FreeBSD México

Comunidad Mexicana de FreeBSD

Usando la nueva encripción completa de disco para ZFS de FreeNAS

 

FreeNAS2

 

Posteado por Gary Sims el Lunes 22 de Abril de 2013

En la liberación del mes pasado de  FreeNAS 8.3.1 se agregó nueva funcionalidad que permite a los administradores de sistemas de la solución de almacenamiento NAS de código abierto, el encriptar discos completos mientras usan ZFS.

ZFS ha sido el sistemas de archivos primario para FreeNAS desde FreeNAS 8, y ha suplantado al UFS de freeBSD como el enfoque del proyecto. La nueva funcionalidad de seguridad aplica solo a ZFS y es la primera vez que FreeNAS ha soportado encripción.

Por qué usar encripción de disco? Los sistemas operativos modernos tales como FreeBSD, el cual esta en el corazón de  FreeNAS, estan diseñados para proteger contra accesos no autorizados a datos, y si se emplea una buena política de seguridad, deberá ser dificil para un atacante externo el obtener acceso a datos sensitivos almacenados bajo FreeBSD. Si un atacante tiene acceso físico a un servidor, de cualquier forma, el puede remover el disco del servidor y llevarselo, y examinarlo a voluntad – pero no si esta encriptado.

También esta el problema de disponer de discos obsoletos o dañados que contienen datos sensibles. A menos que usted los rompa físicamente (lo cual hacen algunas compañías) Siempre hay un riesgo de que alguien pueda extraer esos datos a partir de dispositivos desechados – a menos que este encriptado.

Con la encripción habilitada, todos los datos escritos en el disco son inaccesibles sin las credenciales correctas. Las características de seguridad más nuevas en la última versión de  FreeNAS soporta encripción de disco completo, Lo que significa que la encripción esta hecha al nivel de disco, abajo del sistema de archivos ZFS. FreeNAS emplea GELI, un subsistema de capa de encripción de disco a nivel del dispositivo de bloques, escrito para FreeBSD, el cual lo hace más eficiente de lo que sería solamente agregar herramientas de encripción.

Consideraciones

Antes de usar las nuevas características de encripción de disco de FreeNAS, usted deberá entender algunas cosas importantes:

  • La encripción de disco en FreeNAS 8.3.1 y posterior no es la misma que la encripción de disco diseñada por Oracle en ZFS v30. Esto significa que no es posible importar volúmenes encriptados de sistemas que esten corriendo el ZFS de Oracle en FreeNAS.
  • Si pierde u olvida la llave maestra de su disco encriptado, todos los datos en el disco seran irrecuperables.
  • Encriptar datos al vuelo puede ser costos en terminos de rendimiento. Intel, en sus CPUs i5 e i7, yAMD, en sus núcleos Bulldozer y Piledriver, han agregado un nuevo juego de instrucciones de encripción AES  para algunos de sus procesadores. Sin estas instrucciones AES usted sufrirá un impacto negativo  en su rendimiento de aproximadamente el 20 % menos – y aún más si tiene multiples discos.
  • No es posible convertir un volúmen actual no encriptado en uno encriptado. Para encriptar los datos de un volúmen existente, se deberá realizar un respaldo completo y restaurarlo en un disco que tenga encripción habilitada.

Preparandose para iniciar

Para usar encripción de disco se necesita correr cuando menos FreeNAS 8.3.1-RELEASE-p2 – eso es, la segunda versión parchada del 8.3.1 release inicial, el cual tiene algunos problemas. El sitio de FreeNAS tiene buena documentación, incluyendo una guía de instalación paso a paso.

Después de la instalación usted administra FreeNAS via una interfase web. Para crear un volúmen encriptado, baje a traves del árbol de menu en el lado izquierdo de la interfase web: Storage -> Volumes -> Volume Manager. Seleccione los discos que quiere usar para formar el tanque de almacenamiento, seleccione ZFS, y asegurese que la opción “Enable full disk encryption” -Habilitar encripción completa de disco- esté seleccionada en el check box. También se tiene la opción de inicializar el disco con datos aleatorios, lo cual es útil si el disco fue usado previamente.

Si esta usando más de un disco, seleccione el tipo de volúmen que debera comprender entre: stripe, mirror, o RAID-Z:

  • Striping (volúmen único) no ofrece ninguna redundancia pero ofrece rendimiento mejorado. Es el equivalente a RAID-0, pero no es recomendado generalmente, ya que si falla un solo disco, esto resultará en la pérdida de todos los datos en el volúmen.
  • Mirroring (Espejeo) es lo mismo que  RAID-1. Todos los datos estan duplicados exactamente en uno o más discos.
  • RAID-Z necesita al menos tres discos y ofrece un mejor intercambio de rendimiento y redundancia. Los datos estan compartidos entre todos los discos, y el volúmen sobrevivirá una falla de un disco.

Una vez que se crea un volúmen se debe proporcionar una frase clave para la llave maestra. De Click en el botón “Create Passphrase” -Crear Frase Clave-(El primer icono con una llave en él) e introduzca la frase clave. Esta puede contener espacios, y puede ser una oración o frase y no necesariamente solo una palabra.

Es prudente crear una clave de recuperación para que en caso de que se le olvide la frase clave se pueda usar la clave de recuperación asociada en su lugar. Cuando se da click en el icono de “Add recovery key” FreeNAS genera una clave de recuperación y la muestra al usuario por medio del navegador web.

Usted debería descargar una copia de respaldo de la llave maestra por medio de dar click el icono de “Download Key” -Descargar llave-. La configuración GELI es independiente de la configuración de FreeNAS, y es mejor tener una copia de respaldo en caso de que la información de la llave GELI se pierda o se destruya. Si, por ejemplo, alguna vez necesita reinstalar FreeNAS, debido quizas a una falla del disco del sistema operativo, se puede usar el respaldo de la llave maestra para obtener acceso a los discos existentes. Sin el respaldo, se pierde la información de la clave de encripción si el disco del sistema operativo falló.

Siempre que se reiniciar el servidor FreeNAS se necesitará introducir la frase clave antes de que se pueda accesar a un volúmen encriptado. Se le da Click en las siguientes opciones:  Storage -> Volumes -> View Volumes, se da click en el icono de desbloquear “unlock” (es el único icono tipo llave que se muestra), introduzca la frase clave, y asegurese que los servicios de acceso relevantes (tales como CIFS y NFS) estan marcados para reiniciar de tal forma que el volumen este disponible para esos servicios. Si se le olvida la frase clave se puede usar la llave de recuperación por medio de subirla-cargarla en lugar de teclear la frase clave. En tales situaciones se deberá de resetear la frase clave por medio de dar un click en el icono de “Cambiar de frase clave”, “Change Passphrase icon”, en lugar del icono de “Crear Frase Clave” “Create Passphrase icon”, y regenerar la llave de recuperación.

Aquí hay algo que se debería de observar con cuidado: Los volúmenes bloqueados estan disponibles para el administrador de volúmenes para su uso en nuevos volúmenes. Esto permite reusar discos encriptados previamente cuando sea necesario, pero esto tambien significa que estos volúmenes pueden ser destruidos por error. Esto puede ser algo un poco desconcertante a primera vista, considerando que los volúmenes contienen datos valiosos! Una vez que un volúmen es desbloqueado sus discos ya no estaran disponibles para el administrador de volúmenes, así que se debería desbloquear los volúmenes tan pronto como sea posible.

A estas alturas no deberíamos de recordar que usted debe proteger la frase clave, la llave maestra, y la llave de recuperación. Si un atacante es capaz de obtener acceso físico a los discos y tambien logra la posesión de la frase clave o la llave de recuperación, su encripción se vuelve inutil.

Reemplazar un disco dañado encriptado

Las opciones de espejo ZFS y RAID-Z proporcionan redundancia de disco y permiten al sistema de archivos sobrevivir a la falla de un solo disco duro en un volúmen. Si un disco duro falla, solo hay que dar click al icono de status de volúmen “Volume status icon” en la página de Vista de Volúmenes (View Volumes), y entonces sacar el disco fuera de línea por medio de dar click “Offline” para el disco dañado. Reemplace físicamente el disco dañado; dependiendo en las capacidades hot-swap de su hardware, Usted tal vez necesite apagar FreeNAS para hacer esto. En la página de Vista de Volúmenes “View Volumes” de un click en  “Replace” junto al disco que acaba de cambiar y seleccion el nuevo disco. Teclee la frase clave de encripción para el volúmen – sin la frase clave no podrá reemplazar el disco.

Usted no puede usar la llave de recuperación cuando este reemplazando un disco. Si se pierde la frase clave y el disco falla, la única opción es usar la herramienta de llave de recuperación para desbloquear el volúmen dagradado, y entonces cambie la frase clave antes de reemplazar el disco.

Extendiendo  un volúmen encriptado

Una de las muchas  ventajas del sistema de archivos ZFS es que, permite extender volúmenes mediante simplemente agregar discos. Debido a la naturaleza de ZFS no se puede incrementear el número de discos en un conjunto existente, pero en su lugar se necesita agregar más discos al volúmen mismo. Por ejemplo, la manera de expandir un volúmen conformado por hasta tres discos en configuración RAID-Z  es mediante agregar otros tres discos en configuración RAID-Z. El resultado sera un volúmen con dos conjuntos de discos en RAID-Z. Los discos extra no alteran a los discos originales RAID-Z si no que expanden el volúmen. No es posible agregar un cuarto disco a los tres existentes.

La ventaja de esta solución es que es posible agregar discos de diferentes tamaños que los discos originales de un volúmen. La desventaja es que no es posible mezclar diferentes configuraciones. En otras palabras, es posible expandir un volúmen usando RAID-Z por medio de agregar otro conjunto de discos en una configuración RAID-Z , y así sucesivamente.

El mismo comportamiento aplica cuando se agregan discos a un tanque encriptado, pero con la complicación adicional de que agregando discos se elimina la encripción existente; usted tendra que generar su frase clave y llave de recuperación desde cero cada vez que se agregue discos.

Para agregar nuevos discos al volúmen, use la página del Administrador de Volúmen “Volume Manager”. Seleccione un nuevo disco duro miembro que cumpla con la configuración existente –volúmen completo, espejo, o arreglo RAID-Z  – y seleccione el volúmen a extender. La interfase de usuario  automáticamente selecciona el tipo de sistema de archivos y desactiva el campo del nombre del volúmen (dado que el volúmen ya tiene un nombre y solamente ha sido extendido). De un Click en la opción “Extend Volume”, -Extender Volúmen- para que el administrador de volúmen de FreeNAS agregue el nuevo disco duro (o discos) en el tanque existente.

Una vez que halla agregado los discos, de un click en el icono de Crear frase clave y teclear una clave frase para reestablecer la encripción, descargue la llave maestra como un respaldo, y cree una llave de recuperación.

Conclusión

La Encripción puede proteger contra situaciones donde el atacante puede tener acceso físico al disco. Cuando se usa con un CPU que soporta el juego de instrucciones de encripción AES solo cuesta un despreciable impacto en el rendimiento. La implementación FreeNAS, a pesar de que es nueva, usa el subsistema de encripción de disco de FreeBSD y una interfase de usuario basada en web que otorga fácil acceso a sus funcionalidades. Pero recuerde, usted deberá guardar las claves porque, como en cualquier otra cosa en el mundo real, si un ladrón obtiene las claves entonces tendra acceso completo.

 

 

__________________________

Nos leeremos en el siguiente artículo.

FreeBSD rulez!

Si esta información te resultó útil considera hacer una donación a mi cuenta de LiteCoin:

LTC:    LhyHJC2eXVCrwHKX1jnMuSHgSijW3XHX2j

_________________________

Eric De La Cruz Lugo, es Licenciado en Informática Administrativa (LIA) con especialidad en sistemas, egresado del Instituto Tecnológico y de Estudios Superiores de Occidente (ITESO), ha sido usuario de FreeBSD desde 1993 y de sistemas UNIX desde 1992, y de Linux desde 1997 (actualmente cuenta con certificación Linux+CompTIA) es profesor de asignatura de la Universidad Tecnológica Metropolitana en Mérida, Yucatán, donde administra servidores corriendo con FreeBSD que hospedan aplicaciones administrativas y la plataforma educativa en línea de la división de TIC (Tecnologías de la Información y Comunicación) de la Universidad. También brinda de forma independiente consultoría profesional a empresas e instituciones, e imparte cursos relacionados con UNIX, Linux y desde luego FreeBSD!, forma parte del equipo de traducción al español del sitio bsdcertification.org, así como Proofreader y betatester de artículos de la revista BSDMag editada en Polonia, que se puede leer mensualmente en bsdmag.org,  también es astrónomo amateur y asesor externo del Planetario Arcadio Poveda Ricalde de Mérida, Yucatán y esta felizmente casado con su amada esposa Marisol Alvarez, puede ser alcanzado en: eric_delacruz@yahoo.com y en eric@iteso.mx)

 

No Responses to “Usando la nueva encripción completa de disco para ZFS de FreeNAS”

No comments have been made on this post



Leave a Reply

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

*