Come impostare una crittografia NAS di facile utilizzo?

2

Di recente abbiamo installato un'unità NAS ( Buffalo LinkStation Pro Duo , LS-WVL , eseguendo la versione 1.6 del firmware più recente per essere precisi) nella nostra (piccola) rete aziendale. Attualmente non esiste alcuna crittografia e, per impostazione predefinita, il NAS fornisce accesso anonimo in lettura e scrittura tramite Samba. L'impostazione delle restrizioni utente / gruppo non è un problema con l'interfaccia web, né sta disattivando il media server integrato ecc., Ma la crittografia non è ufficialmente disponibile.

Tuttavia, dal momento che funziona su Linux (vedi ad esempio qui ) e non è troppo difficile ottenere l'accesso di root tramite LAN Posso modificare l'installazione in base alle nostre esigenze. Quindi ecco la mia idea dei nostri requisiti:

  • Cifra i dati sul NAS
    • La decrittografia deve richiedere informazioni esterne (dato che chiunque con accesso LAN può hackerare nell'account root abusando del meccanismo del firmware ...), quindi non posso ad es. condividi semplicemente un volume TrueCrypt montato automaticamente
    • Idealmente, non sarebbero richiesti passaggi aggiuntivi per l'autorizzazione di samba

Stavo anche pensando di installare e server LDAP sul dispositivo mentre ci siamo, quindi forse l'autorizzazione può essere combinata con la decrittografia in qualche modo. Se ciò non è possibile, è necessario montare temporaneamente il volume decrittografato tramite SSH, oltre a un certo timeout.

Qual è una soluzione tipica a questo?

    
posta Tobias Kienzler 04.09.2012 - 09:06
fonte

2 risposte

1

Attualmente, il NAS si trova sulla rete locale e quindi è accessibile solo dalle macchine sulla rete locale (si dice che ci si fida del router). Pertanto, se hai paura di qualsiasi cosa, quindi, per definizione, stai assumendo che la tua rete locale è a rischio e che una "entità ostile" potrebbe collegarsi a quella rete locale.

Come corollario, se l'accesso LAN è sufficiente per ottenere l'accesso root sul NAS, allora deve considerarlo già compromesso. Qualunque cosa il NAS sappia, è noto all'attaccante. Stai anche già dando per scontato che l'autore dell'attacco sia abbastanza gentile da non cancellare o modificare i file ...

Pertanto, se si desidera ottenere alcuna protezione, i dati sul NAS devono essere crittografati con una chiave che il NAS stesso non conosce ; i clienti autorizzati conoscono la chiave e collaborano alla gestione dell'area di archiviazione condivisa che, dal punto di vista del NAS, sarebbe una grande borsa di byte opachi. Ciò non risolverebbe tuttavia la vulnerabilità relativa alla modifica dei dati. Inoltre, non conosco alcuna implementazione pronta per la produzione di un protocollo per questo; a quanto pare, alcune persone ci stanno lavorando :

In addition, we are designing a client-side encryption scheme for NFSv4. This latest version of NFS is intended for use over the Internet, and there are usage scenarios where clients store data on untrusted servers. In our encryption scheme, clients will encrypt data before it is sent to the server. This data will be stored in encrypted form, and will be decrypted by the client when the data is read.

Ma, in realtà, non dovresti permettere che un NAS che può essere telegrafato da remoto possa essere collegato su una LAN potenzialmente ostile. È meglio isolarlo da qualche parte, ad esempio dietro un router abbastanza robusto, con il quale i client autorizzati si connetteranno con una VPN, ad es. IPsec (che Linux dovrebbe supportare in modo nativo). Bonus: una volta installato un router di questo tipo, inserire il disco e abbandonare del tutto il NAS.

    
risposta data 04.09.2012 - 12:40
fonte
0

Ho una Buffalo Linkstation Pro e con l'ultimo firmware arriva l'opzione che supporta il file system AFS che è crittografato. Ciò garantirà la crittografia delle comunicazioni tra PC e NAS.

SMB dovrebbe supportare NTLMv2 in Windows per le comunicazioni che sono anche crittografate.

Il problema per gestire lo storage stesso da crittografare ti guiderà a creare un contenitore TrueCrypt nel NAS della condivisione e montare come unità locale il contenitore usando TrueCrypt

    
risposta data 14.05.2013 - 07:10
fonte

Leggi altre domande sui tag