Security Professionals - ipfw add deny all from eindgebruikers to any

Beveiligen shared volumes

13-08-2013, 12:54 door Airsecure, 15 reacties
Laatst bijgewerkt: 19-08-2013, 21:12
Ik ben bezig met een onderzoek hoe een shared volume (gedeelde map op een netwerkserver) beveiligd kan worden zodat alle bestanden die in die map zitten encrypted zijn en alleen d.m.v. een juiste sleutel op de map te bereiken zijn. Het is dus niet de bedoeling dat elk bestand in de map apart ontsloten moet worden. Iemand een goed idee?
Achterliggende gedachte is dat beheerders de data niet mogen lezen.
Reacties (15)
15-08-2013, 13:21 door sjonniev
Een goede oplossing hiervoor is SafeGuard Encryption for FileShares, waarmee je aan sleutelbeheer en een nette sleuteldistributie kunt doen, en ervoor kunt zorgen dat de enige plek waar de bestanden onversleuteld voorkomen het werkgeheugen van de PC van de bevoegde gebruiker(s) is, op het moment dat er met de data gewerkt wordt. Bevoegde gebruikers kunnen versleutelde bestanden transparant openen en weer versleuteld opslaan.

De data op de fileserver is dus beschermd tegen diefstal, maar ook tegen beheerders van die fileserver.

Ik snap alleen je een na laatste zin niet.

Container based encryption heeft op fileservers geen zin zodra er met meer dan 1 persoon met de data gewerkt moet worden.
16-08-2013, 20:14 door golem
Ik denk dat hij vergeten is om er bij te zetten dat het gratis moet zijn. :)

Met die zin bedoelt ie natuurlijk dat het per map ingesteld moet kunnen worden.
17-08-2013, 13:02 door Anoniem
Dit zit standaard in Windows Server 2012 en heet Dynamic Access Control.
17-08-2013, 13:10 door Anoniem
Met een Windows fileserver met encrypted file system (EFS) en werkplekken die je beheert met GPO's, kun je prima allerlei niveau's van encryptie en toegang afdwingen.
Paul
18-08-2013, 11:43 door yobi
Wat is het OS van de server?
18-08-2013, 14:24 door sjonniev
Door yobi: Wat is het OS van de server?

Da's het leuke van SafeGuard, dat maakt voor de file server niet zoveel uit, die bemoeit zich namelijk niet met ver- en ontsleuteling. Is inderdaad niet gratis. En per map/submappen stel je in welke sleutel er wordt gebruikt.
18-08-2013, 22:20 door Seb
Meestal zorg je dat mensen de juiste permissies hebben op een map, file of folder ipv om te draaien. Stapje verder is dan data classificatie toe te passen. Dit is ook vaak weer een uitdaging en hier is Varonis een mooi pakket in. Staat een aardige video op http://www.wesecure.nl/Varonis-data-governance. succes!
19-08-2013, 10:58 door Anoniem
Wellicht ook interessant is Symantec (PGP) File Share Encryption:

http://www.symantec.com/file-share-encryption?fid=encryption
19-08-2013, 11:07 door noordzee
EFS is niet de juiste oplossing, je wilt een oplossing die los staat van de windows / AD omgeving. Anders kunnen systeembeheerders alsnog bij bestanden. Verder is natuurlijk EFS compleet crap qua daadwerkelijke security.

Die SafeGuard oplossing ken ik niet de laatste tijd, maar was eerder ook behoorlijk crap. Vooral met performance over het netwerk wat compleet degradeerde, keys die verloren raakte en daardoor bestanden die onleesbaar werden.

De McAfee EEFF (endpoint encryption for files and folders) op zich aardig, probleem is dat de encryptie policies niet centraal worden afgedwongen maar door de clients worden enforced, dat is een groot probleem met remote users, die gaan dat ook doen, gevolg compleet onwerkbare situatie voor remote (vpn) users.

Kijk eens naar 9 proof, daar heb ik goede ervaringen mee.
19-08-2013, 21:09 door Airsecure
Door sjonniev:
Door yobi: Wat is het OS van de server?

Da's het leuke van SafeGuard, dat maakt voor de file server niet zoveel uit, die bemoeit zich namelijk niet met ver- en ontsleuteling. Is inderdaad niet gratis. En per map/submappen stel je in welke sleutel er wordt gebruikt.
WINDOWS 2008(R2)
19-08-2013, 21:10 door Airsecure
Door noordzee: EFS is niet de juiste oplossing, je wilt een oplossing die los staat van de windows / AD omgeving. Anders kunnen systeembeheerders alsnog bij bestanden. Verder is natuurlijk EFS compleet crap qua daadwerkelijke security.

Die SafeGuard oplossing ken ik niet de laatste tijd, maar was eerder ook behoorlijk crap. Vooral met performance over het netwerk wat compleet degradeerde, keys die verloren raakte en daardoor bestanden die onleesbaar werden.

De McAfee EEFF (endpoint encryption for files and folders) op zich aardig, probleem is dat de encryptie policies niet centraal worden afgedwongen maar door de clients worden enforced, dat is een groot probleem met remote users, die gaan dat ook doen, gevolg compleet onwerkbare situatie voor remote (vpn) users.

Kijk eens naar 9 proof, daar heb ik goede ervaringen mee.

Als ik 9 proof Google dan krijg ik niets. Misschien een andere naam?
16-09-2013, 13:08 door Dick99999
Door Anoniem: Met een Windows fileserver met encrypted file system (EFS) en werkplekken die je beheert met GPO's, kun je prima allerlei niveau's van encryptie en toegang afdwingen.
Paul
Welke kennis moet een niet-IT georiënteerde projectleider hebben om dat simpel te gebruiken voor deelprojecten?
16-09-2013, 16:03 door SecOff
Door noordzee: EFS is niet de juiste oplossing, je wilt een oplossing die los staat van de windows / AD omgeving. Anders kunnen systeembeheerders alsnog bij bestanden. Verder is natuurlijk EFS compleet crap qua daadwerkelijke security.
Leg eens uit waarom EFS "compleet crap"is qua security?
18-09-2013, 08:27 door sjonniev
Door noordzee: Die SafeGuard oplossing ken ik niet de laatste tijd, maar was eerder ook behoorlijk crap. Vooral met performance over het netwerk wat compleet degradeerde, keys die verloren raakte en daardoor bestanden die onleesbaar werden.

Dan was je netwerk behoorlijk crap en/of je werkstations onderbemeten, en sleutels kun je alleen kwijtraken als je de database kwijtraakt en geen backup hebt...
18-09-2013, 08:30 door sjonniev
Door SecOff:
Door noordzee: EFS is niet de juiste oplossing, je wilt een oplossing die los staat van de windows / AD omgeving. Anders kunnen systeembeheerders alsnog bij bestanden. Verder is natuurlijk EFS compleet crap qua daadwerkelijke security.
Leg eens uit waarom EFS "compleet crap"is qua security?

Compleet crap is misschien wat overdreven. Maar, 3 zaken spreken tegen EFS: ver/ontsleuteling wordt uitgevoerd op de server, bij het toevoegen van gebruikers aan een dataverzameling moeten bestanden opnieuw versleuteld worden, je kunt er geen goede functiescheiding mee aanbrengen tussen systeembeheerders en security officers.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.