sperber
Goto Top

PfSense: Automatic Backup vs. Datenschutz?

Hallo zusammen,

die pfSensen bieten mit dem Automatic Configuration Backup (ACB) - wie der Name schon sagt - die auto3. matische Sicherung in einer Backupdatei. Bis zu 100 Backups sind hier möglich, die jedoch auf einem externen Netgate Server gespeichert werden. Die Konfiguration lässt hgleichzeitig zu, dass bis zu 50 Backups auch lokal gespeichert werden können. "Auch" bedeutet in diesem Fall jedoch tatsächlich "zusätzlich", so dass es scheint, als sei die Versendung und Speicherung auf den Netgate-Servern insofern erstmal nicht zu umgehen. Die Backups werden zwar mit einem uniquen Geräteschlüssel und einem nutzergenerierten Passwort vor Übertragung verschlüsselt, aber in Richtung Einhaltung der Datenschutzbestimmungen bin ich mir da nicht sicher, ob das konform ist (oder sein kann).

Daher folgende Fragen:
1. Befinden sich die Netgate-Server zur Backup-Speicherung innerhalb der EU oder im außereuropäischen Ausland?
2. Benötige ich für diese Backup-Speicherung einen Datenverarbeitungsauftrag?
3. Gibt es eine Option die Online-Speicherung zu deaktivieren, unter Beibehaltung der automatischen Backup-Erstellung? U.U. hab ich die ja tatsächlich einfach noch nicht entdeckt und war blind.

Gruß & Dank,
Chris.

Content-ID: 6621834714

Url: https://administrator.de/forum/pfsense-automatic-backup-vs-datenschutz-6621834714.html

Ausgedruckt am: 21.12.2024 um 18:12 Uhr

maretz
maretz 03.04.2023 um 08:24:02 Uhr
Goto Top
Warum sollte sich der Datenschutz für deine Konfiguration interessieren? Da du da vermutlich keine nutzer-bezogenen Daten drin hast ist dem das vermutlich erstmal völlig wumpe was du damit machst -> selbst wenn du deine Konfig plain-text inkl. Passwörter auf nen öffentlichen webserver legst...

Ob du dem ganzen so vertraust und eben deine Konfig, Passwörter usw. auf einen externen "Zwangsserver" legst ist dabei eine andere Frage. Denn natürlich riskierst du das es doch irgendwo ne Backdoor gibt und jemand eben diese Daten dann schön gemütlich "frei haus" geliefert bekommt... Es braucht manchmal ja nur einen unzufriedenen Software-Entwickler ....
2423392070
2423392070 03.04.2023 um 08:32:30 Uhr
Goto Top
Kannst Du alles auf deren Webseiten nachlesen.

Außerdem ist das eher eine Datensicherheitsfrage.
Sperber
Sperber 03.04.2023 aktualisiert um 08:56:49 Uhr
Goto Top
Zitat von @2423392070:

Kannst Du alles auf deren Webseiten nachlesen.

Außerdem ist das eher eine Datensicherheitsfrage.


Ich hab dazu nichts auf den Netgate-Seiten finden können. Hast Du da evtl. einen Link zur Hand?
Sperber
Sperber 03.04.2023 aktualisiert um 08:56:02 Uhr
Goto Top
Zitat von @maretz:

Warum sollte sich der Datenschutz für deine Konfiguration interessieren? Da du da vermutlich keine nutzer-bezogenen Daten drin hast ist dem das vermutlich erstmal völlig wumpe was du damit machst -> selbst wenn du deine Konfig plain-text inkl. Passwörter auf nen öffentlichen webserver legst...

Ob du dem ganzen so vertraust und eben deine Konfig, Passwörter usw. auf einen externen "Zwangsserver" legst ist dabei eine andere Frage. Denn natürlich riskierst du das es doch irgendwo ne Backdoor gibt und jemand eben diese Daten dann schön gemütlich "frei haus" geliefert bekommt... Es braucht manchmal ja nur einen unzufriedenen Software-Entwickler ....

Da in den Sensen auch die Benutzer für den OpenVPN mit Klarnamen direkt angelegt sind, würde es halt zum Problem. Freeeradius/AD-Anbindung ist leider auch nicht gewünscht. Persönlich würd ich das wohl auch eher vernachlässigen wollen, aber..
maretz
maretz 03.04.2023 um 09:00:49 Uhr
Goto Top
Zitat von @Sperber:

Zitat von @maretz:

Warum sollte sich der Datenschutz für deine Konfiguration interessieren? Da du da vermutlich keine nutzer-bezogenen Daten drin hast ist dem das vermutlich erstmal völlig wumpe was du damit machst -> selbst wenn du deine Konfig plain-text inkl. Passwörter auf nen öffentlichen webserver legst...

Ob du dem ganzen so vertraust und eben deine Konfig, Passwörter usw. auf einen externen "Zwangsserver" legst ist dabei eine andere Frage. Denn natürlich riskierst du das es doch irgendwo ne Backdoor gibt und jemand eben diese Daten dann schön gemütlich "frei haus" geliefert bekommt... Es braucht manchmal ja nur einen unzufriedenen Software-Entwickler ....

Da in den Sensen auch die Benutzer für den OpenVPN mit Klarnamen direkt angelegt sind, würde es halt zum Problem. Freeeradius/AD-Anbindung ist leider auch nicht gewünscht. Persönlich würd ich das wohl auch eher vernachlässigen wollen, aber..

nun - dann würde ich von einem cloud-backup entweder generell absehen oder technisch dafür sorgen das Benutzer keine Passwörter "wiederverwerten" können (zB. durch das Vorgeben von Passwörtern). Dann wäre auch das kein Problem - nur das du natürlich im Falle einer lustigen Mail wie "Ups, leider wurden wir gehackt und alle Daten stehen jetzt bereits im Darknet für jeden einsehbar" so ziemlich jede A-Karte gezogen hast die du bekommen kannst...
Looser27
Lösung Looser27 03.04.2023 um 09:16:59 Uhr
Goto Top
Ich habe mir angewöhnt Backups immer manuell vor und nach jeder Konfigurationsänderung zu machen und diese lokal auf einen Server zu speichern.

Wenn autom. keine Backups auf einen lokalen Share möglich sind, würde ich immer manuell sichern.
Backups in die Cloud lehne ich grundsätzlich ab bei sicherheitsrelevanten Komponenten.

Gruß

Looser
Sperber
Sperber 03.04.2023 um 09:35:24 Uhr
Goto Top
Zitat von @Looser27:

Ich habe mir angewöhnt Backups immer manuell vor und nach jeder Konfigurationsänderung zu machen und diese lokal auf einen Server zu speichern.

Wenn autom. keine Backups auf einen lokalen Share möglich sind, würde ich immer manuell sichern.
Backups in die Cloud lehne ich grundsätzlich ab bei sicherheitsrelevanten Komponenten.

Gruß

Looser

Darauf wird es auch hinauslaufen, wenn ich keine andere Lösung finde. Natürlich kann man auch acb.netgate.com(443) über die FW sperren und damit den Upload verhindern. Aber das wird bei jeder Änderung dann sicherlich zu Fehlermeldungen führen, was auch niemand wirklich haben will.