Filserver/SAN med krypering?

Truecrypt och smb borde fungera bra. Kör själv den combon, och det fungerar bra att streama krypterat material. Har dock inte krypterat alla min diskar.

AFS? Men jag klarar inte av att sätta upp skiten för det är krångligt, vet inte om du fixar det men isf är det väl bara att köra =P

Sök på OpenAFS eller Arla/Milko.

Jag skall försöka reda ut så gott jag kan!

Mitt nätverk ser ut så här:

Internet->Modem->Router->Klienter
Det som kanske inte är så standard är att jag har en delad router och filserver, vilket kan ge upphov till en del förvirring.
Min filserver betecknas som Routing/nas i sign och kör en mjuk raid5 på lagringsdiskarna.
Den kör smb/shorewall/www och jag kommer aldrig över 20 % i load och har en minimal minnesanvändning, 1024 är EXTREMT väl tilltaget. 256 räcker gott, kanske 512 om du skall köra krypteringen på servern (kommer tillbaks till detta senare).

Bakom routern/filservern har jag totalt tre olika switchar (varav en mest finns för att sladdarna är för korta..) och två olika accespunkter.
Min ws ansluter till filservern trådat genom samtliga tre switchar, och jag har inga prestandaproblem. Två laptops ansluter trådlöst genom en lite lyxigare neatgear accespunkt i den första switchen. En tredje laptop ansluter genom en accespunkt i den tredje switchen. Prestandaskillnaden är inte märkbar.

Personligen kör jag alltså ingen kryptering på filservern, och mig veterligen krypteras alltså inte trafiken via smb.

Beroende på dina krav finns det ett par olika lösningar (bara truecrypt/smb nu då):
Om du inte behöver krypterad ÖVERFÖRING (varför skall du ha det i ett hemnätverk?) så är det enklaste att helt enkelt skapa en truecrypt-volym på filservern och mounta den där manuellt vid uppstart och dela ut den mountade enheten via smb. Fördelen är att allt lagras krypterat och att klienterna inte behöver belastas med att kryptera/dekryptera. Nakdelen är alltså att du inte får krypterad överföring, samt måste in på servern och manuellt ange lösenord till dina krypterade enheter varje gång du startar om den (man brukar väll köra 24/7 så).

Ett annat alternativ är att skapa sk. "file containers" på filservern för att sedan mounta dessa på klienterna. Data skickas då krypterad, men belastar klienterna med arbetet. Dessutom kan containers tyvärr bara vara mountade på en klient i taget, vilket alltså begränsar dig till en samtida klient.

Själv har jag funderat på att köra mitt första alternativ, men det har helt enkelt inte blivit av. Använder alternativ två till en del känslig data och personliga saker. Återkom gärna med rapport om du testar något av detta!

Har tyvärr ingen erfarenhet alls av truecrypt under linux, det blir att testa någon gång när jag har tillgång till 1 TB lånediskar (:

Jag kör DM-crypt luks på alla diskarna i servern. För att sedan ha en krypterad överföring mellan server och htpc använder jag ssh mount. Fungerar på precis samma sätt som smb och nfs mount men med fördelen att överföringen är krypterad.

Bör tillägga att jag har en disk lokalt krypterad på volymnivå (truecrypt, AES). CPU-användningen ligger på sådär 20 % vid skriv.

Kort fråga: Vad är finessen med att ha en krypterad förbindelse mellan filservern och HTPC:n? Är det Internet som är bärare mellan dessa två maskiner??

Själv så har jag hela mitt "diskhav", (1,3 TB), krypterat med TrueCrypt AES->TwoFish-Serpent, och monterar denna partition via vanlig windowsfileshare.

CPU:n i filservern är en P3-733 MHz, men det är i det minsta laget om man vill köra nästlad kryptering. Det går ganska trögt med större fil-flyttar, men konceptet är klockrent.

//Calimero

Okej....men jag antar att du aktiverar WPA mellan HTPC:n och filservern och då blir förbindelsen hyfsat krypterad. Viktigt att tänka igenom vad man egentligen vill uppnå. Jag jobbar professionellt med brandväggar/VPN och har sett en del (mindre) roliga varianter där kunderna kör ett VPN i ett VPN i ett VPN vilket leder till ganska dålig prestanda eftersom varje kryptering skapar overhead vilket i sin tur innebär att man kan skicka mindre antal bitar "nyttolast" i varje paket som går över förbindelsen.

Detta brukar kallas "security by obscurity"

//Calimero

Testade faktiskt SSHmount i går eller i förgår eller vad det var. Sftpdrive tror jag programmet hette. Överföringshastigheten låg på ungefär en tiondel av vad jag får med smb (grovt testat med filöverföring). Det är plågsamt att behöva se en laddningsbar när man flyttar filer på några mb. Det gick bort direkt.

Vill inte tänka på hur det går med wifi, som redan är relativt segt i sig. Jag kan utnyttja 20 % av 54 mbit wifi (riktigt bra accespunkt). Motsvarande siffra för 100 mbit trådat är 80 % (!).