Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Letzte Überarbeitung Beide Seiten der Revision
de:services:storage_services:backup:tsm:anleitungen:tls [2020/06/10 14:42]
bnachtw [TLS für die Serverkommunikation]
de:services:storage_services:backup:tsm:anleitungen:tls [2020/06/10 14:52]
bnachtw [Nutzung von TLS]
Zeile 3: Zeile 3:
 Anmerkung: Anmerkung:
  
-Üblicherweise empfahl die GWDG die Nutzung der Datenverschlüsselung anstelle der TLS-Transportverschlüsselung,​ da dies ein paar Vorteile bietet:+Üblicherweise empfahl die GWDG die Nutzung der Datenverschlüsselung anstelle der SSL/TLS-Transportverschlüsselung,​ da dies ein paar Vorteile bietet:
   * Die Daten sind auf dem **gesamten** Weg vom Client bis zum Band verschlüsselt   * Die Daten sind auf dem **gesamten** Weg vom Client bis zum Band verschlüsselt
   * seitens der GWDG besteht **keine** Möglichkeit,​ Einblick in die Daten nehmen zu können.   * seitens der GWDG besteht **keine** Möglichkeit,​ Einblick in die Daten nehmen zu können.
Zeile 12: Zeile 12:
   * Es sind lediglich die Daten verschlüsselt,​ die Client-Server-Kommunikation ist **prinzipiell abhörbar**,​ z.B. über Arp-Angriffe im Subnetz des Clienten oder des Servers.   * Es sind lediglich die Daten verschlüsselt,​ die Client-Server-Kommunikation ist **prinzipiell abhörbar**,​ z.B. über Arp-Angriffe im Subnetz des Clienten oder des Servers.
   * Die Kompression der verschlüsselten Daten durch die Bandlaufwerke ist um ca. 10% weniger effektiv, es werden etwas mehr Bänder benötigt.   * Die Kompression der verschlüsselten Daten durch die Bandlaufwerke ist um ca. 10% weniger effektiv, es werden etwas mehr Bänder benötigt.
-  * DeDuplikation ist für verschlüsselte Daten kaum effektiv nutzbar -- diese Technik kommt bei der GWDG aber nicht zum Einsatz.+  * DeDuplikation ist für verschlüsselte Daten kaum effektiv nutzbar -- diese Technik kommt aber bei der GWDG (bisher) ​nicht zum Einsatz.
  
-Umgekehrt verhält es sich bei der Nutzung von TLS als Transportverschlüsselung.+Umgekehrt verhält es sich bei der Nutzung von SSL/TLS als Transportverschlüsselung.
  
 Vorteile: Vorteile:
Zeile 22: Zeile 22:
  
 Nachteile: Nachteile:
-  * Die Daten liegen unverschlüsselt und damit //nur// durch die üblichen IT-Sicherheitsmaßnahmen der GWDG geschützt auf den TSM-Servern.+  * Die Daten liegen unverschlüsselt und damit //nur// durch die üblichen IT-Sicherheitsmaßnahmen der GWDG geschützt auf den SP-Servern.
   * Teilweise erhebliche Rechenlast für die Ver- bzw. Entschlüsselung der Daten.   * Teilweise erhebliche Rechenlast für die Ver- bzw. Entschlüsselung der Daten.
 +
 +Mit den SP-Versionen 8 und neuer hat sich die IBM für einen weiteren Ansatz entschieden:​
 +  * die Kontroll-Sessions (z.B. Knotennamen + Password, Dateilisten) werden TLS-verschlüsselt (siehe auch die WICHTIG-Box)
 +  * die Übertragung der eigentlichen Backupdaten erfolgt weiterhin unverschlüsselt.
 +Letztendlich werden damit die Vorteile aus Transport- und Client-Verschlüsselung kombiniert:
 +  * die eigentlichen Daten werden bereits auf dem Client verschlüsselt und liegen bei der GWDG *immer* verschlüselt vor
 +  * die Kommunikation zwischen Client und Server werden TSL-transportverschlüsselt.
 </​WRAP>​ </​WRAP>​
 <WRAP center round important 90%> <WRAP center round important 90%>
Zeile 31: Zeile 38:
  
 ===== Nutzung von TLS ===== ===== Nutzung von TLS =====
-Entsprechend der geänderten Empfehlung stellen wir SSL/TLS sukzessive für die Nutzung zur Verfügung. Zunächst nutzte es nur der Server TSM130 (dieser steht außerhalb der GÖNET-Firewall) und beschreiben daher hier die Nutzung. Die notwendigen Schritte zum Einsatz von TLS auf den Server beschreiben wir im //​[[de:​services:​storage_services:​backup:​tsm:​admin|Admin Corner]]//+Entsprechend der geänderten Empfehlung stellen wir SSL/TLS sukzessive für die Nutzung zur Verfügung. Zunächst nutzte es nur der Server TSM130 (dieser steht außerhalb der GÖNET-Firewall) und beschreiben daher hier die Nutzung. Dank //TOFU// wird mit dem Upgrade der Server auf SP8 die explizite Konfiguration von TLS entfallen. Die notwendigen Schritte zum Einsatz von TLS auf den Server beschreiben wir trotzdem ​im //​[[de:​services:​storage_services:​backup:​tsm:​admin|Admin Corner]]//.
- +
-Wie anhang der Tabelle mit den Zertifikatsdateien erkennbar, kommen permanent weitere Server hinzu, zunächst nur mit "self signed Certificates",​ später auch mit offiziellen DFN-Zertfikaten.+
  
-Für die neuen Server ​(SM281SM283SM285) wird über eine Serveroption SSL zwingend voreingestellt,​ diese akzeptieren keine Verbindungen ohne Verschlüsselung!+Wie anhang der Tabelle mit den Zertifikatsdateien erkennbar, kommen permanent weitere ​Server ​hinzuzunächst nur mit "self signed Certificates"​die Nutzung offizieller DFN-Zertfikate ist noch in der Diskussion.
 ===== Ablauf ===== ===== Ablauf =====
 Der Ablauf für Windows-, Linux- und MacOS-Clients ist nahezu gleich, daher wird er hier zunächst beschrieben. Der Ablauf für Windows-, Linux- und MacOS-Clients ist nahezu gleich, daher wird er hier zunächst beschrieben.