我正在考虑建立我的第一个 nas。我打算通过互联网连接到它。
因为我也会在上面保存一些工作文件,所以我想让它尽可能的安全。
我对 nas 操作系统没有特别的偏好(除了免费)。
nas 将有多个用户(2+主用户,主用户仅允许本地登录),并且每个用户将具有与其关联的某些 MAC 地址(包括 *)。根据(用户,mac),用户将具有某些权限。
此外,我还想防止我的 mac 被欺骗,数据被窃听或修改。所以我在考虑以下方案。nas 内容使用主密钥加密。当某个 (user,mac) 请求数据时,数据将使用与 nas 上的 (user,mac) 表相对应的密钥解密并再次加密。因此,内容应该通过互联网加密发送,并在 90% 的时间是 win7 pc 的设备上透明解密。
哪些工具组合可以实现这种组合(我只能想到 truecrypt +fuse-encfs,但它不能实现我的需要)?另外还有一个问题,您推荐或使用哪种安全措施来保护您的网络存储?
问候,
CR
答案1
执行此操作的“标准”方法包括:
- 加密的本地文件系统
- 服务器(可能基于 HTTPS)配置为使用基于客户端的证书的 SSL
- 具有客户端证书的客户端
这会加密服务器和客户端设备之间的流量,同时还可以防止 MAC 欺骗攻击,因为流量只会在拥有正确密钥的设备之间传输。在这种情况下,您将获得两层保护,即客户端证书和基于地址的访问列表。
这确实使 NAS 成为明文的位置,您必须决定这对您来说是否是可以接受的风险。