Veracrypt und NAS

[humancore]

Ich überlege einen privaten Server zu erstellen, der für meinen Haushalt unter anderem Medieninhalte bereitstellt. Aktuell zwei 14 TB HDDs könnten dabei in einem NAS zum Einsatz kommen. Die Datenträger sind vollverschlüsselt mit Veracrypt, das mache ich grundsätzlich mit allen Datenträgern. Sie werden in Windows 10 beim Booten nach Eingabe eines Passworts entschlüsselt bzw. dann auch im laufenden Betrieb manuell gemountet. Ich suche also in Sachen NAS ein ähnliches Sicherheitslevel, in meinem Fall ist es eine AES-Verschlüsselung, starkes Passwort. Meine Vorstellung: Solange das NAS läuft, sind die Daten entschlüsselt, wenn es ausgeschaltet wird (Strom weg) und wieder neu hochfahren müsste oder jemand die HDDs entfernt und extern verwendet, greift die Verschlüsselung.

Wie genau könnte man das realisieren, mit welcher Software, welchem NAS? Bin absolut neu in Sachen Network Storage, ich habe partout dazu keine einsteigerfreundliche Antwort gefunden und würde mich freuen, wenn ihr ein paar Tipps habt.

 

[Nilson]

Synology bietet die Verschlüsselung von "geteilten Laufwerken"
https://kb.synology.com/en-global/D...and_decrypt_shared_folders_on_my_Synology_NAS
Andere Hersteller werden was ähnlichen bieten.
Du könntest auch mit Clientseitiger Verschlüsselung z.B. über Cryptomator arbeiten.

 

[prian]

Bei QNap kannst Du hier nachlesen.
https://www.qnap.com/de-de/how-to/tutorial/article/wie-verschlüssel-ich-daten-auf-einem-qnap-nas

 

[Rickmer]

Zu QNAP habe ich spontan folgende Analyse gefunden: https://blog.elcomsoft.com/2020/12/nas-forensics-qnap-encryption-analysis/

Ich denke mal, dass auch alle anderen bekannten NAS-Anbieter (ASUS, etc) eine Verschlüsselung bieten. Wie qualitativ hochwertig umgesetzt die ist, ist eine andere Frage - aber das muss eine dritte Person untersuchen, da kann man sich auch nicht auf Herstellerangaben verlassen.

Für Privatpersonen reicht sowieso in den allermeisten Fällen erstmal 'Verschlüsselung ist vorhanden und nicht total veraltet' um sicher zu sein. Der Gelegenheitsdieb schaut vielleicht noch einmal kurz drauf ob er unproblematisch an eine Passwortliste oder Ähnlich kommt, bevor er dein NAS auf ebay vertickern will, mehr nicht.

 

[madmax2010]

Veracrypt ist schon sehr gut, bei einem Selbstbau nas würde ich jedoch schlicht full disk encryption empfehlen und keinen Container.
Alternativ luks+mdraid

 

[humancore]

entfernt

Tatsächlich denke ich auch an die Behörden, die in Verdachtsfällen (ob mit oder ohne Berechtigung) Datenträger beschlagnahmen, also sowohl staatlicher Fremdzugriff als auch Diebe, Unbefugte etc. sollen, versiert oder nicht, keine Chance haben Daten zu entschlüsseln.

Grundsätzlich find ich Datenträgerverschlüsselung gut, mach ich ja jetzt auch und klingt machbar. Wie ist aber diese Analyse zu deuten (aus dem von dir verlinkten Artikel)?

Potential vulnerabilities: encryption key can be stored on the NAS device for automatically mounting volumes on startup. If this is the case, the encryption key may be extracted from the NAS device and used to access the data. Note that, unlike Synology, QNAP does not offer the ability to store the encryption key on an external USB device. The usual warning “Saving the encryption key can result in unauthorized data access if unauthorized personnel are able to physically access the NAS.” applies.

Locking the encrypted volume is possible from the user interface. Surprisingly, locking an encrypted system volume in our tests was never instant. Instead, the locking process always took several minutes (!) to complete. A percentage bar is displayed during this procedure to allow users to monitor the process. This could do with the encrypted volume being the only volume in the system, hosting the many Qnap system apps and services.

Die Keys befinden sich auf dem NAS, soweit klar, muss ja im laufenden Betrieb auch sein, wobei die Frage ist wo genau. Mit VC und System Volume wird das PW im Arbeitsspeicher gesichert, nach Ausschalten des Rechners gibt es also nach etwa 15 Minuten keine Chance mehr. Ist das beim NAS auch so? Denn wenn das PW dauerhaft aus dem NAS auslesbar ist, dann bringt ja die ganze Verschlüsselung nichts.

Anmerkung: Leider wurde die relevante, von mir hier zitierte Stelle aus dem Artikel, von einem Moderator gelöscht!

 

[Madman1209]

Hi,

und wieso dann nicht einfach ein selbstbau NAS bzw. einfach beim jetzigen System per Freigabe / SMB die Daten freigeben mit entsprechenden Rechten?

VG,
Mad

 

[humancore]

Unter anderem Stromverbrauch, ist ein erheblicher Unterschied aufs Jahr gerechnet. Jetziges System läuft mit 60-80 Watt, NAS läuft mit ~20 Watt, bei Last max. 28. Das macht bei 24/7 Betrieb schon ordentlich was aus, wenn die Kiste ein paar Jahre laufen soll. Es müsste also ein extrem sparsames Modell sein, bin nicht sicher, ob man sowas mit ähnlicher Energieffizienz laufen lassen kann.

 

[tony_mont4n4]

Möglich ist es ein Selbstbau NAS extrem effizient laufen zu lassen, muss man sich aber einlesen, bestimmte Komponenten verwenden und viel Spaß am Hard- und auch Software (OS) basteln haben.

Denke mit einem normalen NAS von Synology oder QNAP fährst du ganz gut, ds diese speziell abgestimmt sind auf niedrigen Stromverbrauch.

 

[gymfan]

Ist das beim NAS auch so? Denn wenn das PW dauerhaft aus dem NAS auslesbar ist, dann bringt ja die ganze Verschlüsselung nichts.

Die Tech ik steht doch in obigem Link für QNap

Wenn Sie die Option „Schlüssel speichern“ deaktivieren, ist Ihr NAS gegen jegliche Datenfreigabe geschützt, selbst wenn das gesamte NAS gestohlen wird. Der Nachteil ist, dass Sie das Datenträger-Volume nach jedem Einschalten des NAS von Hand freigeben müssen.

Anscheinend muss man sich dort also nach jedem Start des NAS in die Weboberfläche einloggen und das (sichere) PW mittels Tablet/PC eingeben oder das PW auf dem NAS speichen.

Du wirst hoffentlich auch einen automatischen Ausschalter für Dein 24/7 NAS realisieren, sobald eine "unbeliebte" Person die Wohnung/das Haus betritt. Wenn das NAS dann 24/7 läuft bringt das in Sachen Sicherheit vor der genanten Panik (die Behörden möchten Deine Datensammlung vor Ort beschlagnahmen) nur etwas, wenn Du sonst neben dem Sicherungskasten schläfst.

Ich habe hier auch Daten, die ich freiwillig niemandem heraus rücke. Da käme ich aber auch nie auf die Idee, diese per NAS 24/7 entschlüsselt im Heimnetz zur Verfügung zu stellen. Das VC-Volume wird lokal gemountet, wenn ich darauf zugreifen möchte (früher war das ein iSCSI-Volume auf dem NAS, das ist mir mittlerweie aber viel zu lästig, der VC-Container auf dem NAS tut es genauso). Für die Filmsammlung am TV und anderen Endgeräten ist sowas aber völlig unbrauchbar.

Alles andere wie die Verschlüsselung im NAS fällt wohl aus, weil sonst zusätzlich auch der PC laufen müsste. Sonst kannst Du auch per iSCSI ein Volume auf dem NAS freigeben und am PC per VC mounten.

Dass Du beim Umbau die HDDs im NAS neu formatieren musst (und dazu entweder das vorhandene Backup zu Hand haben musst oder mind. eine 3. Platte benötigst) ist wohl klar. Ohne geht sowas nur per Eigenbau-NAS.