Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:services:storage_services:backup:tsm:anleitungen:tls [2020/06/10 14:42]
bnachtw [TLS für die Serverkommunikation]
de:services:storage_services:backup:tsm:anleitungen:tls [2020/06/10 14:54]
bnachtw [Beispiele]
Zeile 3: Zeile 3:
 Anmerkung: Anmerkung:
  
-Üblicherweise empfahl die GWDG die Nutzung der Datenverschlüsselung anstelle der TLS-Transportverschlüsselung,​ da dies ein paar Vorteile bietet:+Üblicherweise empfahl die GWDG die Nutzung der Datenverschlüsselung anstelle der SSL/TLS-Transportverschlüsselung,​ da dies ein paar Vorteile bietet:
   * Die Daten sind auf dem **gesamten** Weg vom Client bis zum Band verschlüsselt   * Die Daten sind auf dem **gesamten** Weg vom Client bis zum Band verschlüsselt
   * seitens der GWDG besteht **keine** Möglichkeit,​ Einblick in die Daten nehmen zu können.   * seitens der GWDG besteht **keine** Möglichkeit,​ Einblick in die Daten nehmen zu können.
Zeile 12: Zeile 12:
   * Es sind lediglich die Daten verschlüsselt,​ die Client-Server-Kommunikation ist **prinzipiell abhörbar**,​ z.B. über Arp-Angriffe im Subnetz des Clienten oder des Servers.   * Es sind lediglich die Daten verschlüsselt,​ die Client-Server-Kommunikation ist **prinzipiell abhörbar**,​ z.B. über Arp-Angriffe im Subnetz des Clienten oder des Servers.
   * Die Kompression der verschlüsselten Daten durch die Bandlaufwerke ist um ca. 10% weniger effektiv, es werden etwas mehr Bänder benötigt.   * Die Kompression der verschlüsselten Daten durch die Bandlaufwerke ist um ca. 10% weniger effektiv, es werden etwas mehr Bänder benötigt.
-  * DeDuplikation ist für verschlüsselte Daten kaum effektiv nutzbar -- diese Technik kommt bei der GWDG aber nicht zum Einsatz.+  * DeDuplikation ist für verschlüsselte Daten kaum effektiv nutzbar -- diese Technik kommt aber bei der GWDG (bisher) ​nicht zum Einsatz.
  
-Umgekehrt verhält es sich bei der Nutzung von TLS als Transportverschlüsselung.+Umgekehrt verhält es sich bei der Nutzung von SSL/TLS als Transportverschlüsselung.
  
 Vorteile: Vorteile:
Zeile 22: Zeile 22:
  
 Nachteile: Nachteile:
-  * Die Daten liegen unverschlüsselt und damit //nur// durch die üblichen IT-Sicherheitsmaßnahmen der GWDG geschützt auf den TSM-Servern.+  * Die Daten liegen unverschlüsselt und damit //nur// durch die üblichen IT-Sicherheitsmaßnahmen der GWDG geschützt auf den SP-Servern.
   * Teilweise erhebliche Rechenlast für die Ver- bzw. Entschlüsselung der Daten.   * Teilweise erhebliche Rechenlast für die Ver- bzw. Entschlüsselung der Daten.
 +
 +Mit den SP-Versionen 8 und neuer hat sich die IBM für einen weiteren Ansatz entschieden:​
 +  * die Kontroll-Sessions (z.B. Knotennamen + Password, Dateilisten) werden TLS-verschlüsselt (siehe auch die WICHTIG-Box)
 +  * die Übertragung der eigentlichen Backupdaten erfolgt weiterhin unverschlüsselt.
 +Letztendlich werden damit die Vorteile aus Transport- und Client-Verschlüsselung kombiniert:
 +  * die eigentlichen Daten werden bereits auf dem Client verschlüsselt und liegen bei der GWDG *immer* verschlüselt vor
 +  * die Kommunikation zwischen Client und Server werden TSL-transportverschlüsselt.
 </​WRAP>​ </​WRAP>​
 <WRAP center round important 90%> <WRAP center round important 90%>
Zeile 31: Zeile 38:
  
 ===== Nutzung von TLS ===== ===== Nutzung von TLS =====
-Entsprechend der geänderten Empfehlung stellen wir SSL/TLS sukzessive für die Nutzung zur Verfügung. Zunächst nutzte es nur der Server TSM130 (dieser steht außerhalb der GÖNET-Firewall) und beschreiben daher hier die Nutzung. Die notwendigen Schritte zum Einsatz von TLS auf den Server beschreiben wir im //​[[de:​services:​storage_services:​backup:​tsm:​admin|Admin Corner]]//+Entsprechend der geänderten Empfehlung stellen wir SSL/TLS sukzessive für die Nutzung zur Verfügung. Zunächst nutzte es nur der Server TSM130 (dieser steht außerhalb der GÖNET-Firewall) und beschreiben daher hier die Nutzung. Dank //TOFU// wird mit dem Upgrade der Server auf SP8 die explizite Konfiguration von TLS entfallen. Die notwendigen Schritte zum Einsatz von TLS auf den Server beschreiben wir trotzdem ​im //​[[de:​services:​storage_services:​backup:​tsm:​admin|Admin Corner]]//.
- +
-Wie anhang der Tabelle mit den Zertifikatsdateien erkennbar, kommen permanent weitere Server hinzu, zunächst nur mit "self signed Certificates",​ später auch mit offiziellen DFN-Zertfikaten.+
  
-Für die neuen Server ​(SM281SM283SM285) wird über eine Serveroption SSL zwingend voreingestellt,​ diese akzeptieren keine Verbindungen ohne Verschlüsselung!+Wie anhang der Tabelle mit den Zertifikatsdateien erkennbar, kommen permanent weitere ​Server ​hinzuzunächst nur mit "self signed Certificates"​die Nutzung offizieller DFN-Zertfikate ist noch in der Diskussion.
 ===== Ablauf ===== ===== Ablauf =====
 Der Ablauf für Windows-, Linux- und MacOS-Clients ist nahezu gleich, daher wird er hier zunächst beschrieben. Der Ablauf für Windows-, Linux- und MacOS-Clients ist nahezu gleich, daher wird er hier zunächst beschrieben.
Zeile 44: Zeile 49:
   - Verbindung prüfen   - Verbindung prüfen
 ===== Beispiele ===== ===== Beispiele =====
-Da wir das Zusammenspiel ISP8-Client ​mit ISP8-Server noch nicht testen konntenempfehle wir zunächst ​beim 7.1.6.5'er Client ​zu bleiben.+Die ersten Erfahrungen ​mit SP8-Clients und SP8-Servern sind erfreulich und machen die TLS-Nutzung vollkommen unkompliziert. 
 +Wir empfehlen daherentweder ​zunächst ​auf Version ​7.1.6.5 zu bleiben ​oder direkt einen aktuellen SP8-Client zu installieren.
  
   * [[de:​services:​storage_services:​backup:​tsm:​anleitungen:​ssl-windows-7client|Windows 10 mit ISP-Client in Version 7.1.6.5]] FIXME   * [[de:​services:​storage_services:​backup:​tsm:​anleitungen:​ssl-windows-7client|Windows 10 mit ISP-Client in Version 7.1.6.5]] FIXME