17. Juli 2009

Schnelle Festplattenverschlüsselung

Wie die Leser dieses Blogs erahnen werden, laufen die meisten Server von Explicatis auf FreeBSD. FreeBSD besitzt nativ Verschlüsselungsfunktionen, die komfortabel dazu genutzt werden können, den kompletten Festplatteninhalt sicher zu verschlüsseln. Dies bietet sich insbesondere für jede Rechner an, die vertrauliche Daten enthalten und in normal abgesicherten Räumlichkeiten stehen (Büros, insbesondere im Erdgeschoss).

Allerdings ist die Verschlüsselung sämtilcher ein- und ausgehender Festplattendaten rechenintensiv, was zu einem merklich geringerem Datendurchsatz bei Lese- und Schreiboperationen führt. Da für einen Server aber beides gewährleistet sein musste, bin ich über Google auf die VPN-Accelerator-Karte

Soekris Engineering VPN-Karte / vpn1401

gestoßen, die die Verschlüsselung und Kompression von Daten mit gängigen Verfahren auf einem eigenen Prozessor durchführt und somit die übrigen System-Ressourcen schont. Nach Angaben des Herstellers verschlüsselt sie mit einer Geschwindigkeit von 210 und 460 Mbps, je nach Verfahren. Da diese Karte bereits für 69,00 € inkl. MwSt. zu haben ist, habe ich sie einfach mal ausprobiert.

Die Installation

Leider muss zur Installation der Kernel neu kompiliert werden, was aber bei FreeBSD kein Problem ist. Hier einfach die bestehende Kernel-Konfiguration (oder standardmäßig bspw. /sys/i386/conf/GENERIC) bearbeiten und folgende Zeilen hinzufügen:

  device crypto
  device cryptodev
  device hifn

Anschließend den Kernel neubauen und in der Datei /boot/loader.conf vermerken, dass das Verschlüsselungsmodul bereits beim Systemstart geladen werden soll:

  hifn_load="YES"

Nach einem Neustart wurde die Karte direkt von GELI erkannt. Seither wird für Lese- und Schreiboperationen weniger CPU-Zeit verbraucht, ferner ist das Systemverhalten deutlich agiler. Auch SSH- und SSL-Anwendungen profitieren von dieser Hardware.

Allerdings verfügen die getesteten Server jeweils über eine verhältnismäßig langsame CPU (Athlon XP 2400). Ob bei moderneren Mehrkernprozessoren ein Geschwindigkeitsvorteil bemerkbar ist, müsste man mal ausprobieren. Gerne postet mir einer seine Erfahrung!

Kategorien: Infrastruktur,Sicherheit // Schlagwörter: , , // René Keller // 14:37

Keine Kommentare »

Noch keine Kommentare

RSS Feed für Kommentare zu diesem Artikel. TrackBack URL

Hinterlasse einen Kommentar

Connect with Facebook