Verschlüsselte HDDs nur im eigenen Netzwerk entschlüsselbar

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
C

chris64

Neuer User
Mitglied seit
18 Apr 2008
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich möchte folgendes bei mir einrichten:

Ich habe 3 PCs zu Hause und eine Fritzbox 7170 an die eine HDD per USB angeschlossen ist.
Ich möchte alle HDDs der drei PCs inklusive die boot Bereiche + die HDD an der Fritzbox verschlüsseln.
Der Zugang zu den HDD's soll ausschließlich nur per einem USB-Stick, der an die Fritzbox angeschlossen ist, möglich sein.
Wie man das an einem PC einrichtet weiß ich!
Jedoch möchte ich es so einrichten, dass sobald ein PC und die HDD sich nicht mehr im Netzwerk befinden, nicht mehr auf den HDDs zugegriffen werden kann.
Deshalb brauche ich eure Hilfe!!!
Wie richte ich meine Fritzbox den ein?
Gibt es Tools die mir helfen können?
Perfekt wäre, wenn der USB-Stick nicht die ganze Zeit an der Fritzbox hängen muss, sondern das die Fritzbox den Schlüssel auf sein Ram lädt.
 
Da es sich dabei um eine Modifikation der Konfiguration auf dem PC handelt, wäre es sinnvoll, wenn Du schreiben würdest, wie Du das auf den PCs einrichtest.
 
Habe ich im ersten Beitrag den Hinweis auf TrueCrypt übersehen?

Ansonsten ist die Antwort relativ einfach:
Kann man TrueCrypt so einrichten, daß der Schlüssel über das Netzwerk geholt wird?
Wenn ja, dann richte Dich nach der Anleitung.
Wenn nein, kannst Du überlegen, ob Du TrueCrypt erweitern willst.
 
Das geht zwar mit Truecrypt, das schwierige wird nur vor dem Booten per Netzwerk an die Datei auf dem Stick zu kommen. Ich habe meine Platte noch nie komplett mit Truecrypt verschlüsselt, daher weiß ich nicht ob das geht. Wenn Windows erst mal läuft ist das ein Kinderspiel, aber du willst ja alles verschlüsseln.
Das mit dem RAM ist übrigens keine gute Idee, denn sobald die Box mal neustart oder abschmiert ist der Key futsch. Stell dir vor zwei PCs laufen, du bist mit dem Stick unterwegs, ein Rechner schmiert ab und die Box hat in der Zwischenzeit mal neugestartet. Man kann den Key bzw. die Datei zwar auch fest in die Box integrieren, aber das bringt nun wirklich nicht viel Sicherheit.
 
@RalfFriedel

Das mit TrueCrypt ist nur ein Beispiel.
Wie ich das im Pc einrichten kann, so dass er sich den Schlüssel im Netzwerk holt, weiß ich!
Nur das geht dann, wenn ich den Stick in einem anderen Pc stecken habe.
Nicht so wenn der Stick in der Fritzbox steckt!
Außerdem ist da noch die HDD die an der Fritzbox steckt!

@Nimrod

Das mit dem RAM soll auch so sein, dass wenn der Router aus der Steckdose gezogen ist, das er den Key löscht.
 
Du willst also, daß die Box die Rolle eines anderen PCs übernimmt, um den Schlüssel zur Verfügung zu stellen. Wie genau wird denn der Schüssel über das Netzwerk geholt?

Wenn Du keine Einzelheiten herausrücken willst, habe ich dafür ja vollstes Verständnis, aber erwartest Du, daß jemand anders für Dich alles heraussucht?
 
Is ja auch ok wenn du das so willst chris, ich wollte dich nur darauf hinweisen dass die Box nicht unbedingt die zuverlässigste ist.

Ich gehe nicht davon aus dass es mit Truecrypt klappt, die haben bestimmt keine Netzwerkfunktion in die Boot-Authentifikation eingebaut. Aber befolge mal Ralfs Rat und mach dich selber mal schlau. Truecrypt hat eine ganze Homepage voller Infos.
 
Ich habe keine Probleme euch Details zu nennen. Ich weiß allerdings nicht was Ihr für Infos braucht, denn ich habe mich bemüht euch alles zu nennen.
Wie das Programm sich den Schlüssel holt weiß ich leider nicht.
Im Grunde soll die Box ein PC ersetzen, aber dadurch könne man nicht die HDD an der Box entschlüsseln.
Mein erster Gedanke im Moment ist, das man möglicherweise ein Verschlüsselungsprog auf der Fritzbox benötigt.

@Nimrod
Ich will mich nicht auf ein Prog festlegen! TrueCrypt war nur ein Beispiel. Wenn es nicht geht scheidet wohl TrueCrypt aus der Auswahl aus.
 
Du willst also eine fertige Lösung, ohne Dir viel Arbeit zu machen. Das ist zwar nachvollziehbar, aber anscheinend hat bisher niemand etwas in der Art fertig. Du kannst also selbst etwas in der Richtung tun oder es sein lassen.
 
Leider verstehe ich nicht viel von Programmieren und in diesem Fall muss ich zugeben, falls man ein fertiges Programm benötigt, das ich daran gedacht habe.
Das hat aber nichts damit zu tun das ich mir keine Arbeit machen will.
Ich bin die ganze zeit dabei zu recherchieren und komme nicht weiter.
Deshalb habe ich gehofft hier ein paar hinweise zu bekommen!

Ich werde auf jeden fall meinen Fortschritt hier posten und wenn der einen oder anderen eine Idee hat, dann wäre ich sehr dankbar.
 
Das ist eine interessante Anwendung, jedoch sehe ich hier schwarz.
Darf man fragen Welche Art von Daten hier gesichert werden sollen?
Denn eine Solche Software ist bei einem Trojanerbefall schnell ausgehebelt.

Denn Heise Sagt:
Eine Lücke bleibt aber selbst bei aktuellen Systemen mit Pre Boot Authentication (PBA). Denn ein Angreifer mit physischem Zugriff auf den Rechner könnte vor den Krypto-Bootmanager ein eigenes Programm stellen, das dann den Plattenschlüssel abfängt. Erst der Einsatz von spezieller, fest in den PC eingebauter Krypto-Hardware kann dieses Risiko beseitigen. Ein solches System hat beispielsweise IBM mit den Trusted Platform Modules (TPM) im Angebot - an der passenden Software mangelt es aber noch.

Abhilfe schafft hier nur Eine Mischung von Smartcard Authentifizierung und einem Passwort. Oder eben mit TPM Chip.

Du müstest ein Verschlüsselungsprogramm entwerfen welches auf der FB läuft und Mittels Cardreader und Password veschlüsselt bzw. entschlüsselt und die Schlüssel an die Rechner verteilt.

Wenn Du unbedingt deine Daten verschlüsselt haben willst, würde ich einen Verschlüsselten Server aufsetzen, von dem die anderen Betriebsysteme übers Netzwerk gestartet werden. Das geht bestimmt unter Linux ganz gut. Danach könnte man Die Festplatten der Clients möglicherweise verschlüsseln.
^^
Das ist nur ein Vorschlag für einen Strategiewechesl. Ob das in der Praxis fluppt, vermag ich jedoch nicht zu Sagen.
 
Zuletzt bearbeitet:
Danke für deine Antwort, HyBird.

Es handelt sich größtenteils um private Daten, jedoch sind auch mehrere Rechner im Netzwerk auf denen geschäftlich gearbeitet wird. Derzeit sind alle Rechner, mit allen Platten vollverschlüsselt. Die Windows-Clients mit Truecrypt, die Linux-Clients mit Luks.

Insbesondere suche ich schon seit längerem bei der Truecryptlösung nach einer Möglichkeit, den Bootloader auf ein portables Speichermedium auszulagern, um die Sicherheit weiter zu erhöhen. Ferner würde ich von der Preboot-Passphrase gerne zu ner Zertifikat/Smartcard/etc. Lösung wechseln, da zum einen Passwörter theoretisch per Keylogger herausgefunden werden könnten, zum anderen teilweise Probleme auftreten. (Vergessene-, o. aus Bequemlichkeit, Wahl von zu einfachen Passwörtern.)

Die Heisemeldung ist mir bekannt, ich würde jedoch- wenn ich in ein solches System wollte, eh direkt nen Hardwarekeylogger nehmen, welches den gleichen Effekt hätte. Es wird aber mal vorrausgesetzt, das alle Personen mit physischen Zugriff auf das System vertrauenswürdig sind.

Ein Server nur für diese Zwecke, währe für meinen Fall wohl etwas überdimensioniert. Daher käme mir eine Fritzbox-Lösung auch sehr gelegen. ;)

Die Idee mit dem Smartcardreader an der FB ist auch nicht schlecht. Hab mal gehört, das manche soetwas ähnliches machen um ihre PayTV Abos im lokalen Netzwerk zu sharen. Wenn diese Smartcards gehen, wird das wohl leicht auch für eine Verschlüsselung umzusetzen sein.

Mir geht es bei einer zentralen Lösung auch gerade darum die Möglichkeit zu bekommen, die Entschlüsselung der Clients auf einen bestimmten Raum (z.B. nur im lokalen Netzwerk) zu beschränken und bei Verlust, z.B. durch löschen des Clientzertifikats, eine Entschlüsselung gänzlich zu verhindern, ohne noch Zugriff auf das eigendlichen System haben zu müssen.
 
Eine Lösung wie Du sie dir Vorstellst wird es wohl nicht geben.
Aber vielleicht ist das hier was für dich.

Jedoch ist das eine Serverlösung.
 
Hi

ich wollte euch informieren, dass ich immer noch an einer Lösung arbeite.

Seit Monaten bin ich dran Truecrypt auf der Fritzbox fehlerfrei zum Laufen zu bringen um weiter zu kommen. Leider ist es mir und einigen andren bis jetzt nicht gelungen.

Siehe hier

Eventuell ist eine neue Version der Firmware nötig!

Vieleicht könnte mir der ein oder andere bei der Entwicklung helfen???

Den Artikel von Heise habe ich auch gelesen und kann sagen das es eine harmlose Sicherheitslücke ist, da ja ein physischer Zugriff nötig ist.

Eine viel bedeutsame Lücke ist der Cold Boot Attack! Link zum Artikel

So eine KeyCard zu entwickeln so wie es die Pay TV Anbieter verwenden ist unbezahlbar teuer und wie die Vergangenheit gezeigt hat nicht unhäckbar.
 
chris64 schrieb:
Den Artikel von Heise habe ich auch gelesen und kann sagen das es eine harmlose Sicherheitslücke ist, da ja ein .

Eine viel bedeutsame Lücke ist der Cold Boot Attack! Link zum Artikel
Zum Vergrößern anklicken....

Eine Sicherheitslücke, für die nur physischer Zugriff nötig ist, ist also harmlos, während ein Abgriff, für den man den Speicher ausbauen muß, eine viel bedeutsame Lücke ist?
 
@chris64
Zum einen, wie RalfFriedl schon ausführte, halte auch ich die "Cold Boot Attack" für weniger gefährlich, als der Angriff via Manipulation des Bootloaders, beides setzt jedoch physischen Zugriff voraus und ist daher zu vernachlässigen. Ferner könnten man den Ram mit random Werten sicher überschreiben und eine Manipulation des Bootloaders erkennen. Ich nutze auf allen Systemen ein ähnliches Script wie dieses hier und auch schon länger als der Autor es dort veröffentlicht hat. ;)

Bzgl. der Smartcards, so will ich weder PayTV sharen (wofür bezahl ich überhaupt 5 Abo's :blonk: wenn das legal sein soll) noch so eine Karte entwickeln. Das sollte lediglich heißen - sofern es möglich ist SmartCards an der Fritzbox zu betreiben, und diese sogar im Netzwerk zugänglich zu machen (die Receiver müssen ja auch drauf zugreifen können) - so sollte das für (gebootete) PC-Clients auch problemlos möglich sein.

Es geht (mir persönlich) auch nicht um "unhackbar", sondern darum die Zeit des Decodierens soweit hinauszuzögern, das die Daten für einen Angreifer uninteressant werden.

@Peter
Zumindest, wenn du an den gleichen Angreifer denkst, wie ich.
Zum Vergrößern anklicken....
Schön formuliert, ich hatte schon beide "Seiten" zu Besuch. Die ersten waren wohl ehr auf den Safe aus, sodass ich denen nicht zutrauen würde, nen Bootloader überhaupt zu erkennen, die Hardware ist trotzdem nie wieder aufgetaucht. Die Anderen geben bei einem vernünftigem Passwort ab 16 Stellen auf, sofern es sich nicht um was besonders schweres handelt. Leider dauert die Rückgabe der Hardware ein paar Monate bis Jahre, zumindest wenn sie, wie in meinem Fall, auch selbst gerne (dienstliche) Verwendung dafür hätten.

Gemountete (und somit entschlüsselte) Datenträger sind in der Praxis in der Tat ein Problem. Deshalb hätte ich bei einem offiziellen Besuch auch mehr Angst vor einer tragbaren USV, welche es durchaus gibt und ermöglicht, einen Rechner zu transportieren ohne diesen vom Netz zu nehmen, als vor einem manipulierten Bootloader oder einem coolen Ram. Glücklicherweise wird das in der Praxis bisher so nicht umgesetzt. ;)
 
Glücklicherweise wird das in der Praxis bisher so nicht umgesetzt.
Zum Vergrößern anklicken....
Wie die aktuelle Lage in Deutschland aussieht, weiß ich nicht, aber zumindest in den Staaten sind dieses und ähnliche Systeme bei bestimmten Behörden im Produktiveinsatz.
Ein teilweiser Lösungsansatz sind Scripts, die bei physikalischen Veränderungen (z. B. das Abziehens eines USB Sticks mit dem Keyfile oder die Entfernung eines Security Tokens, RFID Senders, etc.) und ab einer bestimmten Idle-Zeit alle Container/Platten umounten und den Computer sperren (z. B. Screensaver mit Passworteingabe) - wobei hier immer noch Angriffsmöglichkeiten auf die Systempartition bestünden.
Abhilfe könnte eine Intrusion Detection für das Gehäuse / den "Server Raum" schaffen, die das System bei unbefugtem Eindringen automatisch abschaltet.

Die Thematik wurde vor einigen Jahren auch u.a. im Truecrypt Forum mit teilweise durchaus lustigen Lösungsansätzen diskutiert:
Another possibility, slightly roundabout, is get one of those mini embedded PC's that are the shape of a 5.25 inch hard drive, have one USB dongle from it internally run to a power trigger, and a USB GSM/HSPA modem also mounted internally, linking the embedded PC to an external server out somewhere running asterisk. The asterisk server has an IVR menu. When you get busted, and get your one phone call, you call your asterisk box. Have it play a message saying it will accept all collect calls. Once connected, enter your passcode to get into the IVR, send the destruct code to activate a script to command the embedded PC to cut the power, then use the IVR to call out to your lawyer/friends to bail you out of jail.
Zum Vergrößern anklicken....
:rolleyes:

Wobei das immer noch realistischer ist, als die bebilderten Vorschläge seine Festplatten in einer Mikrowelle zu lagern, die an einem Intrusion Detection System angeschlossen ist, das bei unbefugtem Zugriff automatisch die Mikrowelle startet :D
 
Vor der Transportablen UVS hätte ich weniger Angst, denn die muß erstmal angeschlossen sein, da ich aber meine Gesamte Verteilung an einem einzigen FI-Schalter hängen habe wüwürde es ausreichen mit meinem Finger irgendein Metallteil in irgendeine Stckdose zu stecken um alle Geräte im Haus vom Netz zu trennen, vorausgesetzt ich bin anwesend. Wäre ich noch paranoider könnte ich ja die FI-geschützte Phase meiner Stckdose auf das gehäuse der Serverbox legen (Statt Erde), damit würde jede Berührung der Box den FI auslösen und damit den Schlüssel vernichten. Ich denke Möglichkeiten gibt es da genug.
.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 629 (Mitglieder: 47, Gäste: 582)

Neueste Beiträge

Statistik des Forums

Themen
246,286
Beiträge
2,249,465
Mitglieder
373,879
Neuestes Mitglied
Aggo
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück