Hallo,
etwas ungewöhnliche Problemstellung:
Ich möchte gerne eine Datei (eigentlich egal was für eine) von einem Lancom per http/https oder auch per TFTP per Script herunterladem und wenn möglich auch hochladen.
Es gibt ja im Webconfig bzw Lanconfig die Möglichkeit verschiedene Dateitypen (Texte und Bilder bspw für den Public Spot) hochzuladen. Da wäre auch zu überlegen in welchem Bereich ich einen Text oder Datei hochlade. Ich vermute mal das eine einfache Dateiablage auf dem Gerät ohne irgendeinen Bezug nicht möglich ist oder irre ich mich da?
Hintergrund ist eigentlich relativ simpel und durch vorhandene Hardware kostenneutral. Ich habe einen Windows Server mit 2 Partitionen, wobei die 2. Partition mittels Bitlocker geschützt ist. Das ist notwendig weil hier sehr schützenswerte Daten einer Arztpraxis liegen. Ich möchte sicherstellen, das bei einem Diebstahl des Server zumindest diese Daten verschlüsselt sind. Daher dachte ich an ein Script, was eine Datei vom Lancom lädt. Diese Datei beinhaltet den Schlüssel für die verschlüsselte Partition. Das Lancom könnte natürlich mit gestohlen werden, aber hier kann ich ja die Standortüberprüfung einschalten, so das auch dieses Szenarion abgedeckt wird. Natürlich gibt es den Schlpssel auch offline den man eingeben kann aber im Normalfall nach einem Boot sollte sich das System selbst entschlüsseln.
Am liebsten wäre mir natürlich eine "geheime" Ablage, also kein Missbrauch von bspw. Login Texten in einer anderen Sprache des Public Spot Moduls.
Gruß
Christian
Datei per Script herunter laden
Moderator: Lancom-Systems Moderatoren
Re: Datei per Script herunter laden
Hallo Christian,
man kann sich hinten am USB-Port so einen winzig kleinen USB-Stick (Speicher) reinstecken, der fällt nicht auf, wäre allerdings absteckbar und damit auslesbar, also sicherheitstechnisch wohl nicht da, wo Du hinwolltest, und den kann man dann mit Dateien in einem Ordner public_html versehen. Die Dateien kann man z. B. mit SFTP über den LANCOM (also genauer über die IP-Adresse des LANCOMs und den SSH-Port) hochladen (und darüber natürlich auch wieder runterladen). Zugreifen kann man dann auf die Dateien mit http(s)://<Name-oder-IP-Adresse-des-LANCOMs>/filesrv/usb/abc.xyz
Viele Grüße,
Jirka
man kann sich hinten am USB-Port so einen winzig kleinen USB-Stick (Speicher) reinstecken, der fällt nicht auf, wäre allerdings absteckbar und damit auslesbar, also sicherheitstechnisch wohl nicht da, wo Du hinwolltest, und den kann man dann mit Dateien in einem Ordner public_html versehen. Die Dateien kann man z. B. mit SFTP über den LANCOM (also genauer über die IP-Adresse des LANCOMs und den SSH-Port) hochladen (und darüber natürlich auch wieder runterladen). Zugreifen kann man dann auf die Dateien mit http(s)://<Name-oder-IP-Adresse-des-LANCOMs>/filesrv/usb/abc.xyz
Viele Grüße,
Jirka
Re: Datei per Script herunter laden
Vielen Dank für die schnelle Antwort. Das mit dem USB Stick hatte ich auch noch im Kopf aber wie du schon richtig geschrieben hast ist das sicherheitstechnisch nicht top. Aber man muss ja erstmal wissen wozu das da ist und ist auf jeden Fall besser als nichts. Und dazu bis auf ein wenig Scripting ein kostenlos.
Auf die Dateien die man direkt in das Lancom hochlädt kommt man nicht so dran? Hab noch mal was genauer geschaut was man standardmäßig hochladen kann. Die dem Public Spot zugehörogen Dateien würde ich ungerne missbrauche, aber der Rollout Assistent wird bei einer Nebenstelle sicher nicht genutzt. Wären die (HTML) Dateien dann auch per SFTP / http(s) herunterladbar bzw. zugreifbar?
Viele Grüße
Christian
Auf die Dateien die man direkt in das Lancom hochlädt kommt man nicht so dran? Hab noch mal was genauer geschaut was man standardmäßig hochladen kann. Die dem Public Spot zugehörogen Dateien würde ich ungerne missbrauche, aber der Rollout Assistent wird bei einer Nebenstelle sicher nicht genutzt. Wären die (HTML) Dateien dann auch per SFTP / http(s) herunterladbar bzw. zugreifbar?
Viele Grüße
Christian
-
GrandDixence
- Beiträge: 1061
- Registriert: 19 Aug 2014, 22:41
Re: Datei per Script herunter laden
Welchen Sicherheitsvorteil bringt eine verschlüsselte Festplatte, wenn der dazugehörende Verschlüsselungsschlüssel auf einem unverschlüsselten Dateisystem rumliegt?
LANCOM-Router unterstützen keine verschlüsselten Dateisysteme. Somit gehört ein solcher Verschlüsselungsschlüssel nicht auf das Dateisystem (YAFFS) des im LANCOM-Router integrierten FLASH-Speicher oder auf angehängte Peripherie (zum Beispiel: USB-Memorystick).
fragen-zur-lancom-systems-routern-und-g ... ml#p100561
Üblicherweise werden solche Bitlocker-Verschlüsselungsschlüssel mit (f)TPM in Kombination mit einem Bitlocker-PIN oder Bitlocker-Passwort geschützt.
https://www.dell.com/support/article/de ... in-windows
Der Bitlocker-PIN oder das Bitlocker-Passwort muss bei jedem Rechnerstart (präziser: Kaltstart) eingegeben werden. Der (f)TPM ist ein HSM und sorgt dafür, dass die Festplatte nur mit einer einzigen (Server-)Hardwarekomponente auf diesem Planeten entschlüsselt werden kann.
https://docs.microsoft.com/de-de/window ... curity-faq
Einen Einstieg ins Thema HSM bietet:
fragen-zum-thema-vpn-f14/vpn-ikev2-mit- ... ml#p101137
Auch die Boot-/System-Partition ist mit Bitlocker zu verschlüsseln und mit "UEFI Secure Boot" abzusichern!
https://www.thomas-krenn.com/de/wiki/UEFI_Secure_Boot
LANCOM-Router unterstützen keine verschlüsselten Dateisysteme. Somit gehört ein solcher Verschlüsselungsschlüssel nicht auf das Dateisystem (YAFFS) des im LANCOM-Router integrierten FLASH-Speicher oder auf angehängte Peripherie (zum Beispiel: USB-Memorystick).
fragen-zur-lancom-systems-routern-und-g ... ml#p100561
Üblicherweise werden solche Bitlocker-Verschlüsselungsschlüssel mit (f)TPM in Kombination mit einem Bitlocker-PIN oder Bitlocker-Passwort geschützt.
https://www.dell.com/support/article/de ... in-windows
Der Bitlocker-PIN oder das Bitlocker-Passwort muss bei jedem Rechnerstart (präziser: Kaltstart) eingegeben werden. Der (f)TPM ist ein HSM und sorgt dafür, dass die Festplatte nur mit einer einzigen (Server-)Hardwarekomponente auf diesem Planeten entschlüsselt werden kann.
https://docs.microsoft.com/de-de/window ... curity-faq
Einen Einstieg ins Thema HSM bietet:
fragen-zum-thema-vpn-f14/vpn-ikev2-mit- ... ml#p101137
Auch die Boot-/System-Partition ist mit Bitlocker zu verschlüsseln und mit "UEFI Secure Boot" abzusichern!
https://www.thomas-krenn.com/de/wiki/UEFI_Secure_Boot