239Pro + Verschlüsselung + Backup + Netzlaufwerke

    Hallo,


    wir haben folgende Netzwerkkonfiguration für die ich ein Backup und Sicherheitskonzept erstellt habe.


    Fritz!Box 3270 mit VPN-Zugang via IPSec von aussen auf unser Netzwerk (Clients mit Shrew)
    3 x Workstations mit Gigabit-Anbindung
    2 x Laptop mit WLAN-Anbindung über Fritz!Box (WPA-Verschlüsselt)
    1 x NAS QNAP 239Pro mit 2 x Seagate 1TB im RAID 1 Verbund (Spiegelung)


    alle Workstations und Laptops sind mit Truecrypt komplett verschlüsselt (inkl. Systempartition)
    der VPN-Zugang wird für die beiden Laptops benutzt


    Backupkonzept:
    alle PCs im Netz haben Norton Ghost installiert und legen mindestens 1x wöchentlich auf einer 2.Partition lokal ein inkrementelles Backup an
    zusätzlich lass ich Ghost eine Schattenkopie auf dem NAS anlegen. Jeden Monat wird ein neues "Grundbackup" gezogen.


    Alle "Arbeitsdaten" liegen grundsätzlich auf einem Netzlaufwerk auf dem NAS.
    Täglich werden die aktuellen Daten vom NAS auf den Arbeitsplatzrechnern "runter" synchronisiert in ein spezielles Backup-Verzeichnis. (auf der mit Truecrypt verschlüsselten HDD)
    (Geschieht händisch bei Feierabend mit einem Synchronisiertool z.B. Synctoy)


    Ausserdem wird für den Notfall noch eine Synchronisation auf 1-2 externe Festplatten gemacht, die abends mit nach Hause genommen werden.



    Sicherheitskonzept, gegen Datendiebstahl z.B. bei Einbruch:
    alle PCs sind mit Truecrypt komplett Verschlüsselt
    der NAS läuft im Verschlüsselungsmodus
    der VPN-Zugang geschieht mit IPSec




    Jetzt meine Fragen:


    1. Wie funktioniert das mit der NAS-Verschlüsselung?
    Es ist scheinbar so das der NAS nur einmal entsperrt werden muß und danach kann zugegriffen werden bis zum nächsten
    Neustart. Solange wären die Daten nur mit der Benutzerfreigabe geschützt, oder?
    Wie sicher ist die Benutzerfreigabe, ein gutes Passwort vorausgesetzt?
    bzw. was kann ein Einbrecher an Daten klauen wenn der NAS durchläuft und der NAS entsperrt ist?


    2. Wie kann man den Vorgang beim Starten der Windowsrechner automatisieren sich auf
    die Netzwerkfreigaben zu verbinden und als Drive zu mappen, ohne ein Passwort einzugeben
    für die NAS-Verschlüsselung und für die Benutzerverwaltung?
    Dies wäre meiner Meinung nach trotzdem "sicher", da alle Windowsrechner ja mit Truecrypt
    System-Verschlüsselt sind und nicht unauthorisiert hoch gefahren werden können.


    3. was bedeutet in der NAS-Admin-Oberfläche
    "Verschlüsselungsschlüssel speichern"
    Für mich sieht es danach aus als ob der Schlüssel lokal auf dem NAS gespeichert wird und somit
    die ganze Verschlüsselung umsonst ist, da nach dem Starten des NAS das Volume automatisch entsperrt wird.


    Vielleicht hat noch jemand Anregungen und Verbesserungsvorschläge für das Konzept.


    Danke im voraus!


    Sarek

    Hallöle,


    dann will ich mal:

    Zitat

    1. Wie funktioniert das mit der NAS-Verschlüsselung?
    Es ist scheinbar so das der NAS nur einmal entsperrt werden muß und danach kann zugegriffen werden bis zum nächsten
    Neustart.

    Korrekt

    Zitat

    Solange wären die Daten nur mit der Benutzerfreigabe geschützt, oder?

    Jep

    Zitat

    Wie sicher ist die Benutzerfreigabe, ein gutes Passwort vorausgesetzt?

    Wenn ein Hacker physikalisch Zugang zum Netz hat und seinen eigenen "Werkzeugkoffer" mitbringt, könnte es recht schnell gehen...

    Zitat

    bzw. was kann ein Einbrecher an Daten klauen wenn der NAS durchläuft und der NAS entsperrt ist?

    Alle!

    Zitat

    2. Wie kann man den Vorgang beim Starten der Windowsrechner automatisieren sich auf
    die Netzwerkfreigaben zu verbinden und als Drive zu mappen, ohne ein Passwort einzugeben
    für die NAS-Verschlüsselung und für die Benutzerverwaltung?

    Einbinden in ein AD und anlegen eines Anmeldescriptes

    Zitat

    3. was bedeutet in der NAS-Admin-Oberfläche
    "Verschlüsselungsschlüssel speichern"
    Für mich sieht es danach aus als ob der Schlüssel lokal auf dem NAS gespeichert wird und somit
    die ganze Verschlüsselung umsonst ist, da nach dem Starten des NAS das Volume automatisch entsperrt wird.

    korrekt

    Zitat

    Vielleicht hat noch jemand Anregungen und Verbesserungsvorschläge für das Konzept.

    Bestimmt...



    Was mich interssieren würde, wäre der Grund für das "paranoide" Datensicherungskonzept.
    Normalerweise müsste nur die Zentrale Datenhalde verschlüsselt werden..
    Da ich pers. nix von Imaging halte, ist in meinen Augen viel wichtiger, die Installationsdatenträger der genutzten Software in Sicherheit zu haben, sämtliche Lizenzkeys und wenigstens eine Kurzanleitung wie installiert werden muss und welche Besonderheiten zu beachten sind.
    Die Produktivdaten würde ich ein- bis zweimal die Woche gesamt sichern und den Rest der Woche mittels Differenzialsicherung.


    Das Problem des unerlaubten Zugriffs auf das NAS bekommst Du mit mechanischen Sicherungen in den Griff: NAS in Serverraum und diesen mit EMA versehen.
    MAC-Based DHCP/VLAN/Ports und/oder NAS außerhalb der Geschäftszeiten herunterfahren...


    Grüße
    Jody


    Ps: Seperaten Raum im "Fort Knox" oder im Pentagon anmieten..... :D



    Wir sind ein kleines innovatives Engineering-Büro mit vielen Eigenentwicklungen die teilweise weltweit einzigartig sind.


    Unser Büro ist in einem riesigen Gebäude mit ca.25 anderen Firmen, hier kann im Haus jeder ein und ausgehen.
    Es wäre ein leichtes für einen Konkurrenten jemanden zu beauftragen in unser Büro einzubrechen und alle PCs ... einfach mitzunehmen um an
    Konstruktionspläne etc. heranzukommen


    Ich glaube zwar nicht das dies passieren wird, aber man sollte darauf vorbereitet sein, das der Dieb
    mit seiner Beute nichts anfangen kann.


    Das Imaging ist eigentlich nur Zuckerl oben drauf, was bei HDD-Defekt o.ä. greifen würden um eine Workstation schnell wieder
    aufzusetzen. Ausserdem geschieht die Sicherung mit Ghost vollautomatisch.


    Die Verschlüsselung der WS mit TC ist sehr einfach und effektiv.


    Zitat

    Einbinden in ein AD und anlegen eines Anmeldescriptes


    Kannst du das vielleicht mal näher erklären?


    Zitat


    Das Problem des unerlaubten Zugriffs auf das NAS bekommst Du mit mechanischen Sicherungen in den Griff: NAS in Serverraum und diesen mit EMA versehen.
    MAC-Based DHCP/VLAN/Ports und/oder NAS außerhalb der Geschäftszeiten herunterfahren...


    Das geht leider nicht so einfach, da ganz einfach kein Serverraum o.ä. verfügbar.
    NAS runterfahren ist ne Möglichkeit, hat aber den Nachteil das kein VPN Zugriff möglich ist.
    Oder gibts ne einfache Möglichkeit via VPN ein WOL zu machen und den NAS bei xx min nichtbenutzung wieder runter zu fahren?

    Hallöle,


    Wenn kein Serverraum zur Verfügung steht sollte wenigstens ein 19"-(Wand-)Schrank, abschließbar genutzt werden und für das NAS wenigstens noch ein Kensington-Schloss.
    Integration ins AD:
    Wenn Ihr einen zentralen Anmeldeserver nutzt, solltet Ihr eine Domänenstruktur bereits haben. Auf diese wird dann das NAS "aufgeflanscht".
    Sofern Ihr noch keine zentrale Anmeldung habt, solltet Ihr das schnell umsetzen.
    Also man nehme einen MS-Server 200x und errichte ein Active Directory (zentrale Nutzer & Ressourcen-Verwaltung), dann integriert man das NAS in das AD und die Rechtverwaltung greift auch auf das NAS. Nun kannst Du z.B. "Roaming Profiles" nutzen und/oder Anmeldescripte, die je nach Nutzer(-gruppe) entsprechende Shares mounten. Weitere Details findest Du eigentlich schnell mit G :idea::idea: gle.
    Das NAS mal eben runterfahren und per WOL bei Bedarf wieder starten halte ich für Kontraproduktiv, da jeder Mitarbeiter den Schlüssel zum Reaktivieren der verschlüsselten Volumes kennen muss und auf die Adminoberfläche muss um den Schlüssel einzugeben.
    Besser ist da mit VPN und Onetime-Passwörtern zu arbeiten.


    So nun zur realen Bedrohung innerhalb des Gebäudes: Auch wenn es die bösen Buben schaffen sollten unbemerkt in die Geschäfträume einzudringen, werden sie kaum die Zeit haben, die Daten im laufenden Betrieb abzusaugen (selbst bei nur 100GB) dauert das, die Gefahr entdeckt zu werden steigt..
    Also bleibt nur Hardware mitnehmen ... und später feststellen, dass alles verschlüsselt ist (oder hat Du zufällig "Portable Power 220v AC in der Tasche und kannst das Ziehen des Steckers umgehen?).


    grüße
    Jody

    Hallo Sarek,


    erstmal möchte ich sagen das ich euer Konzept überzogen fand aber mit deiner späteren Erklärung durchaus plausibel und nun auch nachvollziehbar. Alle dem was jody bisher geschrieben habe ich nichts hinzu zufügen aber ich würde eventuell noch einen weiteren aus meiner Sicht wichtigen Punkt in die Rund einbringen!


    Ich weiss zwar nicht inwieweit ihr alle in der Firma gleichberechtigt seit und ob ihr mit dem folgenden Vorschlag leben könnt. Ich würde zu der aktuellen Netzwerkstruktur noch eine IP Camera installieren und die Bilder extern speichern!
    Stichwort NVR.
    Das nützt zwar für den Moment indem das Kind in den Brunnen gefallen ist nichts, aber man kann dann mit etwas Glück sehen wer das Kind hinein gestoßen hat.


    Christian

    Danke für eure Vorschläge!


    IP-Kamera: an sowas hatte ich auch schon gedacht!
    Muß mich aber noch über den entstehenden Traffic informieren (Ist bei uns leider begrenzt) und schauen wo ich das extern abspeichern könnte.
    Vielleicht gibts auch IP-Kameras mit integrierten Bewegungsmelder o.ä. um den entstehenden Traffic zu minimieren.


    Server haben wir bisher noch keinen.
    Dafür haben wir ja den NAS angeschafft, um eine Art "Serverfunktionalität" zu bekommen.


    Kensington-Schloß ist auch eine gute Idee, wobei sich davon wohl keiner wirklich abhalten lässt.


    Noch ne Frage zur realen Bedrohung, vielleicht kennt sich einer damit aus:
    Wie schnell kann jemand wirklich auf den laufenden NAS zugreifen wenn er kein Benutzerkonto hat, also die Benutzerverwaltung des NAS zu hacken?


    Wie könnte man ein Script generieren um den NAS automatisch zu entsperren, wenn sich ein Client anmeldet?

    Hi,


    ich bin jetzt wahrlich kein NAS Experte, aber mal platt gesagt finde ich das Sicherheitskonzept schon durchdacht. Ich denke, wenn Du ein mehr an Sicherheit haben willst, kommst Du um professionelle Sicherheitslösungen bestimmt nicht herum. Ich bin mir nicht sicher, ob da ein solches NAS da wirklich ausreichend ist...


    Wenn dort wirklich geschäftskritische Anwendungen drauf gespeichert sind, würde ich mir da auch lieber mal einen Profi ins Haus holen und nicht selber versuchen da etwas zu basteln, wo man im Endeffekt keine "richtige" Ahnung zu haben scheint. Nix für ungut, das ist auch nicht böse gemeint :oops:


    Viele Grüße


    Markus


    PS: Ich weiß nicht mehr wo (ich meine es wäre der Conrad-Katalog gewesen) da wurden etliche Webcam-Lösungen vorgstellt. Ich war selbst beeindruckt, da gibt es die tollsten Lösungen, teilweise mit der Möglichkeit die Daten extern Hosten zu lassen. Wäre vielleicht mal einen Blick wert ;)

    Nur um die Paranoia noch ein wenig anzuheizen:


    Ich würde mit EUR/$ einen der Mitarbeiter "kaufen", der mir die Daten besorgt:


    90% aller Fälle von Datendiebstahl erfolgen von "innen", also durch eigene Mitarbeiter.


    Was passiert, wenn der alle Daten auf eine mitgebrachte unverschlüsselte USB-Disk kopiert und mitnimmt. Da würde ich mir mehr Sorgen machen.


    Und wenn wir schon dabei sind: Wir wärs mit der Installation eines heimlichen LAN-Sniffers...


    Man läßt doch nicht beim Mitbewerb so einbrechen, dass man das dort sofort merkt.


    Jan