Datenserver

Sparta8

Lieutenant
Registriert
Juli 2008
Beiträge
977
Ich kenne mich im Netzwerkbereich fast gar nicht aus und würde euch um eure Hilfe bitten.
Ich benötige einen Datenserver der folgendes kann:

.) Man soll unter Windwos XP über ein Netzwerklaufwerk darauf zugreifen können.
.) Das Ganze sollte nicht nur lokal, sondern auch über das Internet funktionieren und per VPN realisiert werden.
.) Die Daten sind mit TrueCrypt verschlüsselt. Der Key wird auf UBS Sticks ausgelagert. Die Clients sollten nur mit diesem Stick die Daten lesen können.
.) Gibt es eine Möglichkeit die Daten zu cachen? Die Clients sollen also eine Kopie der Daten anlegen und entweder Manuell oder Automatisch(falls es neue Daten gibt, oder im Intervall z.B. alle 2 Tage updaten.
.) Könnte man die Daten auch über eine Webinterface zur Verfügung stellen? Die Verbindung würde per SSL gesichert werden, aber wie funktioniert die Entschlüsselung der TrueCrypt Daten?

Welche Hardware würde ich dafür benötigen?
Linux Server(Samba?) oder Windows Server? Könnte eine NAS diese Aufgabe auch erfüllen?
Brauche ich dafür einen VPN Router? Auch auf der Clientseite oder nur auf Serverseite? Oder könnte man VPN auch über Software realisieren?

Ich blick da überhaupt nicht durch und weiß nicht wo ich ansetzten könnte. :(
 
Machen wir zunächst Lokal.

Die Daten sind im Server verschlüsselt, der Key wird ja an dem Server hängen und nicht überall vom Clients mitgenommen.
Lokal wird's ja wahrscheinlich kein Problem denn Zugriff zu dem Datenserver kannst ja so einrichten, dass Username und Password für jeweilige Clienten vorgesehen wird.
Für VPN kannst mit z.B. openVPN realisieren, hier kannst du Zertifikaten erstellen und jede User bekommt sein eigenes Zertifikat mit z.B. openSSL zugestellt.
Mit Dateicachen verstehe ich nicht, aber vielleicht kannst du nach rsync nachschauen.
Über Webinterfaces kann man die Daten auch mit SSl sicherlich bereitstellen, aber was hat dann mit TrueCrypt zu tun?


Fertig mit Lokal und Betriebsfähig:

Wenn das Ding erledigt musst du nur deine IP von aussen bekanntmachen, mit z.B. dyndns und je nachdem was für Router du hast, musst du wahrscheinlich nur das betroffene Port weiterleiten.
 
Ich hatte einen Denkfehler bezüglich TrueCrypt. Ich dachte zuerst die Daten würden verschlüsselt vorliegen und so übertragen werden. Und nur mit dem key beim Client entschlüsselt werden können.

Die Datei wird aber auf dem Server zuerst von TrueCrypt entschlüsselt, versendet und dann auf dem Client wieder local verschlüsselt. Demnach haben Server und Client verschiedene Keys. So richtig?

Um die Daten zur Verfügung zu stellen brauche ich z.B. Samba. Ist es nun möglich Samba mit rsync zu kombinieren? Oder wie muss ich mit rsync arbeiten? Den Datenverkehr und den Zugriff sichere ich mit VPN?

Tut mir Leid wenn meine Fragen komisch klingen. Ich blicke da noch nicht 100% durch. Netzwerke sind meine Schwachstelle :(
 
Für die Aufgaben kannst du (wenn es dir leichter fällt) auch WinXP oder Vista nehmen.

Die Truecrypt Laufwerke werden eh lokal gemountet und dann allen mit entsprechenden Berechtigungen zur Verfügung gestellt.
Von außen kannst du entweder per sFTP oder per VPN zugreifen, ich würde hier auf sFTP setzen, dann kann man mit einem Webserver auf dem selben Rechner einen einen PHP FTP Client anbieten und setzt nicht noch mehr Dienste ein.
 
Je nach dem wie du dein Netzwerk aufbaust, du kannst die Daten aber sicher verschlüsselt übertragen.

Samba kannst du ja i.d.R. auch mit rsync kombinieren. Was du machen willst weiß ich aber nicht. Es geht aber um synchronisieren.


Der Zugriff vom Internet wird erst von VPN getunnelt. Im lokalen Netzwerk sehe ich VPN wenig Sinn.
Wegen VPN Schlüssel kannst du ja wie ich oben geschrieben habe für jede User seinen eigenen Schlüssel geben.
Wir machen in unserer Arbeit so.
Die User werden von einem LDAP Server verwaltet, d.h. Useraccount und Passwort und für den Schlüssel bzw. die Zertifikate wird so beantragt und mit Password versehen.

Also zum Einloggen braucht man 1. Useraccount, 2. Userpasswort, 3. Zertifikatpasswort. D.h. wenn die Zertifikat geklaut werden soll, kann die nicht einfach verwendet werden, da sie ja mit Passwort geschützt.
 
Zurück
Oben