Wie sicher ist NFS?

rMarkus

Chuck The Plant
Hallo,

wie sicher darf man sich fühlen, wenn man einen NFS-Server und NFS-Clients hat? (Beide FreeBSD mit Standard-NFS)

Ist NFS immer noch anfällig für GID/UID-Fälschung?
 
NFS authorisiert basierend auf IP Adressen, wie sicher das ist, wissen wir hoffentlich alle. Eine Moeglichkeit dem Abhilfe zu verschaffen ist ein VPN bzw. SNFS (macht nen SSL- od. SSH-Tunnel, IIRC).

Ein boeswilliger Client kann dem Server auch jede beliebige UID vorgaukeln und wahllos irgendwelche Inodes anfordern. Deshalb gibt man ja auch keine _Verzeichnisse_ per NFS frei, sondern exportiert ganze Partitionen (also Dateisysteme).

Wenn du also keine sichere, lokale Umgebung hast, dann ist NFS nicht das Protokoll nachdem du suchst. *jedihandfuchtel*
 
markus.r schrieb:
Hallo,

wie sicher darf man sich fühlen, wenn man einen NFS-Server und NFS-Clients hat? (Beide FreeBSD mit Standard-NFS)

Ist NFS immer noch anfällig für GID/UID-Fälschung?

NFS4 soll sicher(er?) sein. Das hat auch eingebaute Verschlüsselung. Da war gerade ein Artikel in einer der letzten iX darüber. Außer von Solaris10 wird es aber von keinem OS voll ünterstützt.

Gruß c.
 
MrFixit schrieb:
Wenn du also keine sichere, lokale Umgebung hast, dann ist NFS nicht das Protokoll nachdem du suchst. *jedihandfuchtel*

Das mit den Inodes war mir neu, macht aber Sinn, da NFS Blockbasierend ist.

Da ich W-LAN mit pseudo 128-Bit Verschluesselung habe, muss ich mein Netz als unsicher ansehen.

Eine Verschlüsselung über SSL usw. usw. bring m.A. doch keinen Vorteil, da es an der Authentifizierung scheitert und nicht an der Datenübertragung selbst ... es sei denn man arbeitet mit Zertifikaten?
 
Hi,

schau dir mal OpenVPN an.
Du kannst dann die Dateisysteme auf dem Server an das virtuelle Interface exportieren. Das OpenVPN Gateway lässt an diese Schnittstelle nur trusted Clients dran. Die Verifizierung der Clients funktioniert über OpenSSL Certs.

Auf Clientseite wird dann einfach
mount virtuelle_ip_des_servers:/usr/home /usr/home

Sämtlicher Datenverkehr ist somit komplett verschlüsselt.

http://www.pronix.de/pronix-935.html

CU

Martin
 
markus.r schrieb:
Da ich W-LAN mit pseudo 128-Bit Verschluesselung habe, muss ich mein Netz als unsicher ansehen.

Ich empfehle zusätzlich CFS als Kryptodateisystem. Damit kannst du deine Daten verschlüsselt auf dem Server ablegen, verschlüsselt durchs Netz schaufeln und dann erst auf dem Client entschlüsseln.

Dann muss ein Angreifer neben NFS auch noch das CFS angreifen.

Eine Anleitung für CFS gibt es unter http://www.net-tex.de/unix/cfs.html
bezieht sich zwar auf NetBSD, dürfte aber für FreeBSD nicht signifikant anders sein.
 
Verschlüsselung des Datenstroms muss meiner Ansicht nach gar nicht sein, denn heute sind geswitchte Netzwertke üblich.

Einen Client, der beim Benutzer steht, kann ich jedoch nie als sicher ansehen und dem wie bei NFS die Zugriffsprüfung überlassen.

Ich suche immernoch ein Netzwerkdateisystem mit Serverseitiger Authentifizierung.
 
markus.r schrieb:
Verschlüsselung des Datenstroms muss meiner Ansicht nach gar nicht sein, denn heute sind geswitchte Netzwertke üblich.
Da sitzt du aber einem Irrglauben auf. Auch im geswitchten Netzwerk können andere Syteme belauscht werden.

Gruß c.
 
Ich gehe mal davon aus, dass weder die Mac-Tabellen im Switch zum Überlauf gebracht werden, Kabel angebohrt, Monitorports aktiviert oder sonstwie eingegriffen wird.
Verschlüsselung spielt für mich im lokalen Netzwerk (LAN) eher eine untergeordnete Rolle.

Aber NFS ist auch meiner Ansicht nicht sicher genug für LANs. Meine Vermutung, dass NFS auf Inode-Ebene operiert haben wir eben bestätigen können.
Somit prüft tatsächlich nur der Client die Berechtigungen für die gesamte Partition, auch wenn nur ein Teil mit NFS freigegeben wird.
 
Da viel mir ein Artikel ein den ich mal las. Probier doch mal SFS (Self-Certifying File System).

SFS läuft unter Linux, den BSD-Varianten und einigen anderen UNIX-Systemen und soll problemlos auf alle Systeme portierbar sein und es gibt es unter FreeBSD (Freshports)
 
SFS hatte ich unter FreeBSD eine Zeit lang in Betrieb. Aber IIRC ging die aktuelleste Version dann nicht mehr, oder so.

Zurzeit verwende ich ein PPP-over-SSH-VPN, falls ich unterwegs bin, sonst einfach nur LAN.

Btw, arp-poisoning ist Kinderleicht, und gerade so Aussagen "Ich geh mal davon aus, dass das keiner Macht ..." sind aeusserst gefaehrlich.
 
Ich denke man muss hier mindestens zwischen zwei Dingen trennen:

1. Authentifizierung
2. Datentransport

Den Datentransport hart zu verschlüsseln macht nach meinem Wissen keiner im lokalem Netzwerk und ist auch etwas über das Ziel hinausgeschossen. (Schade, dass die cryptographische Engine der "Intel Pro/100 S" nicht unterstützt wird, sonst könnte man das tatsächlich alles in Hardware und "at wirespeed".)

Vernünftige Authentifizierung sollte nach meiner Ansicht nach spätestens im Netzwerk notwendig sein, wenn mehr als eine Person Zugriff auf das Netz haben könnte.

Klar weiss ich, dass z.B. durch Man-in-the-middle-Attacken die Grenze zwischen 1. und 2. aufweichen kann, doch bietet NFS wohl keines von beiden.
 
Zurück
Oben