Erfahrung mit Dateisystemverschlüsselung auf einem Server?
Wer hat Erfahrungen mit Dateisystemverschlüsselung im Bereich Server ?
Hallo liebe Kollegen,
wer von Euch hat schon mit einer Dateisystemverschlüsselung auf einem Server gearbeitet bzw. sowas schon eingerichtet?
Macht das überhaupt Sinn ? Ja, ich oute mich in dieser Frage als Anfänger....heul....Anhand der vielen Skandale sehe ich jedoch, dass andere auch noch viel Nachholbedarf in der Richtung haben.
Ich selbst halte davon nichts, das Dateisystem eines Servers zu verschlüsseln aber was der Kunde wünscht muss man sich zumindest mal anhören
Die Vorgabe des Kunden: Ein Zugriff auf die Daten soll mittels ausbauen der Platte nicht möglich sein, da es sich um Projektdaten einer Entwicklungsfirma handelt. Der Serverraum lässt sich nicht 100% einbruchsicher ausstatten, weil dem Kunden das Gebäude nicht gehört und auch keine Erlaubnis für grössere Umbauarbeiten von Seiten des Vermieters vorhanden ist.
Wer hat sowas schon mal eingerichtet und kann aus seiner ERFAHRUNG heraus eine Produktempfehlung geben?
Was passiert mit der Performance ? Wie ist es wenn im Dateisystem mal was aus dem Ruder läuft ?
Gibt es da auch bezahlbare Hardwarelösungen z.B. Serverhardware die sowas von Haus aus unterstützt ? Wie wurde dort die rechtliche Seite geklärt ?
Der Kunde möchte Windows als Server OS haben aber man könnte ja sowas auch auf einer oder meheren VMs unter Linux laufen lassen.
Ich weiss es ist wieder so ein allgemein Beitrag aber auf Details können wir ja noch eingehen....
Ich will niemanden zu nahe treten aber mir wäre es lieb, wenn sich nur Admins mit Erfahrung in dem Thema dazu äussern würden, Prospekte lesen kann ich selber, mir gehts um das was nicht im Hochglanzprospekt steht und wie sich so eine Lösung im Admin-Alltag verwendbar ist Wenn Ihr Anhand Eurer Erfahrung der Meinung seid, dass so eine Lösung grundsätzlich nix taugt, dann gebts mir
mrtux
Hallo liebe Kollegen,
wer von Euch hat schon mit einer Dateisystemverschlüsselung auf einem Server gearbeitet bzw. sowas schon eingerichtet?
Macht das überhaupt Sinn ? Ja, ich oute mich in dieser Frage als Anfänger....heul....Anhand der vielen Skandale sehe ich jedoch, dass andere auch noch viel Nachholbedarf in der Richtung haben.
Ich selbst halte davon nichts, das Dateisystem eines Servers zu verschlüsseln aber was der Kunde wünscht muss man sich zumindest mal anhören
Die Vorgabe des Kunden: Ein Zugriff auf die Daten soll mittels ausbauen der Platte nicht möglich sein, da es sich um Projektdaten einer Entwicklungsfirma handelt. Der Serverraum lässt sich nicht 100% einbruchsicher ausstatten, weil dem Kunden das Gebäude nicht gehört und auch keine Erlaubnis für grössere Umbauarbeiten von Seiten des Vermieters vorhanden ist.
Wer hat sowas schon mal eingerichtet und kann aus seiner ERFAHRUNG heraus eine Produktempfehlung geben?
Was passiert mit der Performance ? Wie ist es wenn im Dateisystem mal was aus dem Ruder läuft ?
Gibt es da auch bezahlbare Hardwarelösungen z.B. Serverhardware die sowas von Haus aus unterstützt ? Wie wurde dort die rechtliche Seite geklärt ?
Der Kunde möchte Windows als Server OS haben aber man könnte ja sowas auch auf einer oder meheren VMs unter Linux laufen lassen.
Ich weiss es ist wieder so ein allgemein Beitrag aber auf Details können wir ja noch eingehen....
Ich will niemanden zu nahe treten aber mir wäre es lieb, wenn sich nur Admins mit Erfahrung in dem Thema dazu äussern würden, Prospekte lesen kann ich selber, mir gehts um das was nicht im Hochglanzprospekt steht und wie sich so eine Lösung im Admin-Alltag verwendbar ist Wenn Ihr Anhand Eurer Erfahrung der Meinung seid, dass so eine Lösung grundsätzlich nix taugt, dann gebts mir
mrtux
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 115005
Url: https://administrator.de/contentid/115005
Ausgedruckt am: 23.11.2024 um 13:11 Uhr
4 Kommentare
Neuester Kommentar
Zitat von @mrtux:
Die Vorgabe des Kunden: Ein Zugriff auf die Daten soll mittels
ausbauen der Platte nicht möglich sein, da es sich um
Projektdaten einer Entwicklungsfirma handelt. Der Serverraum
lässt sich nicht 100% einbruchsicher ausstatten, weil dem Kunden
das Gebäude nicht gehört und auch keine Erlaubnis für
grössere Umbauarbeiten von Seiten des Vermieters vorhanden ist.
Die Vorgabe des Kunden: Ein Zugriff auf die Daten soll mittels
ausbauen der Platte nicht möglich sein, da es sich um
Projektdaten einer Entwicklungsfirma handelt. Der Serverraum
lässt sich nicht 100% einbruchsicher ausstatten, weil dem Kunden
das Gebäude nicht gehört und auch keine Erlaubnis für
grössere Umbauarbeiten von Seiten des Vermieters vorhanden ist.
Dann verschlüsselt das mit loop-aes:
http://www.pro-linux.de/t_system/loop-aes.html
Die Keys auf eine CD, die dann beim booten eingelegt wird, gemountet, key direkt von der CD gelesen, unmounten, auswerfen.
Dann die CD zu den 4 anderen Sicherungskopien dieser CD zurück in den Tresor.
Niemals den Key irgendwo auf einer unverschlüsselten Festplatte speichern.
Am besten ist es eine ganze Datenfestplatte, komplett, mit selbstkompiliertem loop-AES (aes256) und gutem langen Key, zu verschlüsseln. Wenn die dann jemand anders einbaut, sieht die komplett "fabrikneu" für den aus. Vorsicht bei Kernel-updates!
Speziell diese Lösung sollte nicht so oft vorkommen, da der Wartungsaufwand immens, im Vergleich zu anderen Möglichkeiten, ist.
Generell wird das schon verwendet. Neuere Windows-Server können von Haus aus eine Dateiverschlüsselung, nur bringt die wenig, wenn jemand die Festplatte mitnehmen könnte.
Nach allen Sicherheitsregeln, die ich mir vorstellen kann, sollte zuerst der Zugang zu den Festplatten gesichert werden.
Wenn es nur darum geht, eine grundlegende Sicherheit zu verbauen, die irgendwie besser klingt als garnichts:
1) In der ganzen Windowsdomäne alle Server/Clients auf mindestens 2003/XP kein NTLM, Lanmanager etc.... zulassen
2) http://support.microsoft.com/kb/223316/de für die Datenbereiche
3) Richtige Passwörter, regelmäßige Änderung, per Domänenrichtlinie vorschreiben
4) Dann weitere Tricksereien, die den Eindringlingen die Nerven rauben oder halbherziges Tarnen von Aktionen verhindern, z.B. 802.1X im Netzwerk, Protokollierung von allen Möglichen Ereignissen, damit wenigstens (nachher) rausgefunden wird, das etwas passiert ist.
Generell wird das schon verwendet. Neuere Windows-Server können von Haus aus eine Dateiverschlüsselung, nur bringt die wenig, wenn jemand die Festplatte mitnehmen könnte.
Nach allen Sicherheitsregeln, die ich mir vorstellen kann, sollte zuerst der Zugang zu den Festplatten gesichert werden.
Wenn es nur darum geht, eine grundlegende Sicherheit zu verbauen, die irgendwie besser klingt als garnichts:
1) In der ganzen Windowsdomäne alle Server/Clients auf mindestens 2003/XP kein NTLM, Lanmanager etc.... zulassen
2) http://support.microsoft.com/kb/223316/de für die Datenbereiche
3) Richtige Passwörter, regelmäßige Änderung, per Domänenrichtlinie vorschreiben
4) Dann weitere Tricksereien, die den Eindringlingen die Nerven rauben oder halbherziges Tarnen von Aktionen verhindern, z.B. 802.1X im Netzwerk, Protokollierung von allen Möglichen Ereignissen, damit wenigstens (nachher) rausgefunden wird, das etwas passiert ist.
Hallo ihr Lieben Kollegen,
Ich setzt auf meiner Privaten Server Farm mit 5 Servern True Crypt auf den Server mit der Windows-CA ein. Aber es sei noch zu sagen dass man eine entsprechende TCIP-KVM-Lösung haben sollte wen man das Passwort nicht immer an der Konsole ein tippen will.
Bei mir liegt dass Managmand Netzwerk nochmal Hermetisch getrennt von den Normalen Datenleitungen. Der Zugriff auf das Netz ist nur über ein Speziellen Rechner möglich.
Wen ich also ein Server mit TrueCrypt Booten will. Dann kann ich das nur von den einen Rechner. Und ohne das PW kommt man nicht an die Platten ran.
Ich hoffe ich konnte dir ein wenig weiter Helfen.
LG, Herbrich
PS: Ich habe keine Paraneuer, und die CA ist Privat aber Datensicherheit ist nie verkehrt. Den Vorsicht ist besser als Nachsicht^^
Ich setzt auf meiner Privaten Server Farm mit 5 Servern True Crypt auf den Server mit der Windows-CA ein. Aber es sei noch zu sagen dass man eine entsprechende TCIP-KVM-Lösung haben sollte wen man das Passwort nicht immer an der Konsole ein tippen will.
Bei mir liegt dass Managmand Netzwerk nochmal Hermetisch getrennt von den Normalen Datenleitungen. Der Zugriff auf das Netz ist nur über ein Speziellen Rechner möglich.
Wen ich also ein Server mit TrueCrypt Booten will. Dann kann ich das nur von den einen Rechner. Und ohne das PW kommt man nicht an die Platten ran.
Ich hoffe ich konnte dir ein wenig weiter Helfen.
LG, Herbrich
PS: Ich habe keine Paraneuer, und die CA ist Privat aber Datensicherheit ist nie verkehrt. Den Vorsicht ist besser als Nachsicht^^