ユーザーフレンドリーなセットアップ方法NAS暗号化?
私たちは最近、(小規模な)企業ネットワークに1つのNASドライブ( Buffalo LinkStation Pro Duo 、LS-WVL、正確には最新のファームウェアバージョン1.6を実行)をインストールしました) 。現在、暗号化は行われておらず、デフォルトでNASはSamba経由で匿名の読み取り/書き込みアクセスを提供します。ユーザー/グループの制限の設定は、Webインターフェースの問題でも、統合メディアの非アクティブ化でもありません。サーバーなどですが、暗号化は公式には利用できません。
ただし、Linuxで実行され(例: here を参照)、LAN経由でルートアクセスを取得することはそれほど難しくないので、必要に応じて設定を変更できます。だからここに私たちの要件の私の考えがあります:
- NAS上のデータを暗号化する
- 復号化には外部情報が必要です(LANアクセスを持つすべての人がファームウェアメカニズムを悪用してrootアカウントに侵入する可能性があるため...)。自動的にマウントされたTrueCryptボリュームを共有するだけ
- 理想的には、Sambaの承認に追加の手順は必要ありません
また、デバイスにLDAPサーバーをセットアップし、その間にLDAPサーバーをセットアップすることも検討していました。そのため、おそらく、認証と復号化を組み合わせることができます。それが不可能な場合は、復号化されたボリュームをSSH経由で一時的にマウントし、さらにタイムアウトを設定する必要があります。
これに対する典型的な解決策は何ですか?
現在、NASはローカルネットワーク上にあるため、ローカルネットワーク上のマシンからのみアクセスできます(ルーターを信頼していると言います)。したがって、何かを恐れるのであれば、定義により、ローカルネットワークが危険にさらされており、「敵対的なエンティティ」がそのローカルネットワークに接続する可能性があると想定しています。
当然の結果として、NASへのルートアクセスを取得するためにLANアクセスが十分である場合、 /がすでに侵害されていると見なす必要があります。 NASが知っていることは何でも、攻撃者に知られています。また、攻撃者はファイルを削除または変更しないように十分親切であるとすでに想定しています...
したがって、何らかの保護を取得する場合は、NAS自体が知らないキーを使用してNASのデータを暗号化する必要があります;承認されたクライアントはキーを知っており、NASの観点からは不透明なバイトの大きな袋である共有ストレージ領域の管理に協力します。ただし、これはデータ変更に関する脆弱性を修正しません。また、そのためのプロトコルの実稼働対応の実装についても知りません。どうやら 一部の人々はそれに取り組んでいます :
さらに、NFSv4のクライアント側の暗号化スキームを設計しています。この最新バージョンのNFSはインターネット経由での使用を目的としており、クライアントが信頼できないサーバーにデータを保存する使用シナリオがあります。私たちの暗号化スキームでは、サーバーに送信される前にクライアントがデータを暗号化します。このデータは暗号化された形式で保存され、データが読み取られるときにクライアントによって復号化されます。
ただし、実際には、リモートでルートハイジャックされる可能性があるNASが、潜在的に悪意のあるLANに接続されることを許可しないでください。承認されたクライアントがVPNに接続する、たとえば適度に頑丈なルーターの後ろなど、どこかにそれを分離する方がよいでしょう。 IPsec (Linuxはネイティブでサポートする必要があります)おまけ:このようなルーターをインストールしたら、ディスクをそのルーターに差し込み、NASをすべて破棄します。
私はBuffalo Linkstation Proを持っており、最新のファームウェアでは、暗号化されたAFSファイルシステムをサポートするオプションが付属しています。これにより、PCとNASが暗号化されて確実に通信するようになります。
SMBは、暗号化された通信用のウィンドウでNTLMv2もサポートする必要があります。
ストレージ自体を暗号化するように管理する問題により、共有にTruecryptコンテナーが作成されますNASそして、TrueCryptを使用してコンテナーをローカルドライブとしてマウントします