17
Wie sicher sind Netzwerkfestplatten (NAS) ?
Wir möchten sehr sensible Daten ausserhalb der Domäne auf einer Netzwerkfestplatte speichern.
Der Vorteil besteht nach unserer Ansicht in der abgekoppelten Benutzerverwaltung/Zugriffssteuerung.
So könnte z.B. auch ein Nichtadmin (Führungskraft) die Zugriffssteuerung auf diese Daten übernehmen. Innerhalb der Domäne haben einfach zu viele Entwickler Administratorrechte und Schlupflöcher gibt es dort bestimmt viele. Eine externe Lösung scheint daher die bessere Wahl.
Nun fragen wir uns jedoch, wie sicher die Freigabe/Zugriffssteuerung einer aktuellen Netzwerkfestplatte überhaupt ist.
Es wäre unschön, wenn die Zugangsdaten im Klartext über das Netzwerk geschickt würden und sich der Zugang mit einfacheln mitteln Hacken lassen wurde und somit jeder mit ein bisschen IT-Knowhow an die Daten kommen kann.
Welche Modelle sind eher für Homeuser, ohne grossen Sicherheitsbedarf.
Und welche genügen hohen Ansprüchen.
Es scheint auch so zu sein, dass einige Laufwerke keine stabile Software besitzen und durch Abstürze ihren Inhalt ohne Zutun vernichten.
Auf welche Modelle/Hersteller sollen wir uns konzentrieren, ohne die xxx Euro Liga zu verlassen?
Der Vorteil besteht nach unserer Ansicht in der abgekoppelten Benutzerverwaltung/Zugriffssteuerung.
So könnte z.B. auch ein Nichtadmin (Führungskraft) die Zugriffssteuerung auf diese Daten übernehmen. Innerhalb der Domäne haben einfach zu viele Entwickler Administratorrechte und Schlupflöcher gibt es dort bestimmt viele. Eine externe Lösung scheint daher die bessere Wahl.
Nun fragen wir uns jedoch, wie sicher die Freigabe/Zugriffssteuerung einer aktuellen Netzwerkfestplatte überhaupt ist.
Es wäre unschön, wenn die Zugangsdaten im Klartext über das Netzwerk geschickt würden und sich der Zugang mit einfacheln mitteln Hacken lassen wurde und somit jeder mit ein bisschen IT-Knowhow an die Daten kommen kann.
Welche Modelle sind eher für Homeuser, ohne grossen Sicherheitsbedarf.
Und welche genügen hohen Ansprüchen.
Es scheint auch so zu sein, dass einige Laufwerke keine stabile Software besitzen und durch Abstürze ihren Inhalt ohne Zutun vernichten.
Auf welche Modelle/Hersteller sollen wir uns konzentrieren, ohne die xxx Euro Liga zu verlassen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 42044
Url: https://administrator.de/forum/wie-sicher-sind-netzwerkfestplatten-nas-42044.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
17 Kommentare
Neuester Kommentar
Wenn die Entwickler Domänen-Admin-Rechte haben, dann ist prinzipiell was falsch gelaufen.
Admin-Rechte auf einzelnen Servern, Rechnern ist ja okay, aber nicht für die ganze Domäne.
Aber seis drum.
Wenn Du Angst hast, daß jemand den Netzwerkverkehr innerhalb des LANs abhört, dann gibts überhaupt keine sichere Lösung.
Windows NT/2000/XP verschickt überhaupt keine Passwörter im Klartext, wenn man das für alte SAMBA Versionen noch braucht, dann muß man das erst über einen Registry Key aktivieren, damit Windows das tut. Also daher kein Problem. Die danach übertragenen Daten werden allerdings nicht verschlüsselt. Wobei zum Abhören in einer geswitchten Umgebung braucht man Zugriff auf die Konfiguration des Switches und wenn man dem Netzwerkadmin nicht soweit vertraut, dann weiß ich auch nicht mehr weiter.
Im Prinzip sind die heutigen NAS so sicher, wie es ein Server auch ist, mit schlechten Passwörtern weniger sicher, bei etwas mehr Bedachtsamkeit sicherer.
Aber gegen einen Ausbau der Festplatte und direktes lesen davon hilft auch das nicht. Oder einen Klau des schnuckeligen kleinen NAS, welches man im Mantel mitnehmen kann, ohne das es auffällt.
Admin-Rechte auf einzelnen Servern, Rechnern ist ja okay, aber nicht für die ganze Domäne.
Aber seis drum.
Wenn Du Angst hast, daß jemand den Netzwerkverkehr innerhalb des LANs abhört, dann gibts überhaupt keine sichere Lösung.
Windows NT/2000/XP verschickt überhaupt keine Passwörter im Klartext, wenn man das für alte SAMBA Versionen noch braucht, dann muß man das erst über einen Registry Key aktivieren, damit Windows das tut. Also daher kein Problem. Die danach übertragenen Daten werden allerdings nicht verschlüsselt. Wobei zum Abhören in einer geswitchten Umgebung braucht man Zugriff auf die Konfiguration des Switches und wenn man dem Netzwerkadmin nicht soweit vertraut, dann weiß ich auch nicht mehr weiter.
Im Prinzip sind die heutigen NAS so sicher, wie es ein Server auch ist, mit schlechten Passwörtern weniger sicher, bei etwas mehr Bedachtsamkeit sicherer.
Aber gegen einen Ausbau der Festplatte und direktes lesen davon hilft auch das nicht. Oder einen Klau des schnuckeligen kleinen NAS, welches man im Mantel mitnehmen kann, ohne das es auffällt.
Also ist davon auszugehen, dass die Authentifizierung von einem Windows-Client an einer NAS Festplatte gesichert abläuft?
Wie ist es denn mit dem Datenverkehr vom NAS in das Netzwerk? Werden diese Daten auch sicher übertragen?
Am liebsten wäre mir eine Art Intra-VPN Zugriff zwischen der Usergruppe und dem NAS,
gibt es da soetwas?
Wie gesagt, auf der Festplatte sollen keine Softwareupdates sondern sensible Daten gelagert werden auf die vielleicht 5 Personen Zugriff bekommen sollen!
Wie ist es denn mit dem Datenverkehr vom NAS in das Netzwerk? Werden diese Daten auch sicher übertragen?
Am liebsten wäre mir eine Art Intra-VPN Zugriff zwischen der Usergruppe und dem NAS,
gibt es da soetwas?
Wie gesagt, auf der Festplatte sollen keine Softwareupdates sondern sensible Daten gelagert werden auf die vielleicht 5 Personen Zugriff bekommen sollen!
wenn schon nas und sensible daten, dann denk auch an ein raid-nas und backups
Du solltest vielleicht noch darauf achten, dass falls der NAS Server einen USB Port hat, dieser deaktiviet wird oder die Platte weggeschlossen ist, normal braucht man auf den USB Ports nämlich kein Passwort. Wenn sich also ein Mitarbeiter mit einem Laptop dranhängt....
Wenn du das Dingen wegsperrst hast du auch gleich den Diebstahlschutz. also ich würde sagen sobald jemand Physischen zugriff auf das Teil hat ist die Sicherheit in Gefahr!
hoffe der Gedanke hilft weiter.
Nils
Wenn du das Dingen wegsperrst hast du auch gleich den Diebstahlschutz. also ich würde sagen sobald jemand Physischen zugriff auf das Teil hat ist die Sicherheit in Gefahr!
hoffe der Gedanke hilft weiter.
Nils
man sollte das synchron posten einführen... haben wir ja durch Zufall auf die Sekunde hinbekommen...
sensible Daten und billiges NAS?? Da streuben sich bei mir die Nackenhaare.
Die billigen Teile die ich gesehen habe unter (1000€), gefallen mir von der Rechtevergabe gar nicht. Dazu kommt, das bei einem Hardwaredefekt in 1-2 Jahren schon heftig Probleme kommen können, wenn man Ersatz braucht.
Meine Idee dazu wäre:
Ein eigener Server, der nicht in der Domäne ist. Da kann ich eine eigene Rechtestruktur aufbauen. Macht man den zum DC, kann man über eine Vertrauensstellung zur eigentlichen Domäne sogar die "normalen" Konten verwenden.
Eine abgespeckte Variante wäre das Ganze unter VMWare oder "Virtual Server" aufzusetzen.
Die billigen Teile die ich gesehen habe unter (1000€), gefallen mir von der Rechtevergabe gar nicht. Dazu kommt, das bei einem Hardwaredefekt in 1-2 Jahren schon heftig Probleme kommen können, wenn man Ersatz braucht.
Meine Idee dazu wäre:
Ein eigener Server, der nicht in der Domäne ist. Da kann ich eine eigene Rechtestruktur aufbauen. Macht man den zum DC, kann man über eine Vertrauensstellung zur eigentlichen Domäne sogar die "normalen" Konten verwenden.
Eine abgespeckte Variante wäre das Ganze unter VMWare oder "Virtual Server" aufzusetzen.
sensible Daten und billiges NAS?? Da streuben
sich bei mir die Nackenhaare.
Mit sensible Daten ist in diesem Fall eher "zugriffssensibel" gemeint.sich bei mir die Nackenhaare.
Backup würde jeden Tag durchgeführt und es ist auch nicht so, dass die Daten nicht wiederbeschaffbar wären. Im grunde genommen geht es darum eine günstige und einfach bedienbare Dateiablage für eine Arbeitsgruppe herzustellen.
Meine Idee dazu wäre:
Ein eigener Server, der nicht in der
Domäne ist.
Die Idee ist gut und ist auch noch auf unserer Liste.Ein eigener Server, der nicht in der
Domäne ist.
Problem: Es ist halt keine Out-Of-The-Box Lösung und müsste von einem Admin betreut werden. Das wäre bei einem NAS mit Rechtevergabe über das Webinterface nicht der Fall.
Ganze unter VMWare oder "Virtual
Server" aufzusetzen.
Dieser Tipp ist auch eine Überlegung, die bisher noch gar nicht in Betracht gezogen wurde.Server" aufzusetzen.
Ich würde mich freuen wenn jemand noch etwas zu dem Punkt der Anmelde-/Zugriffssicherheit bei den NAS Festplatten sagen könnte. Wenn die aktuellen Modelle die Benutzerdaten unverschlüsselt über das Netzwerk senden, wäre diese Idee wohl sofort gestorben.
Wie sicher ist ein NAS? Wie sicher ist VPN? Wie sicher ist im allgemeinen eine Übertragung übers Netz? Alles genau so unsicher wie Administratoren oder Hacker es abfangen können.
Meine Lösung wäre: EFs mit IPSEC. Wie sicher ist das dann? So sicher wie die Anzahl der Personen/Administratoren, die den Account dessen kennen, mit dem verschlüsselt wird.
Dazu kann mann noch ein 4, 6 - Augenprinzip des Accounts machen, dann haben nur noch die die Möglichkeit in die Daten einzusehen, die daran beteiligt sind und das nie alleine.
Vorausgesetzt man kennt sich damit aus, jedoch das ist bei der ganzen Computerwelt so.
Bis jetzt wurde EFS noch nicht geknackt und es erscheint mir auch als aüßerst schwierig.
Warum zu teueren Mittel greifen, wenn das Betriebsystem oder eine Fremdsoftware es schon mitbringt. NAS ist eh eine Sache für sich. Zu teuer und man benötigt wieder jemanden der sich sehr gut damit auskennt.
Meine Lösung wäre: EFs mit IPSEC. Wie sicher ist das dann? So sicher wie die Anzahl der Personen/Administratoren, die den Account dessen kennen, mit dem verschlüsselt wird.
Dazu kann mann noch ein 4, 6 - Augenprinzip des Accounts machen, dann haben nur noch die die Möglichkeit in die Daten einzusehen, die daran beteiligt sind und das nie alleine.
Vorausgesetzt man kennt sich damit aus, jedoch das ist bei der ganzen Computerwelt so.
Bis jetzt wurde EFS noch nicht geknackt und es erscheint mir auch als aüßerst schwierig.
Warum zu teueren Mittel greifen, wenn das Betriebsystem oder eine Fremdsoftware es schon mitbringt. NAS ist eh eine Sache für sich. Zu teuer und man benötigt wieder jemanden der sich sehr gut damit auskennt.
Anmelde-/Zugriffssicherheit bei den NAS
Festplatten sagen könnte. Wenn die
aktuellen Modelle die Benutzerdaten
unverschlüsselt über das Netzwerk
Festplatten sagen könnte. Wenn die
aktuellen Modelle die Benutzerdaten
unverschlüsselt über das Netzwerk
Die Frag lässt sich so nicht beantworten, das hängt von dem Betriebssystem ab, was auf dem NAS läuft und auch wie es konfiguriert ist.
Bis jetzt wurde EFS noch nicht geknackt und
Das stimmt nicht!
würde mich interresieren von wem? Es ist leicht gesagt, es gibt viele Tools, die es angeblich können. Ich habe alle mir bekannten getestet und kein einziges davon kann es.
Selber auch habe ich/wir viel getestet.
Wie gehts?
Selber auch habe ich/wir viel getestet.
Wie gehts?
Falsch. So wie er es macht, kann ich es auch, damit ist es jedoch nur bedingt möglich.
Aber entschlüssle mal Dateien, bei dem es keinen Schlüssel des Recovery Agents gibt oder bei dem das Passeort unbekannt ist. Du kein Zertifikat mit privatem Schlüssel des Benutzers hast und kein Passwort, sondern nur deines.
Ich meine mit knacken: Ich finde verschl. Dateien auf einem Server und kann sie entschlüsseln, ohne jegliche Schlüssel oder Zertifikate, denn wer die hat kann alles öffnen.
Wenn man efs dateien knacken möchte, hat man keinen Zugriff auf den Schlüssel des Recovery Agents, denn der sollte nicht auf dem Server und nur ein oder zwei Personen bekannt sein bzw. in einem gesicherten Verzeichnis liegen. Selbst wenn man den Schlüssel des Agents hat, aber nicht das Zertifikat ist es nicht möglich.
Ich kann eine Tür öffnen, wenn ich das Versteck des Schlüssels weiß.
Teste mal selbst mit dem Elcom Tool. Erstelle eine verschlüsselte Datei in einem Verzeichnis.
Melde dich erneut unter einem anderem Account an und versuche mit dem Tool es zu öffnen.
Keine Chance.
Aber entschlüssle mal Dateien, bei dem es keinen Schlüssel des Recovery Agents gibt oder bei dem das Passeort unbekannt ist. Du kein Zertifikat mit privatem Schlüssel des Benutzers hast und kein Passwort, sondern nur deines.
Ich meine mit knacken: Ich finde verschl. Dateien auf einem Server und kann sie entschlüsseln, ohne jegliche Schlüssel oder Zertifikate, denn wer die hat kann alles öffnen.
Wenn man efs dateien knacken möchte, hat man keinen Zugriff auf den Schlüssel des Recovery Agents, denn der sollte nicht auf dem Server und nur ein oder zwei Personen bekannt sein bzw. in einem gesicherten Verzeichnis liegen. Selbst wenn man den Schlüssel des Agents hat, aber nicht das Zertifikat ist es nicht möglich.
Ich kann eine Tür öffnen, wenn ich das Versteck des Schlüssels weiß.
Teste mal selbst mit dem Elcom Tool. Erstelle eine verschlüsselte Datei in einem Verzeichnis.
Melde dich erneut unter einem anderem Account an und versuche mit dem Tool es zu öffnen.
Keine Chance.
sorry, wie ich geschrieben habe, war nebenbei. Ich hoffe du hast trotzdem verstanden.
sorry, wie ich geschrieben habe, war nebenbei. Ich hoffe du hast trotzdem verstanden.
