Šifrované uložiště

Hugo

Šifrované uložiště
« kdy: 02. 01. 2015, 16:03:53 »
Občas si beru práci domů, a přemýšlím nad tím, jak ešit zabezpečení dat, nad kerými budu pracovat.
Jedná se mi o to, že doma teď mám NAS server (klon synology) a v práci bych rád zadal (třeba skryptem) synchronizaci své pracovní složky domů. Přenos  (to problém není) ale hlavně cílové uložiště musí být zabezpečené (cílený útok z venčí, ale hlavně fyzické získání stroje).
Přístup z venku do firemní sítě není z důvodu bezpečnostní politky možný.
Moje současná infrastruktura je Mikrotik router, a nas (XPEnology), mám veřejnou IP.
Pokud by se data dostali ven, provděpodobně bych byl postihnutý. Nejedné se o nějaká nelegální data nebo data z trestné činnosti, ale silně důverná.


Re:Šifrované uložiště
« Odpověď #1 kdy: 02. 01. 2015, 16:39:56 »
Přístup z venku do firemní sítě není z důvodu bezpečnostní politky možný.
A ta bezpečnostní politika umožňuje brát si data domů a zabezpečit je způsobem, který ti někdo anonymně poradí na netu? :))

Asi nejrozumější, co bys mohl udělat, je vytvořit šifrovaný oddíl (např. pomocí encfs), v práci si přes nfs nebo sshfs namountovat jeho šifrovanou variantu, poté si namountovat dešifrovanou variantu a tu sesyncronizovat. Doma to potom udělat stejně. Tj. celý to bude fungovat tak, že dešifrované soubory uvidíš jenom na těch dvou strojích (v práci, doma), kde je nutně potřebuješ. Všude jinde budou data šifrovaná, takže i kdyby se ti někdo šťoural v NASu, k ničemu mu to nebude (ani kdyby na něm získal roota, tak mu to nepomůže, pokud se z toho NASu na ten inkriminovaný desktop nedostane jinak.

Nicméně jestli jde opravdu o "silně" citlivá data, tak bych s tím nehazardoval a nechal bych si postup oficiálně posvětit bezpečákem - třeba se domluvíte spíš na tom, že ti přes nějakou VPNku zpřístupní ta data z domu napřímo - ono moc nemá smysl to neudělat, když hrozí, že je vyneseš do nekontrolovanýho prostředí, což je imho ještě horší...

Dfasdfasfda

Re:Šifrované uložiště
« Odpověď #2 kdy: 02. 01. 2015, 17:29:24 »
my si musime sifrovat svuj pracovni notebook s linuxem, takze myslim neni problem ne?
do prace vpn a ssh s klicema.

Hugo

Šifrované uložiště
« Odpověď #3 kdy: 02. 01. 2015, 17:33:18 »
A ta bezpečnostní politika umožňuje brát si data domů a zabezpečit je způsobem, který ti někdo anonymně poradí na netu? :))
Ty zvláště důvěrná firmu nikdy neopustí. V podstatě mi jde jen o zdrojáky a nějakou dokumentace. VPN mi neprojde, už jsem to řešil.
Stanice, ze kterých se na tom bude pracovat jsou na windows.
Spíš mě jde o to nějak popostrčit, třeba už to někdo řešil. Možnosti a bezpečnost takového řešení už zkusím posoudit sám.

Sten

Re:Šifrované uložiště
« Odpověď #4 kdy: 02. 01. 2015, 17:48:01 »
Pokud máte notebook, pak takové základní pravidlo je, že byste ta data na jakémkoliv jiném úložišti měl zabezpečit stejně (šifrování, hesla — jestli používat, ne stejné heslo :), ap.). Pokud nemáte, je otázka, jestli vůbec smíte ta data mimo firmu přenášet ­— porušení takového zákazu může být zvlášť hrubým porušením pracovní kázně! Stejně tak mějte na paměti, že každá další kopie zvyšuje pravděpodobnost, že data získá někdo neoprávněný, takže bych uvažoval nad tím, jestli to nejde řešit jinak (třeba pokud potřebujete i historii repozitáře, tak místo kopie SVN na úložišti použít git-svn na notebooku ap.).

Úplně obecně: zeptejte se firemního bezpečnostního technika či administrátora, jak/jestli to udělat.


Hugo

Šifrované uložiště
« Odpověď #5 kdy: 02. 01. 2015, 18:25:38 »
A ta bezpečnostní politika umožňuje brát si data domů a zabezpečit je způsobem, který ti někdo anonymně poradí na netu? :))
Ty zvláště důvěrná firmu nikdy neopustí. V podstatě mi jde jen o zdrojáky a nějakou dokumentace. VPN mi neprojde, už jsem to řešil.
Stanice, ze kterých se na tom bude pracovat jsou na windows.
Spíš mě jde o to nějak popostrčit, třeba už to někdo řešil. Možnosti a bezpečnost takového řešení už zkusím posoudit sám.

Hugo

Šifrované uložiště
« Odpověď #6 kdy: 02. 01. 2015, 18:28:50 »
Nějak mi to tu zlobí, odeslal se mi znovu minulý post.
To, s tím, že si mohu odnést firemní notebook, nebo si to nahrát k sobě (ať už přímo do PC nebo na šifrovaný disk) problém není.
Jde mi o to, že je to relativně nepohodlné - musím něco tahat. Přitom mám HW a vyřešné licence k SW.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Šifrované uložiště
« Odpověď #7 kdy: 02. 01. 2015, 18:45:07 »
Pokud vim, da se sehnat rsync i pro Widle. Takze byste si to mohl syncnout pres sifrovany kanal na sve uloziste. To by ovsem muselo byt slusne zabezpecene, tedy neco jako login jen pomoci klicu, ssh port na jinem cisle portu, nejlepe denyhosts a nejake sifrovani na ulozisti, napr. EcryptFS. Tak nevim, jestli zrovna na NASu je tohle vsechno k mani, nevim, jak dalece kompletni Linux na to davaji a jak maji dukladne zazaplatovane bezpecnostni diry. Jestli je to nejake pochybne reseto, tak bych to na verejnou adresu radsi ani nestrkal. V takovem pripade je asi lepsi si domu strcit jeste Raspbrery Pi s up to date Raspbianem a spojeni pres rsyn resit jim.

Sten

Re:Šifrované uložiště
« Odpověď #8 kdy: 02. 01. 2015, 18:53:12 »
Pokud vim, da se sehnat rsync i pro Widle. Takze byste si to mohl syncnout pres sifrovany kanal na sve uloziste. To by ovsem muselo byt slusne zabezpecene, tedy neco jako login jen pomoci klicu, ssh port na jinem cisle portu, nejlepe denyhosts a nejake sifrovani na ulozisti, napr. EcryptFS. Tak nevim, jestli zrovna na NASu je tohle vsechno k mani, nevim, jak dalece kompletni Linux na to davaji a jak maji dukladne zazaplatovane bezpecnostni diry. Jestli je to nejake pochybne reseto, tak bych to na verejnou adresu radsi ani nestrkal. V takovem pripade je asi lepsi si domu strcit jeste Raspbrery Pi s up to date Raspbianem a spojeni pres rsyn resit jim.

Nebo si zprovoznit VPNku z práce domů (když už to nejde opačně). Řeší to jak šifrování, tak (ve spojení s firewallem) blokování neautorizovaných osob.

Hugo

Šifrované uložiště
« Odpověď #9 kdy: 02. 01. 2015, 19:00:59 »
Nebo si zprovoznit VPNku z práce domů (když už to nejde opačně). Řeší to jak šifrování, tak (ve spojení s firewallem) blokování neautorizovaných osob.
Ano to bych mohl. VPN přímo a router a Rsync na server. Jen je otázka, jak to zabezpečit lokálně. V takovém případě server musí mít přístup k lokálním datům. Asi by mi vyhovovalo něco jako sdílený kontejner truecryptu a práce na úrovni bloků. Nevím ale, nakolik je to reálné.

Re:Šifrované uložiště
« Odpověď #10 kdy: 02. 01. 2015, 19:30:09 »
VPN mi neprojde, už jsem to řešil. [...] s tím, že si mohu odnést firemní notebook, nebo si to nahrát k sobě (ať už přímo do PC nebo na šifrovaný disk) problém není.
To mi sice hlava nebere ale tak to není můj problém, že :)

nejlepe denyhosts a nejake sifrovani na ulozisti, napr. EcryptFS.
Ne. Na úložišti nic neřešit, protože úložiště je kdovíjak (ne)zabezpečené, má k němu přístup kdovíkdo atd. Rozhodně použít nějaké šifrování na klientovi, takže na úložiště přijdou už jenom šifrovaná data.

Asi by mi vyhovovalo něco jako sdílený kontejner truecryptu a práce na úrovni bloků. Nevím ale, nakolik je to reálné.
Ne že vyhovovalo, ale šifrovat na klientovi je jediný způsob, jak to udělat relativně bezpečně. Buď použít kontejner v souboru (takových řešení je víc) nebo nějakou obdobu encfs (cosi existuje: http://members.ferrara.linux.it/freddy77/encfs.html ale já bych tomu nevěřil, vypadá to moc experimentálně). Soubory synchronizovat čímkoli, třeba FreeFileSync je slušnej. Nebo Unison, ten je pro Win taky (nemám vyzkoušeno).

Pokud by se ti podařilo rozjet šifrování na úrovni souborů (nějaký to encfs), tak bys taky úložiště nemusel řešit a mohl bys to klidně hodit na Dropbox apod. Tam by pak byla synchronizace zadarmo.

Hugo

Šifrované uložiště
« Odpověď #11 kdy: 02. 01. 2015, 20:03:51 »
nebo nějakou obdobu encfs (cosi existuje: http://members.ferrara.linux.it/freddy77/encfs.html ale já bych tomu nevěřil, vypadá to moc experimentálně). Soubory synchronizovat čímkoli, třeba FreeFileSync je slušnej. Nebo Unison, ten je pro Win taky (nemám vyzkoušeno).

Vypadá to funkčně. Bezpečnost je sice diskutabilní, ale min. na domovní zloděje by to mělo postačit. Myslím, že pořád lepší, než nosit nezašifrovaný notebook.
Můžu udělat skript, který mi pracovní složku synchronizuje s virtuálním diskem, který to vytváří, otevře sopjení na server a udělá rsync na něj. Na druhé straně naopak. Paráda.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Šifrované uložiště
« Odpověď #12 kdy: 02. 01. 2015, 21:08:43 »
Zajimava vec je take EncFS. Pokud po vas zrovna nejde NSA, asi by to stacilo. EncFS umi vytvorit zasifrovany obraz dat, cili data jsou v clear textu, k nim existuje sifrovana podoba, ktera se vytvari az pri cteni. Ale netusim v jakem stavu je EncFS pro Widle - podle Wikipedie existuje. A samozrejme, bylo by nutne pouzit mohutne, nahodne generovane heslo, protoze mam pdezreni, ze to je jedine, na cem to sifrovani visi - tedy zany klic s passphrase.

Re:Šifrované uložiště
« Odpověď #13 kdy: 02. 01. 2015, 21:27:59 »
Můžu udělat skript, který mi pracovní složku synchronizuje s virtuálním diskem, který to vytváří, otevře sopjení na server a udělá rsync na něj. Na druhé straně naopak. Paráda.
Presne tak.

michal2

Re:Šifrované uložiště
« Odpověď #14 kdy: 14. 01. 2015, 14:14:56 »
Ahoj ja pouzivam sabredav na nginxu mam tam nastavene sifrovani pomoci ssl
 Vyhoda je ze to jede na portu ktery skoro nikdo neblokuje.