Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
de:services:storage_services:backup:tsm:anleitungen:tls [2018/12/07 11:50]
bnachtw [self signed certificate]
de:services:storage_services:backup:tsm:anleitungen:tls [2018/12/10 11:45] (aktuell)
bnachtw [Beispiele]
Zeile 1: Zeile 1:
 +====== TLS für die Serverkommunikation ======
 +<WRAP center round tip 90%>
 +Anmerkung:
  
 +Üblicherweise empfahl die GWDG die Nutzung der Datenverschlüsselung anstelle der TLS-Transportverschlüsselung,​ da dies ein paar Vorteile bietet:
 +  * Die Daten sind auf dem **gesamten** Weg vom Client bis zum Band verschlüsselt
 +  * seitens der GWDG besteht **keine** Möglichkeit,​ Einblick in die Daten nehmen zu können.
 +  * Es gibt keine zusätzliche Rechenlast auf dem TSM-Server.
 +
 +Allerdings gibt es auch ein paar Nachteile:
 +  * Der Schlüssel liegt beim Nutzer, geht dieser verloren, kann seitens der GWDG keine Hilfestellung gegeben werden.
 +  * Es sind lediglich die Daten verschlüsselt,​ die Client-Server-Kommunikation ist **prinzipiell abhörbar**,​ z.B. über Arp-Angriffe im Subnetz des Clienten oder des Servers.
 +  * Die Kompression der verschlüsselten Daten durch die Bandlaufwerke ist um ca. 10% weniger effektiv, es werden etwas mehr Bänder benötigt.
 +  * DeDuplikation ist für verschlüsselte Daten kaum effektiv nutzbar -- diese Technik kommt bei der GWDG aber nicht zum Einsatz.
 +
 +Umgekehrt verhält es sich bei der Nutzung von TLS als Transportverschlüsselung.
 +
 +Vorteile:
 +  * Unverschlüsselte Daten können auch seitens der GWDG **auf expliziten Auftrag des Nutzers** restored werden.
 +  * Kompression und DeDuplikation arbeiten besser.
 +  * Auch die Kommunikation neben dem Datenstrom ist verschlüsselt.
 +
 +Nachteile:
 +  * Die Daten liegen unverschlüsselt und damit //nur// durch die üblichen IT-Sicherheitsmaßnahmen der GWDG geschützt auf den TSM-Servern.
 +  * Teilweise erhebliche Rechenlast für die Ver- bzw. Entschlüsselung der Daten.
 +</​WRAP>​
 +<WRAP center round important 90%>
 +Aufgrund der Umsetzung des Prinzips "​Privacy-by-default"​ in TSM/ISP, das in den Versionen ab 7.1.8 bzw. 8.1.2 die Nutzung von SSL/TLS **zwingend vorschreibt**,​ wird auch die GWDG sukzessive die Verschlüsselung zunächst anbieten und vermutlich ab 2019 obligatorisch einführen.
 +</​WRAP>​
 +
 +===== Nutzung von TLS =====
 +Entsprechend der geänderten Empfehlung stellen wir SSL/TLS sukzessive für die Nutzung zur Verfügung. Zunächst nutzte es nur der Server TSM130 (dieser steht außerhalb der GÖNET-Firewall) und beschreiben daher hier die Nutzung. Die notwendigen Schritte zum Einsatz von TLS auf den Server beschreiben wir im //​[[de:​services:​storage_services:​backup:​tsm:​admin|Admin Corner]]//.
 +
 +Wie anhang der Tabelle mit den Zertifikatsdateien erkennbar, kommen permanent weitere Server hinzu, zunächst nur mit "self signed Certificates",​ später auch mit offiziellen DFN-Zertfikaten.
 +
 +Für die neuen Server (SM281, SM283, SM285) wird über eine Serveroption SSL zwingend voreingestellt,​ diese akzeptieren keine Verbindungen ohne Verschlüsselung!
 +===== Ablauf =====
 +Der Ablauf für Windows-, Linux- und MacOS-Clients ist nahezu gleich, daher wird er hier zunächst beschrieben.
 +  - Zertifikatsdatei herunter laden und speichern (für die Beispiele gehen wir vom Speichern direkt im Ordner der Client-Konfiguration aus)
 +  - Auf dem Client einen //keyring// erzeugen (nur Linux)
 +  - Das Server-Zertifikat in diesen Keyring einfügen
 +  - Konfiguration des Clients anpassen
 +  - Verbindung prüfen
 +===== Beispiele =====
 +Da wir das Zusammenspiel ISP8-Client mit ISP8-Server noch nicht testen konnten, empfehle wir zunächst beim 7.1.6.5'​er Client zu bleiben.
 +
 +  * [[de:​services:​storage_services:​backup:​tsm:​anleitungen:​ssl-windows-7client|Windows 10 mit ISP-Client in Version 7.1.6.5]] FIXME
 +  * [[de:​services:​storage_services:​backup:​tsm:​anleitungen:​ssl-linux-7client|Linux (Debian Stretch) mit ISP-Client in Version 7.1.6.5]]
 +  * //​[[de:​services:​storage_services:​backup:​tsm:​anleitungen:​ssl-windows-8client|Windows 10 mit ISP-Client in Version 8.1.6.1]]// FIXME
 +  * //​[[de:​services:​storage_services:​backup:​tsm:​anleitungen:​ssl-linux-8client|Linux (Debian Stretch) mit ISP-Client in Version 8.1.6.1]] //FIXME
 +
 +
 +
 +===== Serverzertifikate ===== 
 +==== self signed certificate ====
 +
 +Im Rahmen des Testbetriebs werden zunächst //self signed certificates//​ benutzt.
 +
 +Im {{:​de:​services:​storage_services:​backup:​tsm:​anleitungen:​gwdg-tsm-ssl.zip|ZIP-Archiv}} liegen alle aktuellen //​self-signed certificates//:​
 +
 +^ Server ​   ^ Zertifikat / Pfad       ^ Prüfalgorithmus ​ ^ Prüfsumme ​                                                         ^
 +|  SM130    |  ''​sm130/​cert256.arm'' ​ |  sha256 ​         |  19f42c0f581c3b3c401f93c8e5dca577a47ba12c4902332be08523c67195c9c7 ​ |
 +|  SM131*) ​   |  ''​sm131/​cert256.arm'' ​ |  sha256 ​         |  6bc1a4aac0dcb1740605fb3b6458b6335d35d6cbf513429b48d47b83d2edecd1 ​ |
 +|  SM230*) ​   |  ''​sm230/​cert256.arm'' ​ |  sha256 ​         |  e8fa348a78b96b8a3dbc2548279922b58af8220ccc38f585b159cdcf69ece754 ​ |
 +|  SM231  |  ''​sm231/​cert256.arm'' ​ |  sha256 ​         |  b3908d34cebea5bb65c6b395fc09f0a0b8b5bb38d440d839fc0f727b89b3f3c8 ​ |
 +|  SM232*) ​   |  ''​sm232/​cert256.arm'' ​ |  sha256 ​         |  f768f384a674fdb2760a7573649d1120afcbd49b8ae879e5cc74f4f573930a5b ​ |
 +|  SM233*) ​   |  ''​sm233/​cert256.arm'' ​ |  sha256 ​         |  f0a8b03667598b72978f0244f662ea197de8e285126c0d0cba67bac299de85fc ​ |
 +|  SM234    |  ''​sm234/​cert256.arm'' ​ |  sha256 ​         |  b106d4786f348c5a098cb25398a6ef09e10b5de604dc2bcaef08e3b5db49302a ​ |
 +|  SM235    |  ''​sm235/​cert256.arm'' ​ |  sha256 ​         |  7b4c0712ee654d5ef7948b14c0bab73ea0bd7ad24eeb49737aeb92e450dc213b ​ |
 +|  SM236    |  ''​sm236/​cert256.arm'' ​ |  sha256 ​         |  5bb6c3816b0dae064c4372b129b2f2a5794a358d2327a825585797849d3d8b71 ​ |
 +|  SM281    |  ''​sm281/​cert256.arm'' ​ |  sha256 ​         |  e14ae9fa6956c5da62aa6783ec031da21c25f7ed4f8351a67c59db4f8656e454 ​ |
 +|  SM283    |  ''​sm283/​cert256.arm'' ​ |  sha256 ​         |  09b8cceb979dc1a26c93606f68c5c34b9e05a289d818b29590bdff6714cdca0b ​ |
 +|  SM285    |  ''​sm283/​cert256.arm'' ​ |  sha256 ​         |  04ee673136378cf261ce00c6b15f5ed0d2b31268bc10f504b0c7a6461cefbe7a ​  |
 +
 +*) => Neustart des Servers steht ggf. noch aus!
 +
 +==== DFN certificate ====
 +Darüber hinaus sind folgende Zertifikate der DFN-PKI verfügbar
 +^ Server ​ ^ Zertifikat ​                                                              ^ Prüfalgorithmus ​ ^ Prüfsumme ​                                                         ^
 +| --   | noch keine | sha256 | -- |