Synology DS220j - Verschlüsselung von shared folders

[tschesny]

Hallo,

ich möchte die Verschlüsselung der shared folders an meiner neuen DS220j nutzen, zu der ich von meiner DS215j zu diesem Zweck umgestiegen bin. Erstere bietet deutlich bessere Leistung beim Schreiben in verschlüsselte Ordner.

Was ich bisher verstanden habe, und welche Möglichkeiten es gibt:

• Ich kann den Schlüssel für die Entschlüsselung jedes einzelnen shared folders manuell bei jedem Boot der Diskstation eingeben. Falls die DS gestohlen wird, kann der Dieb nichts mit den Daten anfangen. Der Schlüssel kann in meinem PW-Manager gesichert werden. (unbequem, am sichersten, kein Fernzugriff mehr im Falle des Stromausfalls)
• Ich kann den Schlüssel durch einen USB-Stick bereitstellen lassen, den ich z.B. an ein langes gut befestigtes USB-Kabel hänge. Somit kann die DS die Ordner automatisch mounten. Falls die DS gestohlen wird, wird das Kabel mit dem Stick hoffentlich abgezogen und bleibt bei mir. (bequem, eher unsicher weil Glücksspiel).
• Ich kann den Schlüssel auf einen USB-Stick legen und selbigen irgendwo anders unterbringen (etwas sicherer, umständlich)

Nun zu einem Punkt, der mir nicht einleuchtet:

- Ich kann den Schlüsselmanager im DSM nutzen, und den Schlüssel im "Gerätespeicher" (Festplatte?) ablegen. Die Ordner kann ich beim Reboot der DS per "auto-mount" einbinden.

Nun ist es so, dass der potentielle Dieb meine Benutzerpasswörter und das Adminpasswort nicht kennt. Versucht er die DS per Taste zurückzusetzen, dann werden m.W. der Schlüsselmanager nebst Passwörtern geleert, alle Ordner unmounted sowie ein Standardbenutzer "admin" angelegt. Dieser kann natürlich dann nicht mehr per DSM an meine Ordner, diese sind ja verschlüsselt.

Meine Frage lautet nun: Könnte der Dieb nicht einfach meine Festplatten aus der Diskstation bauen, Linux anschmeißen und den Schlüssel in Klartext auf der Festplatte finden? Irgendwo muss er doch gespeichert sein, sonst könnte auto-mount nicht funktionieren, richtig?

Vielleicht kann mir an der Stelle ja jemand weiterhelfen

LG

 

[Sunweb]

Du machst dir Gedanken was mit deine Daten passiert wenn ein Einbrecher deine DS klaut
und deine Lösung ist Verschlüsselung?
Ich würde erstmal was gegen den Einbrecher tun.
Das ist wie ein Vorhängeschloß um die Brieftasche zu wickeln weil die ja über Nacht auf der Terasse liegt
Brieftasche nicht über nacht draußen liegen lassen und was gegen den Einbrecher tun.
Dein Ansatz ist irgendwie komplett falsch.

 

[Korben2206]

Meine Frage lautet nun: Könnte der Dieb nicht einfach meine Festplatten aus der Diskstation bauen, Linux anschmeißen und den Schlüssel in Klartext auf der Festplatte finden? Irgendwo muss er doch gespeichert sein, sonst könnte auto-mount nicht funktionieren, richtig?

Was lässt dich annehmen das die der Key Manager die Schlüssel im Klartext speichert?

 

[tschesny]

Hallo @Korben2206 ,

nur meine Vermutung. Dafür reicht mein Fachwissen nicht aus. Ich nehme an, dass der ja nicht mitverschlüsselt werden kann, sonst könnte er ja nicht zur Entschlüsselung verwendet werden / wäre nicht lesbar, oder?

Wenn ich einen Veracryptcontainer nutze, dann muss ich mir den Schlüssel ja auch im Klartext irgendwo hinlegen wo keiner rankommt, da das Programm ja nach selbigem fragt.

Vielleicht habe ich aber auch einen Knoten im Hirn

 

[0x7c9aa894]

Das stimmt schon so. Es gibt aber noch eine weitere Möglichkeit. Also theoretisch zumindest, da ich nicht weiß ob Synology das unterstützt.

Man kann den Schlüssel auf einen Server im Netz ablegen, also z.B. ein Raspi. Beim Booten fragt die NAS nach dem Schlüssel, und wenn sich die NAS authentifiziert bekommt sie den Schlüssel. (dropbear)
Wenn jemand den Raspi klaut, dann ist aber auch blöd.

Ergänzung (16. Oktober 2022)

Eine weitere Möglichkeit wäre es die NAS nicht zu verschlüsseln, sondern die Daten.

 

[tschesny]

Dieser Artikel beschreibt auch noch einmal die unterschiedlichen Szenarien ganz gut:
Synology NAS Encryption: Forensic Analysis of Synology NAS Devices

Ich habe einen Raspi. Den müsste ich dann wohl irgendwo einmauern.

Die shared folders werden im Ruhemodus (blaue Leuchte) nicht unmounted, richtig?

 

[0x7c9aa894]

Dein Ansatz ist irgendwie komplett falsch.

Das kommt wirklich auf das Szenario an.

Oft will man die HDDs nur verschlüsseln, damit man sie bei einem Defekt problemlos entsorgen kann.
Aber man hat vielleicht selbstgedrehte Videos drauf. Dann kann man u.U. darauf verzichten, aber in falschen Händen möchte man die nicht wissen.

Ergänzung (16. Oktober 2022)

Habe gerade gelesen, daß die DS220j ecryptfs verwendet, soweit ich weiß unterstüzt ecryptfs einen Key beim Client..

 

[tschesny]

Also die selbstgedrehten Videos liegen natürlich in einem Veracryptcontainer auf einer Festplatte mit Vorhängeschloss im Garten

Wo hast du das gelesen @0x7c9aa894 ?

Dann würde ich mir das mal anschauen.

 

[Jeffus]

Du machst dir Gedanken was mit deine Daten passiert wenn ein Einbrecher deine DS klaut
und deine Lösung ist Verschlüsselung?
Ich würde erstmal was gegen den Einbrecher tun.
Das ist wie ein Vorhängeschloß um die Brieftasche zu wickeln weil die ja über Nacht auf der Terasse liegt
Brieftasche nicht über nacht draußen liegen lassen und was gegen den Einbrecher tun.
Dein Ansatz ist irgendwie komplett falsch.

Was hilft denn sonst außer Verschlüsselung im falle von Verlust? Laptops in Firmen sind ja auch nicht unverschlüsselt nur weil das Gebäude Video u. Alarmgesichert ist.

Das ist schonmal ein Ansatz auf einen Einbruch gerüstet zu sein. Wobei ich aber nicht glaube das ein Einbrecher Interesse an Netzwerkhardware hat.

 

[tschesny]

Gezielt nach einem NAS suchen wird sicherlich niemand, da stimme ich zu.

Kann mir noch jemand verraten ob der Ruhezustand die shared folders unmounted? Das wäre ja doof, da das NAS ja gelegentlich in den Ruhezustand geht.

 

[tschesny]

Nochmal so als Nachtrag, falls sich mal jemand dasselbe fragt: Es gibt wie vermutet keine wirklich bequeme und gleichzeitig sichere Lösung (so wie fast immer beim Thema Sicherheit, sei es nun das schwere Rahmenschloss oder die verschlüsselte Festplatte).

Ich habe mich für die Methode ohne USB-Stick entschieden. Die wenigen Male, die das NAS neu hochgefahren werden muss (nach Updates) mounte ich die Laufwerke einfach manuell. Der Ruhemodus der Festplatte hängt die Laufwerke nicht aus. Einen USB-Stick mit den Schlüsseln drauf (mehr Komfort für den einen oder anderen, ist aber Geschmackssache) müsste ich ja auch irgendwo rauskramen, und da ich sowieso am PC sitze geht es für mich so gleichschnell.

 

[DFFVB]

@tschesny

Das ist eine sehr interessante Frage, und genau das meinte auch kürzlich ein bekannter. Das System ist ein Raid1 über alle Datenträger, also einer reicht. Es gibt sogar eine Anleitung von Synology wie man das mounten kann, und sich anschauen. Der Kumpel meinte auch, dass dort dann alle Credentials gespeichert wäre, für Drittdienste, die man bspw. bei HyperBackUp eingetragen hätte. Mir fehlt hier leider auch das Fachwissen, steht aber auf meiner To Do Liste ;-)

Auf xpenology wird das auch Näher en detail beschrieben.

Ich würde erstmal was gegen den Einbrecher tun.

Wegen Leuten wie Dir machen Foren oft keinen Spaß. Es wird nach A gefragt und Du schreibst was zu B. Bringt niemandem was. Komplett sinnlose Antwort. Denk bitt ein Zukunft nach, ob Deine Antwort was zur Lösung des Problems beiträgt, ansonsten einfach weiterscrollen.