¿Cómo configurar un cifrado NAS fácil de usar?

2

Recientemente instalamos una unidad NAS ( Buffalo LinkStation Pro Duo , LS-WVL , ejecutando la versión más reciente del Firmware 1.6 para ser precisos) en nuestra red (pequeña) de la empresa. Actualmente, no hay cifrado y, de forma predeterminada, el NAS proporciona acceso anónimo de lectura y escritura a través de Samba. La configuración de restricciones de usuario / grupo no es un problema con la interfaz web, tampoco está desactivando el servidor de medios integrado, etc., pero el cifrado no está disponible oficialmente.

Sin embargo, dado que se ejecuta en Linux (consulte, por ejemplo, aquí ) y no es demasiado Es difícil obtener acceso de root a través de LAN. Puedo modificar la configuración según nuestras necesidades. Así que aquí está mi idea de nuestros requisitos:

  • Encripta los datos en el NAS
    • El descifrado debe requerir información externa (ya que cualquier persona con acceso a la LAN puede piratear la cuenta raíz y abusar del mecanismo de firmware ...), por lo que no puedo, por ejemplo. simplemente comparte un volumen de TrueCrypt montado automáticamente
    • Idealmente, no se requerirían pasos adicionales para la autorización de samba

También estaba considerando configurar un servidor LDAP en el dispositivo mientras estamos en ello, por lo que tal vez esa autorización se pueda combinar con el descifrado de alguna manera. Si eso no es posible, tener que montar temporalmente el volumen descifrado mediante SSH más algún tiempo de espera también sería aceptable.

¿Qué es una solución típica a esto?

    
pregunta Tobias Kienzler 04.09.2012 - 09:06
fuente

2 respuestas

1

Actualmente, su NAS está en la red local y, por lo tanto, solo es accesible desde las máquinas en la red local (usted dice que confía en su enrutador). Por lo tanto, si teme algo, entonces, por definición, está asumiendo que su red local está en riesgo y que una "entidad hostil" podría conectarse a esa red local.

Como corolario, si tener acceso a LAN es suficiente para obtener acceso de root en el NAS, debe considerarlo ya comprometido. Lo que sea que el NAS sepa, es conocido por el atacante. También está asumiendo que el atacante es lo suficientemente amable como para no eliminar o modificar archivos ...

Por lo tanto, si se desea obtener alguna protección, entonces los datos en el NAS deben cifrarse con una clave que el propio NAS no conoce ; los clientes autorizados conocerían la clave y colaborarían en la administración del área de almacenamiento compartido que, desde el punto de vista del NAS, sería una gran bolsa de bytes opacos. Sin embargo, esto no solucionaría la vulnerabilidad con respecto a la alteración de datos. Además, no conozco ninguna implementación lista para la producción de un protocolo para eso; al parecer, algunas personas están trabajando en ello :

  

Además, estamos diseñando un esquema de cifrado del lado del cliente para NFSv4. Esta última versión de NFS está diseñada para su uso a través de Internet, y hay escenarios de uso donde los clientes almacenan datos en servidores que no son de confianza. En nuestro esquema de cifrado, los clientes cifrarán los datos antes de que se envíen al servidor. Estos datos se almacenarán en forma encriptada y serán descifrados por el cliente cuando se lean los datos.

Pero, en realidad, no debe permitir que un NAS que puede ser pirateado de forma remota se conecte en una LAN potencialmente hostil. Será mejor que lo aísle en algún lugar, por ejemplo, detrás de un enrutador razonablemente resistente, con el que los clientes autorizados se conecten con una VPN, por ejemplo. IPsec (que Linux debería admitir de forma nativa). Bono: una vez que haya instalado un enrutador de este tipo, conecte el disco y deseche el NAS por completo.

    
respondido por el Tom Leek 04.09.2012 - 12:40
fuente
0

Tengo un Buffalo Linkstation Pro y con el último firmware viene la opción que admite el sistema de archivos AFS que está cifrado. Eso asegurará que las comunicaciones entre su PC y NAS estén encriptadas.

SMB debe admitir NTLMv2 en Windows para las comunicaciones que también están cifradas.

El problema para administrar el almacenamiento en sí para cifrarlo lo llevará a crear un contenedor de Truecrypt en su NAS compartido y montar como un disco local el contenedor utilizando TrueCrypt

    
respondido por el Kirk Steinklauber 14.05.2013 - 07:10
fuente

Lea otras preguntas en las etiquetas