NAS mit Vollverschlüsselung (VeraCrypt? QNAP? Eigenbau?)

[147852369]

Hallo,

ich überlege schon länger ein NAS anzuschaffen. Momentan sichere ich meine Daten auf mittels VeraCrypt vollverschlüsselte, externe Festplatten oder mit Cryptomator verschlüsselt in der Cloud. Externe Festplatten sind lästig, da ich bis zu 10 Festplatten nacheinander anschließen muss. Backups dauern den ganzen Tag und alles ist manuell. Und Cloud ist teuer. Wenn man auf Daten schnell zugreifen möchte, bräuchte man auch lokal genau so viel Speicherplatz, um offline arbeiten zu können. Ich habe nur einen Laptop.

Ich habe allgemeine Fragen.

1. Unterstützen die gängigsten NAS (z.B. QNAP) Vollverschlüsselung? Wenn ja, wie und wie sicher sind die?
2. Kann man ein NAS aus der Ferne ausschalten, damit Eindringlinge vor Ort nicht versuchen können, irgendwelche Entschlüsselungskeys aus dem Arbeitsspeicher zu lesen?
3. Gibt es NAS, die VeraCrypt unterstützen?
4. Warum sind "nur" Gehäuse" ohne Festplatten (mehrere hundert Euro bis vierstellig) so teuer?
5. Inwiefern kann man auf einem QNAP eigene Software installieren? Wie bei Linux?
6. Normalerweise ist ein NAS ja im Netzwerk, aber kann man Backups z.B. auch über USB-C machen, damit es schneller geht?

Je nachdem wie die Antworten ausfallen, überlege ich, ob ich ein NAS mit Linux selbst baue.

Vielen Dank.

 

[benneq]

1. https://www.google.com/search?q=qnap+vollverschlüsselung
2. https://www.google.com/search?q=qnap+ssh+shutdown
3. Wozu, wenn das Teil eh schon vollverschlüsselt ist?
4, https://www.google.com/search?q=warum+sind+nas+gehäuse+so+teuer
5. https://www.google.com/search?q=qnap+nas+apps
6. https://www.google.com/search?q=qnap+nas+backup+usb

 

[el_mat]

Hallo,

zu 1. ich habe ein QNAP und verschlüssel es mit der eigenen Software. Sicher ist ja nie etwas, es dauert nur bis man es knackt.
zu 2. du kannst auch aus dem Internet deine Benutzeroberfläche aufrufen und es schließen.
zu 4. weil das quasi ein kompletter PC ist. Da ist ja ein Prozessor, RAM, Netzwerkkarte etc. vorhanden. Du baust mit den Festplatten ja nur einen kleinen Teil ein. Und die Softwareentwickler wollen ja auch von etwas leben.
zu 5. Es gibt einen "Softwarestore" dieser hat aber nicht viel QNAP-fremden Programme.
zu 6. Meinst du PC zu NAS oder NAS zu Externe HDD?

 

[147852369]

@el_mat Danke. Zu 6.: Ich meine von Rechner zu NAS.

 

[Autokiller677]

Was für ein Risikomodell willst du denn abbilden?

Verschlüsseltes Backup verstehe ich noch, aber wenn man anfängt sich Sorgen zu machen, ob Eindringlinge vor Ort Keys aus dem Arbeitsspeicher lesen können, sollte man mal insgesamt über das Sicherheitskonzept reden. Fernzugriff ist dann wahrscheinlich eher raus. Und irgendwelche Fertiggeräte mit proprietärer Software auch, wenn man so ein hochkarätiges Ziel ist, wird sonst da jemand bestochen um dein NAS zu kompromitieren.

Für den normalen Heimgebrauch und Schutz vor gewöhnlichen Dieben gilt NAS von Qnap / Synology kaufen, Verschlüsselung einschalten und das wars.

 

[147852369]

Ich arbeite journalistisch mit heiklen Daten. Um meine Quellen zu schützen, möchte ich im Falle von Einbruch oder Hausdurchsuchung nicht riskieren, dass diese Daten zum falschen Zeitpunkt in falsche Hände geraten.

 

[el_mat]

@el_mat Danke. Zu 6.: Ich meine von Rechner zu NAS.

Von PC zum NAS ist mir nichts bekannt. M.M.n. sollte das auch keinen Vorteil bringen, da eine HDD ja nicht unendlich schnell ist. Mein Einsteiger-NAS schafft ca. 80-90 Mb/S.

 

[M.Ing]

1. Ja, Verschlüsselung haben eigentlich alle NAS in irgendeiner Form an Bord.
2. Wenn ich vorhätte, ein NAS zu entschlüsseln, würde ich als erstes die Internetverbindung kappen und mein eigenes Netzwerk draufstecken.
   
   Bei guten Passwörtern und starker Verschlüsselung seh ich Argument 2 nicht als Thema an, aber herunterfahren kann man die Dinger übers Netz natürlich schon
3. Nein, außer du willst einfach nur VeraCrypt-Container drauf ablegen, das geht natürlich immer.
   
   Full-Disk-Encryption aber geht nicht, weil du auf das NAS ja nicht auf Blockebene zugreifst, sondern über ein Netzwerkprotokoll (SMB, AFP, FTP, whatever)
4. Weil du für die Software und den Support zahlst.
   
   Bei meinem Synology gibts bspw. einen Haufen Apps dazu, die alle tadellos funktionieren, das Betriebssystem programmiert sich nicht von selbst und mein 2016 gekauftes NAS bekommt noch einige Jahre regelmäßig Security Updates. Das kostet einfach.
5. Bei den größeren NAS-sen(?) kannst du, sofern x86-CPU und genug RAM vorhanden, ganze VMs draufspielen, wo du dann laufen lassen kannst, was du willst.
   
   Auf den kleinen Geräten ist das Softwareangebot eher mau, aber ich will auf meinem NAS auch ehrlich gesagt keine 600 Services laufen haben.
6. Ich schätze, du willst das NAS direkt über USB-C anbinden? Das geht leider nicht so easy, über Thunderbolt 3 können es einige höherpreisige Geräte, weil diese über das TB3-Interface einfach 10GBit-Ethernet tunneln. Das Filesystem am NAS ist ja für deinen Rechner auf Blockebene nicht lesbar.
   
   Was je nach NAS aber geht: einfach direkt mit 10GBe reinfahren, dafür muss aber der Rechner, das NAS und die Geräte im Netzwerk 10GBe-Fähig sein. Und das NAS schnell genug, um das auch auszunutzen - viele günstige Geräte haben als CPU ein Erbsenhirn, welches eh nicht viel mehr als 1 Gigabit verarbeiten könnte.

Selbst bauen würde ich ehrlich gesagt nicht wollen. Die Gehäuse sind zwar nicht preiswert (meine DS416 hat damals nackig über 400€ gekostet, für 1GB RAM und irgendeinen lahmen ARM-Prozessor), aber das Teil läuft jetzt seit Februar 2016 ohne jeden Ausfall, war vielleicht insgesamt 24 Stunden ausgeschalten und bekommt regelmäßige Updates. An einer Eigenbaulösung wäre ich so viele Stunden gesessen, da sind die 400€ schon lang überschritten (und einen NAS-Rechner bauen kostet auch Geld).

Aprospos: wie viel Budget hast du denn, wieviele Platten sollen in das gute Stück und wieviel TB brauchst du Nettokapazität? Das teure beim NAS sind nicht die Gehäuse, sondern die Festplatten - bei meinem 4-Bay NAS immerhin 1.000€...

 

[NJay]

Ein selbstbau ist ind er Regel die objektiv "bessere Loesung". Aber nur unter einer Bedingung:

Du musst wissen was du tust und bereit sein, die Dinge selbst aufzusetzen und zu warten.

Erfuellst du diese Vorraussetzung, ist ein selbstbau NAS Objektiv besser als ein OEM-Ding und der Grund, warum ich ein Selbstbau-NAS besitze.

Hast du keine Ahnung von der Materie oder keine Lust dich (ausfuehrlich) damit zu beschaeftigen, kauf dir ein OEM-Teil.

 

[147852369]

QNAP klingt an sich sehr interessant.

Ist die AES Verschlüsselung bei QNAP weniger sicher als bei VeraCrypt, da man bei VC zusätzlich zum Passwort auch Schlüsseldateien benutzen kann?

Zu 2.: Soweit ich weiß, kann man mit einem USB-Stick im Gerät Passwörter abgreifen, wenn die Festplatten gerade entschlüsselt sind. Die Passwörter oder Keys wären solange im Arbeitsspeicher. Die Verschlüsselung bringt natürlich nichts, wenn das NAS entschlüsselt ist und jemand Unbefugtes im Büro die Passwörter ausliest, dann die Festplatten mitnimmt und sich Zuhause mit ausreichend Zeit alle Daten ansieht. Die Überwachungskamera benachrichtigt mich immer sofort bei Bewegung. Dann könnte ich einfach per App über SSH den NAS ausschalten.

@M.Ing Kannst du deinen zweiten Punkt erläutern? Sorry, bin kein ITler. Meinst du, wenn du der Datenklauer bist, würdest du ins Büro kommen und zuerst den Router ausschalten, um dann am NAS herumzuwerkeln? Zu 6.: Ja, ich meine, NAS direkt am Laptop anschließen. Dachte, ich hätte dadurch einen Geschwindigkeitsvorteil, wenn ich mir ein Video mit 10 GB ansehen wollte.

Ist die Verbindung von Rechner zu NAS immer verschlüsselt oder könnte jemand mit Wireshark sehen, was ich vom NAS herunterlade?

Aktuell habe ich diverse Cloud-Dienste mit jeweils wenigen GB bis 2 TB Speicherplatz. Das sind aktuell insgesamt ca. 4 TB in der Cloud. Und offline habe ich ca. 10 TB, allerdings sind nicht alle randvoll und manches ist zwei- oder dreimal gesichert. Bisher habe ich die Platten immer versucht kategorisch zu trennen. 1 TB für Privates, 1 TB als Backup dafür, 2 TB für Berufliches und nochmal 2 TB als Backup dessen. Etc. Es sind ca. 10 Festplatten. Manche sind 2.5" und manche 3.5" groß. Ein paar von ihnen sind auch serverfähig. Die könnte ich ja wiederverwenden. Ich kann mir vorstellen, die Anzahl der Festplatten zu verringern, dafür aber die Speicherkapazität der einzelnen Platten zu erhöhen. Mein Budget liegt bei 1000 Euro.

Die Frage ist, wie lange sitzt man bei der Einrichtung des NAS? Ich frage mich, ob ich das NAS (Betriebssystem, Konfiguration) selbst auch backuppen müsste, wenn ich ihn doch mal reparieren müsste.

 

[M.Ing]

Meinst du, wenn du der Datenklauer bist, würdest du ins Büro kommen und zuerst den Router ausschalten, um dann am NAS herumzuwerkeln?

Wenn das NAS mit einem gescheiten Passwort verschlüsselt und der Schlüssel bzw. das Passwort nicht kompromittiert ist, ist ein Angriff relativ unwahrscheinlich. Nur wenn jemand unautorisiertes sowieso phsyischen Zugang zu deinem NAS hat, bringt dir ein Fernzugriff nix mehr, weil man den dann unterbinden kann. Platten ausbauen und daheim analysieren spielts sowieso nicht, weil das RAID ohne dem drüberlaufenden Betriebssystem nicht lesbar ist - außer du baust die Platten in der genau gleichen Reihenfolge ins genau gleiche NAS - und dann startet erst wieder das Betriebssystem, das dich nicht einfach so reinlässt.

Ist die Verbindung von Rechner zu NAS immer verschlüsselt oder könnte jemand mit Wireshark sehen, was ich vom NAS herunterlade?

Wenn du es richtig machst, dann ja. D.h. Fernzugriff nur über verschlüsselte Verbindungen wie SFTP (nicht FTP o.Ä., da wird das Passwort im Klartext übertragen!!!!!!) oder gleich per VPN.

Ich kann mir vorstellen, die Anzahl der Festplatten zu verringern, dafür aber die Speicherkapazität der einzelnen Platten zu erhöhen.

Gerade das ist m.Mn. der Kardinalsfehler, weil die maximale Größe einer Platte ist limitiert und große HDDs werden dann auch unverhältnismäßig teuer. Die Anzahl der Platten ist hingegen quasi beliebig skalierbar, d.h. selbst, wenn du jetzt ein NAS kaufst, würde ich nix unter 4-Bay nehmen, auch wenn du es - noch - nicht voll bestückst. Ich hab das bei meinem auch so gemacht, zunächst mal mit einer HDD gekauft und aufgesetzt und dann sukzessive dazugebaut.

Ich würde frische Platten kaufen, am besten welche für den NAS-Betrieb und Bonuspunkte gibt es, wenn du sie in verschiedenen Geschäften oder zu verschiedenen Zeiten kaufst: wenn du bspw. 4 Platten aus der gleichen Charge kaufst, erwischst du im bestenfall eine fehlerhafte Charge und dir verrecken relativ bald hintereinander alle Platten.

Die Frage ist, wie lange sitzt man bei der Einrichtung des NAS?

Kommt drauf an, was du haben willst. Einen User, Zugriff nur übers LAN mit einem großen Share ohne Rechtemanagement ist in 10 Minuten eingerichtet - mehrere User, diverse Hintergrundprozesse (so wie auf meinem NAS ein automatischer Virenscan), evtl. Backup-Jobs auf eine Cloud und (richtig konfigurierte) Erreichbarkeit übers Internet dauern schon länger.

 

[Autokiller677]

QNAP klingt an sich sehr interessant.

Ist die AES Verschlüsselung bei QNAP weniger sicher als bei VeraCrypt, da man bei VC zusätzlich zum Passwort auch Schlüsseldateien benutzen kann?

Das eine hat mit dem anderen nix zu tun. AES ist der Verschlüsselungsalgorithmus, Passwort und Schlüsseldateien sind der Schlüssel. Du kannst jeden Algorithmus mit PW oder Datei benutzen - sofern die Implementierung es unterstützt. Afaik geht da bei den meisten NAS nicht.

Zu 2.: Soweit ich weiß, kann man mit einem USB-Stick im Gerät Passwörter abgreifen, wenn die Festplatten gerade entschlüsselt sind. Die Passwörter oder Keys wären solange im Arbeitsspeicher. Die Verschlüsselung bringt natürlich nichts, wenn das NAS entschlüsselt ist und jemand Unbefugtes im Büro die Passwörter ausliest, dann die Festplatten mitnimmt und sich Zuhause mit ausreichend Zeit alle Daten ansieht. Die Überwachungskamera benachrichtigt mich immer sofort bei Bewegung. Dann könnte ich einfach per App über SSH den NAS ausschalten.

"Soweit du weißt"... Ja, das geht unter Umständen. Wenn es noch weitere Exploits in der Software des NAS gibt, damit einfach so vom USB Stick was ausgeführt werden kann. Wenn der Angreifer dein NAS und den Softwarestand genau kennt und sich viel Zeit, ein baugleiches Gerät und technisches Wissen nimmt, um diesen Angriff vorzubereiten.

Auf die Gefahr hin mich zu wiederholen: Wenn du dir um so Sachen ernsthafte Sorgen machst, musst du dein gesamtes Sicherheitskonzept darauf auslegen, nicht nur das NAS. Denn solche Angriffe passieren nicht mal nebenbei. Dafür muss es jemand auf dich speziell abgesehen haben und den Angriff vorbereiten.

Und den SSH Fernzugriff würde ich ja mal als erstes abschalten, wenn ich mir über solche Angriffsmodele Gedanken mache. Darüber kann der Angreifer im Zweifelsfall ganz bequem aus der Ferne alle Daten abgreifen und deine Kameras zeigen nix an. Genauso wie irgendwelche Kameras, die lustig ins Netz funken. Die Dinger sind häufig das erste, was kompromittiert wird (IOT Botnetze und co. bauen vor allem auf so Geräten auf) und dann kann man von da aus dein Netzwerk übernehmen.

Also nochmal: Werde dir über die Risiken, die für deine Person / Firma realistisch sind, klar, und ob du dagegen Maßnahmen ergreifen willst. Und dann baue ein Sicherheitskonzept, dass diese Sachen ganzheitlich addressiert. Physische Maßnahmen (Einbruchsschutz), Alarmanlage (mögl. automatisches Abschalten des NAS bei Alarm - lokal, ohne Fernzugriff), verschlüsselte Container die nur bei Bedarf geöffnet werden. Und dann auch Schutzmaßnahmen den PC. Zugriff aufs NAS nur von einem PC ohne Internetverbindung möglicherweise? Kameras - falls sie denn unbedingt sein müssen - mindestens in ein eigenes VLAN oder sogar in ein physisch getrenntes Netz. Usw.

Einfach nur beim NAS völlig aufdrehen was Sicherheit angeht und den Rest nicht bedenken hilft nicht. Dann kannst du es auch beim NAS lassen und nur normale Schutzmaßnahmen haben.

Und zu guter Letzt: Es wirkt so, als hättest du nicht allzuviel Ahnung von PCs, Verschlüsselung und den möglichen Angriffswegen. Daher lässt du dich am Besten von jemanden mit IT-Security Background beraten. Ja, kostet paar €, aber Sicherheit für die Firma gibt's halt nicht umsonst.

EDIT: Vielleicht wärst du mit sowas hier besser bedient: https://www.computerbase.de/2020-04/qnap-tl-d800c-tl-r1200c-rp-jbod-speichergehaeuse/
Das ist im Grunde einfach nur eine riesige externe Festplatte, die du per USB an deinen PC anschließen kannst.

 

[Faultier]

Kann man bei Qnaps eigentlich Veracrypt Volumen mounten ??? Dazu der Punkt ob es mit Fat/Fat32, NTFS und eventuel noch Ext3/4 umgehen kann.

Falls nicht hat man ja ein Problem je nach "Zuspieler" der nicht gelesen werden kann.

 

[147852369]

Nach VeraCrypt hatte ich hauptsächlich gefragt, damit ich die Dateien nicht tage- oder wochenlang auf den NAS überspielen muss.

 

[Michael-Menten]

journalistisch mit heiklen Daten

In dem Fall dann kein NAS. Als Notlösung ginge noch Verschlüsselt auf dem Server speichern und lokal entschlüsseln. Dann muss aber nicht das NAS verschlüsseln sondern dein PC.

Idealerweise Daten lokal und mit gutem Passwort verschlüsselt sowie gehärtetem Linux.

 

[Autokiller677]

Ich arbeite journalistisch mit heiklen Daten. Um meine Quellen zu schützen, möchte ich im Falle von Einbruch oder Hausdurchsuchung nicht riskieren, dass diese Daten zum falschen Zeitpunkt in falsche Hände geraten.

Oh, das hatte ich gestern irgendwie übersehen. Sorry.

Heikel im Sinne von Whistleblower oder sowas?
Sicherheitskonzept würde ich dann wie folgt sehen:
NAS - ja, aber darauf nur VeraCrypt Container ablegen. Das NAS entschlüsselt nix, die Daten sind nur zugänglich, wenn du den Container auf dem PC mountest. Dazu eine Linux Live Distribution wie Tails, die auf Sicherheit und Anonymität ausgelegt ist, booten nur von DVD, ein PC ohne Festplatte. Arbeit nur im Livesystem. Sobald er PC ausgemacht wird, sind da keinerlei Datenreste - keine temporären Dateien, kein Cache, nix. Und auf dem NAS ist alles sicher weil im Veracrypt Container.

Und dann für die nicht-heikle Arbeit ein normaler PC, der aber auf die Daten aus dem NAS nie zugreift. Remote Access und co. würde ich auf jeden Fall vermeiden.

 

[147852369]

Lokal entschlüsseln ist nicht möglich, da die Festplatten im Laptop fast voll sind. Ich müsste also immer lokale Kopien löschen, um andere herunterzuladen.

Nichtsdestotrotz habe ich mich entschieden, QNAP mit VPN, HDD-Verschlüsselung und VeraCrypt-Container zu nutzen. Im Übrigen habe ich gesehen, dass es neuere QNAP-Modelle gibt, die sich direkt an den Laptop anschließen ließen, sind aber relativ teuer.

Mittelfristig brauche ich wohl insgesamt 10 TB (Redundanz einberechnet). An manchen Tagen werden nur wenige MB, an anderen mehrere GB Daten dazukommen. QNAP sollte also nicht zu langsam sein. QNAP selbst sollte auf externe vollverschlüsselte Festplatten (VeraCrypt) gesichert werden können.

Ich habe mehrere QNAP Modelle gesehen. Preisspanne 500 € - 2000 €. Die Form ist mir relativ egal (Standalone oder Rack). Nur welcher Prozessor sollte es mindestens sein und wie viel Arbeitsspeicher reichen für die nächsten Jahre? Es gibt welche mit 4 GB und 16 GB...

Wenn ich 5 TB auf QNAP auslagere und die wiederum gespiegelt werden, brauche ich wohl mindestens 10 TB. Nur wie teile ich die Daten / Festplatten auf? Ich denke, ich werde mindestens 5 Schächte brauchen, wenn ich je 2 TB Platten nehme.

Habt ihr Kaufempfehlungen?

Ergänzung (20. April 2020)

Ich möchte noch hinzufügen, dass ich private Cloud-Dienste wie Dropbox, OneDrive etc. auf dem QNAP sichern möchte.

 

[NJay]

Lokal entschlüsseln ist nicht möglich, da die Festplatten im Laptop fast voll sind. Ich müsste also immer lokale Kopien löschen, um andere herunterzuladen.

Wenn du z.B. einen Veracryptcontainer auf dem NAS liegen hast und die NAS-Platte am PC per SMDB mountest und dann den Veracryptcontainer oeffnest, dann werden die Daten auf dem Client entschluesselt, liegen aber komplett auf dem NAS. Das wurde damit gemeint.

 

[benneq]

Ich habe mehrere QNAP Modelle gesehen. Preisspanne 500 € - 2000 €. Die Form ist mir relativ egal (Standalone oder Rack). Nur welcher Prozessor sollte es mindestens sein und wie viel Arbeitsspeicher reichen für die nächsten Jahre? Es gibt welche mit 4 GB und 16 GB...

Wenn du einfach nur Daten hin- und herschiebst, und nicht irgendwelche Media-Transcoder oder VMs auf dem NAS laufen lässt, sollte auch ein simpler ARM DualCore mit 2x1,5GHz und 1GB RAM völlig ausreichen. Wahrscheinlich tut's sogar schon die Hälfte davon.
Die Anforderungen an den RAM und die CPU werden sich auch nicht ändern, wenn man das Gerät weiterhin ausschließlich als Netzwerk-Datenhalde benutzt.

 

[147852369]

VMs kann ich mir allerdings tatsächlich vorstellen. Ich würde nur eines laufen lassen und das wahrscheinlich nur ein paar Mal im Jahr.

Linux mit kleinen Aufgaben, nichts mit 4K Videos, etc.