ComputerBase Menü
Aktuelles

Synology DS220j - Verschlüsselung von shared folders

T

tschesny

Lieutenant
Registriert
Sep. 2014
Beiträge
658
Hallo,

ich möchte die Verschlüsselung der shared folders an meiner neuen DS220j nutzen, zu der ich von meiner DS215j zu diesem Zweck umgestiegen bin. Erstere bietet deutlich bessere Leistung beim Schreiben in verschlüsselte Ordner.

Was ich bisher verstanden habe, und welche Möglichkeiten es gibt:

  • Ich kann den Schlüssel für die Entschlüsselung jedes einzelnen shared folders manuell bei jedem Boot der Diskstation eingeben. Falls die DS gestohlen wird, kann der Dieb nichts mit den Daten anfangen. Der Schlüssel kann in meinem PW-Manager gesichert werden. (unbequem, am sichersten, kein Fernzugriff mehr im Falle des Stromausfalls)
  • Ich kann den Schlüssel durch einen USB-Stick bereitstellen lassen, den ich z.B. an ein langes gut befestigtes USB-Kabel hänge. Somit kann die DS die Ordner automatisch mounten. Falls die DS gestohlen wird, wird das Kabel mit dem Stick hoffentlich abgezogen und bleibt bei mir. (bequem, eher unsicher weil Glücksspiel).
  • Ich kann den Schlüssel auf einen USB-Stick legen und selbigen irgendwo anders unterbringen (etwas sicherer, umständlich)

Nun zu einem Punkt, der mir nicht einleuchtet:

- Ich kann den Schlüsselmanager im DSM nutzen, und den Schlüssel im "Gerätespeicher" (Festplatte?) ablegen. Die Ordner kann ich beim Reboot der DS per "auto-mount" einbinden.

Nun ist es so, dass der potentielle Dieb meine Benutzerpasswörter und das Adminpasswort nicht kennt. Versucht er die DS per Taste zurückzusetzen, dann werden m.W. der Schlüsselmanager nebst Passwörtern geleert, alle Ordner unmounted sowie ein Standardbenutzer "admin" angelegt. Dieser kann natürlich dann nicht mehr per DSM an meine Ordner, diese sind ja verschlüsselt.

Meine Frage lautet nun: Könnte der Dieb nicht einfach meine Festplatten aus der Diskstation bauen, Linux anschmeißen und den Schlüssel in Klartext auf der Festplatte finden? Irgendwo muss er doch gespeichert sein, sonst könnte auto-mount nicht funktionieren, richtig?

Vielleicht kann mir an der Stelle ja jemand weiterhelfen :)

LG
 
  • Gefällt mir
Reaktionen: DFFVB
Du machst dir Gedanken was mit deine Daten passiert wenn ein Einbrecher deine DS klaut
und deine Lösung ist Verschlüsselung?
Ich würde erstmal was gegen den Einbrecher tun.
Das ist wie ein Vorhängeschloß um die Brieftasche zu wickeln weil die ja über Nacht auf der Terasse liegt :confused_alt:
Brieftasche nicht über nacht draußen liegen lassen und was gegen den Einbrecher tun.
Dein Ansatz ist irgendwie komplett falsch.
 
tschesny schrieb:
Meine Frage lautet nun: Könnte der Dieb nicht einfach meine Festplatten aus der Diskstation bauen, Linux anschmeißen und den Schlüssel in Klartext auf der Festplatte finden? Irgendwo muss er doch gespeichert sein, sonst könnte auto-mount nicht funktionieren, richtig?
Zum Vergrößern anklicken....
Was lässt dich annehmen das die der Key Manager die Schlüssel im Klartext speichert?
 
Hallo @Korben2206 ,

nur meine Vermutung. Dafür reicht mein Fachwissen nicht aus. Ich nehme an, dass der ja nicht mitverschlüsselt werden kann, sonst könnte er ja nicht zur Entschlüsselung verwendet werden / wäre nicht lesbar, oder?

Wenn ich einen Veracryptcontainer nutze, dann muss ich mir den Schlüssel ja auch im Klartext irgendwo hinlegen wo keiner rankommt, da das Programm ja nach selbigem fragt.

Vielleicht habe ich aber auch einen Knoten im Hirn :D
 
Das stimmt schon so. Es gibt aber noch eine weitere Möglichkeit. Also theoretisch zumindest, da ich nicht weiß ob Synology das unterstützt.

Man kann den Schlüssel auf einen Server im Netz ablegen, also z.B. ein Raspi. Beim Booten fragt die NAS nach dem Schlüssel, und wenn sich die NAS authentifiziert bekommt sie den Schlüssel. (dropbear)
Wenn jemand den Raspi klaut, dann ist aber auch blöd.
Ergänzung ()

Eine weitere Möglichkeit wäre es die NAS nicht zu verschlüsseln, sondern die Daten.
 
  • Gefällt mir
Reaktionen: tschesny
Sunweb schrieb:
Dein Ansatz ist irgendwie komplett falsch.
Zum Vergrößern anklicken....
Das kommt wirklich auf das Szenario an.

Oft will man die HDDs nur verschlüsseln, damit man sie bei einem Defekt problemlos entsorgen kann.
Aber man hat vielleicht selbstgedrehte Videos drauf. Dann kann man u.U. darauf verzichten, aber in falschen Händen möchte man die nicht wissen.
Ergänzung ()

Habe gerade gelesen, daß die DS220j ecryptfs verwendet, soweit ich weiß unterstüzt ecryptfs einen Key beim Client..
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: tschesny
Also die selbstgedrehten Videos liegen natürlich in einem Veracryptcontainer auf einer Festplatte mit Vorhängeschloss im Garten :D

Wo hast du das gelesen @0x7c9aa894 ?

Dann würde ich mir das mal anschauen.
 
Sunweb schrieb:
Du machst dir Gedanken was mit deine Daten passiert wenn ein Einbrecher deine DS klaut
und deine Lösung ist Verschlüsselung?
Ich würde erstmal was gegen den Einbrecher tun.
Das ist wie ein Vorhängeschloß um die Brieftasche zu wickeln weil die ja über Nacht auf der Terasse liegt :confused_alt:
Brieftasche nicht über nacht draußen liegen lassen und was gegen den Einbrecher tun.
Dein Ansatz ist irgendwie komplett falsch.
Zum Vergrößern anklicken....
Was hilft denn sonst außer Verschlüsselung im falle von Verlust? Laptops in Firmen sind ja auch nicht unverschlüsselt nur weil das Gebäude Video u. Alarmgesichert ist.

Das ist schonmal ein Ansatz auf einen Einbruch gerüstet zu sein. Wobei ich aber nicht glaube das ein Einbrecher Interesse an Netzwerkhardware hat.
 
Gezielt nach einem NAS suchen wird sicherlich niemand, da stimme ich zu.

Kann mir noch jemand verraten ob der Ruhezustand die shared folders unmounted? Das wäre ja doof, da das NAS ja gelegentlich in den Ruhezustand geht.
 
Nochmal so als Nachtrag, falls sich mal jemand dasselbe fragt: Es gibt wie vermutet keine wirklich bequeme und gleichzeitig sichere Lösung (so wie fast immer beim Thema Sicherheit, sei es nun das schwere Rahmenschloss oder die verschlüsselte Festplatte).

Ich habe mich für die Methode ohne USB-Stick entschieden. Die wenigen Male, die das NAS neu hochgefahren werden muss (nach Updates) mounte ich die Laufwerke einfach manuell. Der Ruhemodus der Festplatte hängt die Laufwerke nicht aus. Einen USB-Stick mit den Schlüsseln drauf (mehr Komfort für den einen oder anderen, ist aber Geschmackssache) müsste ich ja auch irgendwo rauskramen, und da ich sowieso am PC sitze geht es für mich so gleichschnell.
 
@tschesny

Das ist eine sehr interessante Frage, und genau das meinte auch kürzlich ein bekannter. Das System ist ein Raid1 über alle Datenträger, also einer reicht. Es gibt sogar eine Anleitung von Synology wie man das mounten kann, und sich anschauen. Der Kumpel meinte auch, dass dort dann alle Credentials gespeichert wäre, für Drittdienste, die man bspw. bei HyperBackUp eingetragen hätte. Mir fehlt hier leider auch das Fachwissen, steht aber auf meiner To Do Liste ;-)

Auf xpenology wird das auch Näher en detail beschrieben.

Sunweb schrieb:
Ich würde erstmal was gegen den Einbrecher tun.
Zum Vergrößern anklicken....

Wegen Leuten wie Dir machen Foren oft keinen Spaß. Es wird nach A gefragt und Du schreibst was zu B. Bringt niemandem was. Komplett sinnlose Antwort. Denk bitt ein Zukunft nach, ob Deine Antwort was zur Lösung des Problems beiträgt, ansonsten einfach weiterscrollen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Giggity
DS220j Update DSM 7.2.1-69057 Update 3
Antworten
5
Aufrufe
607
CB User Name
C
B
Synology DS224+ Wake on Lan WOL
Antworten
4
Aufrufe
1.316
bolaaa
B
T
Verschlüsselung einer nvme ssd mit USB Stick als Schlüssel?
2
Antworten
21
Aufrufe
1.111
CoMo
CoMo
CaptainPighead
Synology DiskStation 218+ wechselt nicht mehr in Ruhemodus zurück nach Wechsel auf Glasfaseranschluss
Antworten
10
Aufrufe
585
CaptainPighead
CaptainPighead
D
Synology DS413 absichern
Antworten
9
Aufrufe
457
Incanus
Incanus
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz