NFS absichern

mod3

Well-Known Member
... ist ja ein etwas leidiges Thema ;-)

Bisher nutze ich NFS nur im privaten Umfeld, daher habe ich bisher folgenden Aufbau:
NFS per exports "ganz normal" eingerichtet, die IPs, für die Freigaben erreichbar sind liegen allerdings alle im IP-Pool meines openVPN-Servers (der nur im LAN läuft).

Damit kann ich die Freigaben auch über WLAN zusätzlich verschlüsselt einbinden und habe eine "Firewall", die den Zugriff auf die Freigaben regelt.

Kann man das so machen, oder empfehlt ihr etwas besseres? Insbesondere läuft davor momentan noch kein pf, das die Verbindungen auch wirklich abriegeln würde.
 
Du könntest NFSv4 mit Kerberos machen, das kann auch verschlüsseln. Ist aber schon aufwendig.

Die Frage ist: ist NFS das richtige Protokoll für dein Vorhaben? Was sind das für Daten und wie nutzt du sie?
 
Das ist nur die Verbindung zu meinem Datengrab.
Heißt: Jede Menge Office-Dokumente, die nur relativ selten abgerufen werden, weil sie längst archiviert sind.
 
Ergänzung: Die Daten sind zwar archiviert, aber sensibel (Kundendaten etc.), der Schutz ist also schon wichtig, bloß wird nicht ständig auf sie zugegriffen und es sind keine großen Dateien, die besondere Performance-Optimierung nötig machen.
 
Wie wäre es mit sshfs als Alternative?
Oder NFS behalten und mit ssh Portforwarding machen. Optimalerweise dann mit NFSv4, weils einfacher ist.
 
sshfs sieht interessant aus!
Habe es gerade mal ausprobiert: Ist das performanter als NFS? Kommt mir subjektiv so vor...
 
Habe es gerade mal ausprobiert: Ist das performanter als NFS? Kommt mir subjektiv so vor...
Performanter würde ich generell nicht sagen. Ein reines NFS nutzt eigentlich ziemlich die verfügbare Bandbreite bei mir hier gut aus. Allerdings könnte es gut sein das sshfs schneller ist als die Kombination aus NFS und OpenVPN.
 
Scherz an der Sache: Da es nur ein erster Test war und ich die Firewall nicht umkonfigurieren wollte, lief die Verbindung sogar über openVPN, somit wurde doppelt verschlüsselt ;-) inklusive WLAN sogar 3 mal.
 
Ist das performanter als NFS? Kommt mir subjektiv so vor...
auch sftp ist mir performanter vorgekommen, als ich das mal kurz getestet hatte. Wegen Inkompatibilität zu einigen alten Systemen in meinem Netz, blieb ich dann doch bei NFS(V3).
Merkwürdigerweise scheint das keine "Overall" Performance-Steigerung zu sein. NFS macht (im Zusammenhang mit meinem alten ZFS auf dem Server) regelmäßig immer wieder Denkpausen, kommt dann aber zwischendurch auch auf erstaunlich hohe Übertragungsraten. Für mich war das nicht wichtig und ich habe das so gelassen.

Was den Schutz von Dokumenten angeht, stehe ich auf GPG. Man kann damit Synchron und Asynchron verschlüsseln, ganze Verzeichnisse oder einzelne Dokumente und ich halte die dann für sicher, bis ich sie gezielt entschlüssele. In meinem Netz greife nur ich alleine auf diese Dokumente zu und wenn Andere die brauchen, stelle ich kurzfristig entschlüsselte Kopien zur Verfügung. Mir ist das lieber, als verschlüsselte Dateisysteme, von denen ich nichts halte.
 
Verschlüsselte Dateisystem bringen eben dann "nichts", wenn sie permanent eingebunden sind, da ist was dran, ja ;-)
Ansonsten finde ich sie aber praktischer als ständig einzelne Dateien oder Ordner verschlüsseln zu müssen.
Auf meinem Arbeitslaptop z.B. wäre das nicht denkbar. Da ist das Dateisystem verschlüsselt und das Ding wird bei Transport heruntergefahren, bzw. bei kurzzeitigem unbeaufsichtigt-Lassen der Bildschirm gesperrt.
 
Das war ja nun dem Testaufbau geschuldet ;-)
WLAN ist eh verschlüsselt und den VPN gab's schon.
Das soll natürlich nicht dauerhaft so eingesetzt werden.

Ich frag mich da auch immer: Kann man nen VPN als Sicherheits-Feature sehen?
Denn im Grunde filtere ich am NFS-Server ja trotzdem nur nach IPs.
 
Naja die Frage ist ja was du womit erreichen willst...
Festplattenverschlüsselung schützt deine Daten im Falle eines Hardwarediebstahls.
WLAN-Verschlüsselung schützt davor, dass jeder in deiner Umgebung mitlesen kann was du machst.
VPN schützt deinen Datenstrom durch ein potenziell unsicheres Netz (das kann man wenn man will bei Funknetzen annehmen) und gibt die Möglichkeit das Gerät das du da andockst zu verifizieren (durch seinen Login).
IP-Filter vorm NAS schützt dein System vor anderen Rechnern im Netz. Wovor genau hängt nun stark von deinen Regeln ab.

Sicherheit sollte man immer mehrschichtig betreiben wenn man es vernünftig machen will. Wobei man nun nicht dreimal stumpf die selbe Maßnahme anwenden sollte (das sollte wohl klar sein).

Im Übrigen hat sshfs bei mir immer sehr schlecht performt. Es ist aber halt schön einfach und es liegt eigentlich im allgemeinen alle Voraussetzungen vor ohne groß etwas konfigurieren zu müssen.
 
Stimme völlig zu ;-)
Ob man in der exports nach IPs filtert oder per pf ist im Falle von NFS ja im Grunde schon egal: Wer die IP spoofed, der bekommt Zugriff.
Daher meine Frage, ob ein VPN da als Auth-Methode wirklich etwas bringt.
Dass der Datenstrom per VPN geschützt ist, ist klar.
 
Naja die Frage ist eben wie genau deine Infrastruktur aussieht, gegen was oder wen du schützen willst. Wo terminiert dein VPN und wie ist es aufgebaut, was tummelt sich alles in deinem Netz, etc.
Die Frage lässt sich nicht pauschal beantworten.
 
Der VPN läuft direkt auf dem NAS, verbinden kann sich theoretisch jeder aus dem LAN.
Das LAN umfasst eine relativ große WLAN-Installation, um deren Absicherung es mir hauptsächlich geht.
Im Netz (genauer: im WLAN) sind gern auch mal Gäste, typischerweise "unsichere" Geräte, also Smartphones, Tablets etc.
 
Zurück
Oben