber und der Frage, wie plausibel Euch so ein Einbruch erscheinen mag?
Bitte warten ..
Mitglied: Supaman
17.09.2009 um 22:48 Uhr
unter den von dir geschilderten gesichtspunkten scheidet verschlüsselung aus - du musst die daten auslagern, z.b. über iSCSI.
Bitte warten ..
Mitglied: brammer
17.09.2009 um 22:52 Uhr
Hallo,

ich finde den Ansatz schon nicht konsequent bedacht.
Wenn ich so wichtige Daten in großer Menge habe dann muss ich mir Gedanken machen wieso ich den Serverraum als solchen nicht absichern kann.

Dein Ansatz nur die Daten zu schützen ist zu kurz angesetzt. Es gehört immer ein Konzept dazu das Neben dem Schutz der Daten auch den Zugriff zu den Daten für Unbefugte so aufwendig macht das es sich nicht lohnt.
Einen Serverraum zu sichern ist im übrigen nicht so kompliziert.
Es muss nur richtig geplant werden.

brammer
Bitte warten ..
Mitglied: DerWoWusste
17.09.2009 um 23:00 Uhr
Hi Brammer.
Kurzsichtig und inkonsequent ist das nicht, wenn es so wirkt, dann deshalb, da ich hier diesen Gedanken völlig isoliert aufgreife. Es fand auch schon eine Raumbegehung durch Experten im Bereich Gebäudeschutz/Serverraumabsicherung statt, Angebote folgen. Jedoch soll ich die Möglichkeit der Verschlüsselung zumindest beleuchtet haben, bevor man sich über die baulichen Gegebenheiten den Kopf zerbricht.
Bitte warten ..
Mitglied: nEmEsIs
17.09.2009 um 23:01 Uhr
Hi

Also wenn du die Platten sichern willst kommst du um ne Verschlüsselung nicht rum ....
Wenn du den ganzen Server sichern willst gibt es GPS-Peilungssysteme die du mit auf´s Mainboard klemmen kannst ... Aber wer macht sich die Arbeit, nen ganzen Server zu klauen...
Wenn zb. Abends ein Admin (weiß nicht wieviele ihr seit) vergisst sich local an dem Ding abzumelden ....
oder mit diversen Kennwortaushebelungs CD´s kann er sich Zugang verschaffen, und nen Trojaner (ich rede nicht von public Trojanern...) oder ein kleines Script schreiben was die Daten auf nen FTP lädt ... Kommt immer darauf an wie "dumm" der Angreifer ist.
Wenn euch die Daten so wichtig sind, Panzertür und Fingerprint + Pin oder ähnliches...
Oder ein anständigen Serverschrank mit Kameraüberwachung ....

Desweitern solltest du wenn die Daten so wichtig sind auch noch den Raum, wo die Backupserver oder Bänder oder was weiß ich welche Backupmedien gut sichern.... das ist meist unauffälliger die zu Klauen bzw. auszutauschen....

Mit freundlichen Grüßen Nemesis
Bitte warten ..
Mitglied: VW
17.09.2009 um 23:34 Uhr
Hallo,

wie werden die Daten bei der Verarbeitung auf Clients denn vor Spionage geschützt?

[offtopic]
Werden die Daten im LAN als VPN verschlüsselt und die Mitarbeiter permanent von einem unabhängigen Sicherheitsunternehmen beauftragt oder gar im Serverraum an der Tastatur festgekettet, um keinen Kontakt nach außen aufnehmen zu können? Bei Werksspionage würde ich eines der größten Risiken in den eigenen Mitarbeitern sehen, die Zugriff auf die Daten haben (müssen). Jeder ist Bestechlich und Erpressbar, egal was wer jetzt von sich behauptet und was einem Filme vormachen. Der eine gibt sich vielleicht schon mit 2.500 EUR zufrieden, um Daten auf einem USB-Stick weiterzugeben, der nächste fängt vielleicht erst bei 500.000 EUR an zu verhandeln. Aber irgendwann kriegt ein Fachmann jeden gebrochen. Zur Not mit Folter (der Familienangehörigen).
[/offtopic]

Ich sehe in der Verschlüsselung von so Unternehmenskritischen Daten nicht die Möglichkeit, diese ausreichend, mit gewissem Aufwand, abzusichern. Entweder liegen die Daten in echt an einem anderen physikalischen Standort (iSCSI wurde als Stichwort bereits genannt) oder ihr wartet auf die Angebote zur Absicherung des Serverraums und sucht euch dann einen entsprechenden Anbieter.

Mit freundlichen Grüßen,
VW
Bitte warten ..
Mitglied: DerWoWusste
17.09.2009 um 23:50 Uhr
Hi VW. Das "offtopic" sehe ich auch so. Wir versteifen uns nicht auf die Verschlüsselung, keine Sorge. Ebenso wissen wir die Gefahren im Kontext des Ganzen zu sehen und die innere Gefahr ist immer vorne dabei.
iSCSI habe ich wahrgenommen, kommt jedoch von der Bandbreite hier vermutlich derzeit nicht in Frage - wird aber dennoch in die Betrachtungen mit einbezogen.

wie werden die Daten bei der Verarbeitung auf Clients denn vor Spionage geschützt?
Das ist ein ganz anderes Thema - klar, Datenabfluß droht auch dort. Ebenso @nEmEsIs und andere: die Fragestellung beschränkt sich auf Möglichkeiten der Verschlüsselung. Netzwerkangriffe/Malware und Bootdisks sowie menschliches Versagen bleiben bitte außen vor.
Bitte warten ..
Mitglied: DerWoWusste
18.09.2009 um 00:03 Uhr
-offtopic--
Zur Forenfunktion "Beitragsbewertung"
Was ist denn an diesem Beitrag wenig anspruchsvoll? Bitte melden.
Bitte warten ..
Mitglied: mrtux
18.09.2009 um 02:14 Uhr
Hi !

Genau WV den Faktor Mensch wollte ich auch schon ins "Spiel" bringen, an den wird meist nämlich nicht gedacht.

Ich hatte den Fall gerade bei einem Kunden, dort wurde von uns eine Verschlüsselung der Serverdaten verlangt aber der Chef selbst hat eine Kopie der hochbrisanten Daten (einer Partnerfirma) auf einem Notebook mit unverschlüsseltem Dateisystem (von dem ich nichts wusste) mit nach Hause genommen...was hilft viel Fort-Knox wenn Brain.exe in der Unterzahl ist....

mrtux
Bitte warten ..
Mitglied: 81825
18.09.2009 um 02:42 Uhr
Zitat von DerWoWusste:
Was ist denn an diesem Beitrag wenig anspruchsvoll? Bitte melden.
DerWoWusste hat was verpasst? Bei dem Nick? Außerdem finde ich die Themenüberschrift bescheuert.
Und dann die ziemlich arroganten Antworten deinerseits zu den gut gemeinten Bemerkungen der Kollegen.
Ich bewerte so, wie ich das für richtig halte.
Bitte warten ..
Mitglied: gralkor
18.09.2009 um 06:39 Uhr
zuerst würde ich den Serverschrank abschließen und auch die Bezel der Server (also diese Frontplatten) draufsetzen und abschließen.
So fällt schon mal ein "on the fly"-Festplattenklauen weg.
den kompletten 24 oder 42HE-Schrank zu klauen wird schon schwierig oder laut, wenn man das öffnen will.
Kritischer wäre das Backup über nen Roboter, wenn die nicht auch weggeschlossen sind, denn dort ist ja auf schnelles Entnehmen der Bänder geachtet.
Und dann hat man die Daten.

G.
Bitte warten ..
Mitglied: maretz
18.09.2009 um 07:28 Uhr
Sorry, aber du möchtest den Server gegen Diebstahl sichern? Dann würde ich ggf. ne ganz einfache Methode nutzen: Den Server im Rack vernünftig festketten. Die wenigsten Personen die sich darauf konzentrieren nen Server zu klauen haben grad nen Bolzenschneider unterm Arm (und beim richitgem Schloss und vorhandenen Möglichkeiten bringt selbst der nichts...). Oder gehst du dann davon aus das die gleich den ganzen Serverschrank wegtragen? Dann wäre noch den Serverschrank (den Sockel davon) einbetonieren.

Oder du installierst einfach eine ganz billige Webcam die dir Bilder auf einen externen Server sendet soweit sich im Raum was bewegt. Mag zwar sein das der Server dann weg ist - aber wenn ihr eh eher Angst vor Werksspionage habt dann wird da auch kein vollkommen unbekannter den Server klauen...

Aber: Du möchtest die Festplatte verschlüsseln - aber gleichzeitig soll der Server automatisch neu starten können. DAS wird nicht funktionieren. Entweder hast du eine Sicherung drin - dann wird auch IMMER irgendwer da sein müssen um diese Sicherung zu deaktivieren. Oder du hast keine drin - dann startet alles automatisch aber eben auch überall... Einen Dongle halte ich dabei sogar für zimlich unsinnig -> wenn man davon ausgeht das ich eure Daten als Angestellter klauen wollte - dann würde ich auch vorher wissen das ich den Dongle brauche. Und man kommt immer an die Dinge ran - denn bei IRGENDEINEM Mitarbeiter ist die brain.exe immer grad mit ner Schutzfehlerverletzung abgesemmelt... (Notfalls muss man halt den Server morgens um 3 oder 4 zum Absturz bringen - und dann die EDV anrufen das man grad GANZ DRINGEND den Server braucht und schließlich nicht zum Spass so früh morgens da ist... )
Bitte warten ..
Mitglied: Iwan
18.09.2009 um 08:10 Uhr
guten morgen und danke @all für die ersten Lacher des morgens

@DerWoNixWusste
wenn ihr so eine extreme Angst vor Werksspionage habt, dann ist bestimmt das gesamte Werk wie Fort Knox eingerichtet, oder?
sprich: Zugang nur nach Personenkontrolle inkl. Durchsuchung und- leuchtung, überall Wachpersonal mit Hunden, haufenweise Kameras, jeder MA wird permanent kontrolliert, Zugang nur nach persönlicher Authentifizierung, etc.
du kannst natürlich die Datenpartitionen auf den Servern verschlüsseln und es gibt auch HDDs, die eine hardwareseitige Verschlüsselung gleich mitbringen, aber damit habe ich noch keine Erfahrung
aber egal, wie du den Server verschlüsselst: das nützt dir nix gegen Datenklau von Usern selber
mal schnell die USB-HDD angeschlossen, die Daten kopiert und diese dann meistbietend an die Konkurrenz verhökern

in meinen Augen bleibt da nur folgendes:
- den Serverraum erstmal einbruchssicher machen, damit da schon mal nicht jeder einfach so reinkommt
- den Access auf sensible Daten einschränken und sämtliche Zugriffe protokollieren
- die Clients sicherer machen, damit die User sich nicht mal eben so die Daten auf eine USB-HDD oder gar lokal auf die Platte kopieren können

so, und nun such dir was aus, aber ich denke, das der Faktor Mensch das grösste Problem darstellt
Bitte warten ..
Mitglied: noodyn
18.09.2009 um 08:14 Uhr
warum willst du die Daten schützen und nicht (viel einfacher) den Serverraum? Stichwort Kameraüberwachung, Zutrittskontrolle mittels Code oder besser Zertifikat oder RFID-tag oder beides. Wird auf jedenfall einfacher.
Bitte warten ..
Mitglied: brammer
18.09.2009 um 08:49 Uhr
Hallo,

wenn schon gesichert dann nach dem 6 Augen Prinzip.
mindestens 4 augen im Serverraum plus eine Kamera die Ständig von überwacht wird!

Theoretische Betrachtungen sind immer interessant und Notwendig.
Sobald aber Theorie und Praxis aufeinander stossen, wird klar das eine Theorie eben eine
Theorie ist, die in der Praxis meist garnicht realisierbar ist.

Sicherheit muss immer ein Konzept sein das, auf ein gesundes Mass an Realismus und Machbarkeit
geprüft wurde.
Sicherheit muss gelebt und und auf aktuelle Anforderungen angepasst werden, aber jede
Risikobewertung muss im passenden Kontext auf die vorhandene Struktur Projektiert werden.

Wenn man versucht eine Theoretische Betrachtung in die Praxis umzusetzen ohne die Abweichungen zu
Berücksichtigen geht das mit ziemlicher Sicherheit schief....

brammer
Bitte warten ..
Mitglied: St-Andreas
18.09.2009 um 09:15 Uhr
Nun, wenn der Server die Daten in verschlüsselter Form vorhält, warum sollte er die Daten dann selber entschlüsseln können müssen.
Warum wird das entschlüsseln nicht auf die Clientseite verlegt.

Dazu würden sich Container ala Truecrypt etc. mit lokaler Entschlüsselung (z.B. Smartcardbasierend) anbieten.
Bitte warten ..
Mitglied: DerWoWusste
18.09.2009 um 09:31 Uhr
Na, das ist doch schön, wenn wenigstens etwas Erheiterung dabei rauskommt.
Für alle, die sich gefragt haben "warum macht ihr nicht...?" oder "denk doch eher mal über...nach" - ich hab doch klar gesagt, dass wir uns gar nicht auf Verschlüsselung fixieren, ich soll es nur beleuchtet haben, das ist nun mal mein Auftrag. Ich bin in dem Thema Verschlüsselung zwar recht fit, aber ich hielt eine zweite Meinung für angebracht.
Ich hab als Einschätzung zum Verschl.-Gedanken spontan "unmöglich" abgegeben, aber man wird ja auch manchmal positiv von den Ideen anderer anderen überrascht. Sei's drum.

Zu unserer Sicherheit, die ja nun auch hinterfragt wurde: Dies Unternehmen arbeitet zum Großteil für die Bundeswehr und NATO. Wir verarbeiten im Haus Daten bis zum Geheimschutzgrad "Geheim". Diese werden auf abstrahlsicheren Tempestrechnern verarbeitet welche noch nicht einmal vernetzt werden dürfen und das gewiss nicht in unzureichend gesicherten Räumen (dennoch sind hier keine Wachhunde oder Wolfsrudel unterwegs, wenn auch Polizeischutz bei Alarm besteht). Der weitere Serverraum soll in Zukunft die am niedrigsten eingestuften Daten enthalten und wurde vor über 25 Jahren gebaut, da hat man sich noch eher weniger Sorgen gemacht.
Bitte warten ..
Mitglied: Der-Phil
21.09.2009 um 18:22 Uhr
Hallo,

eine Option wäre noch folgende:
Du sicherst den Entschlüsselungs-Key gesondert (z.B. durch NAS in ordentlichem Safe). Die Server selbst entschlüsseln mit diesem Key. Nimmt der Dieb die Platten der Server mit, kommt jedoch nicht an den Key, hat er auch keine Daten.

Phil
Bitte warten ..
Mitglied: DerWoWusste
21.09.2009 um 18:35 Uhr
Hi Phil,
wie stellst Du Dir das technisch vor, wie wird gemountet ohne Schlüsseleingabe und ohne dass der Schlüssel in den RAM gerät?
Bitte warten ..
Mitglied: St-Andreas
21.09.2009 um 19:58 Uhr
Das wird nicht gehen. Aber warum muss das Betriebssystem das mountet und somit den Schlüssel hat den im selben Raum stehen wie der Server der die verschlüsselten Daten vorhält?
Bitte warten ..
Mitglied: DerWoWusste
21.09.2009 um 20:16 Uhr
Hallo Andreas.
Wir wollen am liebsten Vollverschlüsselung.
Aber wie sollte es sonst gehen? Skizzier mal bitte, wie Du Dir das vorstellst - auch über iSCSI? Die hierfür ausreichend schnelle Anbindung zum bereits sicheren Raum ist leider nicht gegeben, das ist das Problem.
Bitte warten ..
Mitglied: Der-Phil
22.09.2009 um 09:22 Uhr
Hallo,

das ist sicher nicht High-End, aber wenn ihr nicht die Bootplatte verschlüsseln müsst, könntet ihr von einer unverschlüsselten Platte booten. Die Daten liegen in einem z.B. TrueCrypt Container. Zur Entschlüsselung des Truecrypt Containers muss zunächst der Key vom NAS im Tresor geholt werden. Das passiert bei jedem Booten.

Man könnte z.B. per SCP via Public Key den eigentlichen Entschlüsselungsschlüssel vom NAS holen. Das sollte alles funktionieren...

Alternativ geht das natürlich auch per iSCSI, dass der Key auf einem iSCSI-LUN liegt, das ausschließlich aus dem entsprechenden Serverraum zu erreichen ist.

Für mich ist es kein Problem, wenn der Schlüssel im RAM ist, da die Einbrecher wohl nicht schaffen, die Server zu stehlen mit eingebauten Platten ohne, dass sie kurzzeitig vom Strom sind...

Phil
Bitte warten ..
Mitglied: St-Andreas
22.09.2009 um 10:09 Uhr
ISCSI hätte ich jetzt schon angedacht. Es gibt da aber sicher Alternativen, wobei ich jetzt nicht wirklich fit genug in diesem Thema bin.
Als weitere Idee hätte ich eine Verschlüsselung mit Smartcard anzubieten, wobei die Smartcard extern angebunden wird. Hier bieten sich USB-Netzwerkinterfaces an.
Bitte warten ..
Mitglied: DerWoWusste
22.09.2009 um 11:06 Uhr
Moin.
Für mich ist es kein Problem, wenn der Schlüssel im RAM ist, da die Einbrecher wohl nicht schaffen, die Server zu stehlen mit eingebauten Platten ohne, dass sie kurzzeitig vom Strom sind...
Aber sicher schaffen die das. Ich gehe nicht von Hein Blöd aus, der aus Jux und Dollerei gerade bei einer Firma, die für das Militär arbeitet, einbricht. Server haben normalerweise redundante Netzteile. Oben hab ich bereits eins und eins zusammengezählt und beschrieben, dass man mit einer mobilen USV ohne Daniel Düsentrieb zu sein mühelos einen Server eingeschaltet stehlen kann. Ich selbst hab schon zum Test eingeschaltete, vernetzte Server online von einem Gebäudeteil in den anderen geschafft - auch das macht die Redundanz (Strom und LAN) möglich.
Der Schlüssel darf nicht in den RAM.
Bitte warten ..
Mitglied: DerWoWusste
22.09.2009 um 11:16 Uhr
Andreas, lass uns die Idee begraben. Wie gesagt ist die Anbindung zum gesicherten Raum derzeit zu langsam, um für Fileserver an das angedachte Netzsegment zu taugen.
Bitte warten ..
Mitglied: St-Andreas
22.09.2009 um 11:29 Uhr
Wenn ein Verbindung vorhanden ist, dann dürfte es möglich sein eine Smartcard darüber abzubilden. Ich habs noch nie gemessen, aber ich kann mir nicht vorstellen das die Abfrage einer Smartcard viel Traffic verursacht.

Wenn Du Schlüssel und Daten nicht trennen kannst und wenn ein Dieb genügend Zeit hätte einen Server im laufenden Betrieb mitzunehmen hast Du wenig Chancen (allerdings wohl ein grundlegendes Sicherheitsproblem).

Fassen wir doch mal zusammen.
Du willst Daten und Schlüssel nicht auf einem System haben, musst also Daten und Schlüssel trennen.
Aufgrund mangelnder bzw. unperformanter Anbindung kannst Du die Daten nicht vom Server trennen, also bleibt Dir nur der Schlüssel. Den könntest Du ja sogar auf die Clients/Benutzer verlagern. Oder sehe ich das falsch?
Bitte warten ..
Mitglied: Der-Phil
22.09.2009 um 11:50 Uhr
Hallo,

außerdem könntest Du das Problem des Schlüssels im RAM, der bei einem Transport dort verbleibt mit einem kleinen Script lösen, das den Rechner sofort herunter fährt, wenn das NAS mit dem Schlüssel oder die Smartcard verloren geht.

Phil
Bitte warten ..
Mitglied: DerWoWusste
22.09.2009 um 13:22 Uhr
Wenn ein Verbindung vorhanden ist, dann dürfte es möglich sein eine Smartcard darüber abzubilden
Erklär das nochmal - wo soll die Smartcard (gesichert) stecken?
Aufgrund ...Daten nicht vom Server trennen, also bleibt Dir nur der Schlüssel... auf die Clients/Benutzer verlagern.
Dies verschiebt mein Problem, ist nicht erwünscht.
Bitte warten ..
Mitglied: St-Andreas
22.09.2009 um 13:28 Uhr
Smartcardleser als USB-Gerät in einem USB-Netzwerk-Hub und diesen entsprechend irgendwo weit weg im Netz
Bei Anschaffungspreisen unter 100€ würde ich das einfach mal über eine langsame Verbindung testen....
Bitte warten ..
Mitglied: DerWoWusste
22.09.2009 um 13:42 Uhr
Ok, verstehe. Die Idee hatten wir oben schon in etwa (supaman, erste Antwort). Was mich wie gesagt daran stört, ist das Risiko des Fehlalarms - wenn ein Fileserver runterfährt, weil warum auch immer ein NAS nicht erreichbar scheint, ist das Geschrei groß.
Aber mal sehen: Wenn man den shutdown verzögert (x min) und die Möglichkeit shutdown -a offenhält, wenn das NAS/whatever wieder erreichbar ist, scheiden temporäre connect-Probleme als Ursache für einen Fehlalarm+shutdown fast aus, den Dieben bleiben dann nur diese x Minuten um vom Eintritt in den Offlinebetrieb zur cold-boot-Attacke zu kommen - immerhin eine Überlegung wert.
Danke, ich werd' mir mal weitere Gedanken um diesen Ansatz machen.
Bitte warten ..
Mitglied: St-Andreas
22.09.2009 um 14:11 Uhr
Ob der Schlüssel jetzt in Dateiform auf einem NAS liegt, oder als KEY auf einer Smartcard, der Ansatz ist der selbe, d.h. Schlüssel liegt entfernt von den Daten.
Wobei meiner Ansicht nach die Smartcardvariante sicherer ist, da diese deutlich schwerer zu fälschen sein dürfte als ein Filebasierter Schlüssel. Zumal bei der NAS-Variante die Anbindung an das NAS ebenso zu verschlüsseln wäre wie die Daten selber.
Bitte warten ..
Mitglied: St-Andreas
22.09.2009 um 14:13 Uhr
Zitat von DerWoWusste:
> Wenn ein Verbindung vorhanden ist, dann dürfte es
möglich sein eine Smartcard darüber abzubilden
Erklär das nochmal - wo soll die Smartcard (gesichert) stecken?
> Aufgrund ...Daten nicht vom Server trennen, also bleibt Dir nur
der Schlüssel... auf die Clients/Benutzer verlagern.
Dies verschiebt mein Problem, ist nicht erwünscht.

Wieso verschiebt das das Problem? Der Client/Benutzer muss ja vertrauenswürdig sein, sonst dürfte er ja eh keinen Zugriff auf die entschlüsselten Daten erhalten.
Bitte warten ..
Mitglied: DerWoWusste
22.09.2009 um 15:11 Uhr
xxx Edit xxx ...auch diese Variante bringt nichts, der Key kommt in den RAM. xxxEnde editxxx
Ich werde diese Variante testen. Server bootet durch, liest das Keyfile via Netzwerk von einem PC, der in einem besser zu sichernden Bereich steht und mountet die lokalen verschlüsselten Container ohne den Schlüssel im RAM zu parken und startet danach den Serverdienst neu, damit die Freigaben entstehen - klingt soweit ok, wenn es denn auch funktioniert.

Vielen Dank für die Idee.

PS: Tests werden eine Weile dauern.
PS2: Bezüglich Verschiebung des Probl. auf die Clients - das ist kategorisch ausgeschlossen. Auf den Clients darf nichts liegen, was irgendwie den Zugang zu den Dokumenten begünstigt. Die Richtlinie sieht so aus, dass für diese Daten eine Verarbeitung auf (physikalisch) ungesicherten Rechnern erlaubt ist (keine lokale Speicherung/Pagefile verschlüsseln, temp.-Verzeichnis sicher überschreiben usw...demnächst wahrscheinlich auch verschlüsselte Clients) und nur die Server, auf denen die Daten liegen, physikalisch hinreichend abgesichert werden müssen.
Bitte warten ..
Mitglied: DerWoWusste
22.09.2009 um 16:33 Uhr
Ohoh. Da sind wir beide leider einem Missverständnis aufgesessen. So schön das funktioniert (schon getestet), der Schlüssel gelangt in den RAM, wo er eben nicht hingelangen darf. Die Mountoption /w (=wipecache) hat leider keinen Einfluss darauf. Zitat Truecrypt-Anleitung (http://www.truecrypt.org/docs/unencrypted-data-in-ram):
To summarize, TrueCrypt cannot and does not ensure that RAM contains no sensitive data (e.g. passwords, master keys, or decrypted data). Therefore, after each session in which you work with a TrueCrypt volume or in which an encrypted operating system is running, you must shut down (or, if the hibernation file is encrypted, hibernate) the computer and then leave it powered off for several minutes before turning it on again. This is required to clear the RAM.

So wird das also auch nichts. Bleibt nur noch der shutdown-falls-xy-nicht-erreichbar-Ansatz übrig.
Bitte warten ..
Mitglied: maretz
22.09.2009 um 19:25 Uhr
Sorry, aber langsam frag ich mich ob du die richtige Person bist um sowas aufzubauen.

a) Der Schlüssel soll NICHT im RAM liegen? Ok, für eine Netzwerk-Freigabe den Schlüssel ausserhalb des RAMs zu lagern dürfte deinen Server ein wenig langsam machen, oder? Stelle dir mal vor er muss für JEDE Anfrage erstmal den Key lesen (ggf. übers Netzwerk) - dann die Datei entschlüsseln und danach den Key wieder droppen. Ganz davon abgesehen das du besser nen Datenträger hast der sehr viele gleichzeitige Zugriffe unterstützt hast du immer einen extremen Versatz drin.

b) Wenn du von einem Einbrecher ausgehst der sich auskennt dann kannst du höchstens auf einen Hardware-Schutz gehen. Denn: Egal ob du nun ne Smartcard nimmst oder ob du da ne Diskette reinpackst -> wenn es jemand mit genügend Kenntnissen auf die Daten abgesehen hat dann weiss der auch wo du die Karte hinterlegt hast. Es geht also DEFINITIV nur mit einem Passwort was Manuell von einer Person eingegeben wird. DAS ist der einzige Schutz den der Einbrecher nicht klauen kann. Wobei da sinnvollerweise bei diesen Top-Secret-Daten 2 Personen für das PW nötig sind (d.h. jeder kennt nur das halbe PW) -> damit man auch ausschließen kann das der PW-Inhaber das PW absichtlich oder versehentlich weitergibt).

Ganz ehrlich: Das ganze was du hier planst finde ich persönlich zimlich lächerlich. ENTWEDER eure Daten sind so vertraulich/wertvoll das ihr nen *vernünftigen* Serverraum inkl. Zugangsschutz organisiert - oder ihr solltet euer Konzept komplett verwerfen. Wenn du davon ausgehst das jemand dem Server im eingeschalteten Zustand klauen möchte dann wäre ggf. nen Wachmann im Eingangsbereich sinnvoller... Der sollte da schon misstrauisch werden. Aber einen Passwortschutz bei dem du als Admin die füße hochlegen kannst UND der das PW nicht im RAM ablegt UND der auch noch schnell arbeitet -> viel Spass beim Suchen...
Bitte warten ..
Mitglied: DerWoWusste
22.09.2009 um 20:28 Uhr
Hi Maretz.
Beiträge, die mit "sorry, aber..." anfangen, liest man doch am Liebsten. Und bitte, wenn Du schreibst "ich frage mich ob...", dann schreib doch auch, warum. So wie das anfängt, ist das ein kritischer Beitrag (kein Problem damit), der aber destruktiv und unsympathisch rüberkommt. Auch damit hab ich kein wirkliches Problem, dennoch.
Mir scheint, Du bringst kein Verständnis für das auf, was hier gefragt ist. Gefragt ist nach einem Rat, einer best practice, einer Idee - ob die Umsetzung (Ziel: angemessener Schutz gegen Diebstahl) auch nur im Entferntesten mit Verschlüsselung zu tun haben wird, war von vornherein offen, obwohl - und das habe ich "unterwegs" betont - ich selbst diesen Weg für unmöglich hielt und halte. Der Auftrag kam vom Sicherheitsbeauftragten und lautete: zeige alle Möglichkeiten auf - auch die der Verschlüsselung, selbst wenn es dann heißen wird "geht, aber nur eingeschränkt tauglich/umständlich/was auch immer". Und da sag ich dann wohl kaum "nö, mach ich nicht, weil lächerlich". Soviel auch zum Thema "Das ganze was du hier planst..." - steht doch mehrfach in meinen Kommentaren - wenn, dann "planen" das andere. Es ist lediglich mein Auftrag und den kann ich mir nicht aussuchen.

zu a)
Es gibt ja noch weitaus mehr Möglichkeiten, als nur Truecrypt, PGP, Safeguard Easy, EFS, Bitlocker - der Markt wächst. Auch Verschl. durch die Platte (Seagate FDE) selbst und am RAID-Controller sind möglich - hier landet der Schlüssel nicht im RAM - jedoch ist hier eine Kennworteingabe erforderlich - untauglich für Serverräume.
b) Der Drops ist doch gelutscht - Ich hab mich auch längst damit abgefunden, dass es nicht geht, was eh meine eigene Grundannahme war. Dennoch gilt manchmal der Spruch "Jeder wußte, dass es nicht geht - bis einer kam, der es einfach gemacht hat". Und somit soll der Beitrag hier auch abgeschlossen sein und als gelöst gelten.
Außerdem: Top secret sind die Daten nicht. Unser Unternehmen ist nur bis zur Bearbeitung von "geheim"/secret abgenommen und solche Daten darf man per se nicht vernetzen. Die dort angedachten Daten wären nur maximal VS-NfD/NATO restricted oder company conf..

Grüße und danke an alle.
Bitte warten ..
Mitglied: VW
22.09.2009 um 20:44 Uhr
Hi,
da das ja ziemlich mit den vergeblichen Lösungsansätzen ausufert, würde ich an deiner Stelle wohl den Vorgesetzten/Verantwortlichen sagen, dass eine Verschlüsselung technisch ausreicht und, dass um den Bau eines sicheren Serverraums kein Weg drum rum führt, wenn du sogar gegen Hardwaremäßige RAM-Angriffe abgesichert sein musst.

Zum Thema "Sicherheit ist immer ein Konzept" muss ich wohl nach den diversen Kommentaren dazu nichts mehr sagen.


EDIT:
du hast es mir vorausgenommen. vergiss das "Kleingedruckte" von mir einfach.

Mit freundlichen Grüßen,
VW
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Verschlüsselung & Zertifikate
Veracrypt: Welcher Algorithmus ist bei der Verschlüsselung zu empfehlen? (6)

Frage von NCCTech zum Thema Verschlüsselung & Zertifikate ...

Verschlüsselung & Zertifikate
Verschlüsselung: Mit Veracrypt lässt sich nur eine Partition verschlüsseln (1)

Frage von NCCTech zum Thema Verschlüsselung & Zertifikate ...

SEO
Wie funktioniert eine HTTPS Verschlüsselung? (5)

Frage von Yanmai zum Thema SEO ...

Verschlüsselung & Zertifikate
Bitlocker: Ist die Reihenfolge bei der Verschlüsselung wichtig (10)

Frage von cyberjunkie zum Thema Verschlüsselung & Zertifikate ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...