ComputerBase Menü
Aktuelles

Verschlüsselung von NAS auf File ebene

B

bugmenot123

Cadet 1st Year
Registriert
Mai 2019
Beiträge
15
Hallo liebe community,

zusammenfassung:
Ich suche ein verschlüsselungskonzept und tools für ein smb share mit mehrere clients


ich habe bei mir zu hause einen trueNas server stehen und möchte ein offsite backup davon haben.
Dies soll via replication task (snapshot wird via SSH tunnel übertragen) gemacht werden.
Das offsite backup, bzw. die dateien müssen verschlüsselt sein.

Mein problem; mir ist keine software bekannt, die zuverlässig daten ent und verschlüssel kan, vor dem hochladen, die auf debian und windows eine multi client option bietet.
Truenas bietet leider keine passende lösung an, entweder es ist im betrieb komplett verschlüsselt -> dann geht halt gar nichts, oder komplett entschlüsselt.

Ich habe mal einen workaround mit nextcloud probiert, da dort die sachen verschlüsselt werden, multi client und multi OS kompatibilität gibt es auch, jedoch kann windows webDAV mit max 4gb filesize handhaben, da es nur auf 32 bit läuft :-(

Userstory:
clients sind windows und linux (debian)
Multiclient support: client bob lädt etwas auf den server, client Maria kann die verschüsselte datei öffnen
integration in windowsexplorer ist ein dickes plus
filesize >1tb
muss nicht NSA proof sein, es sind keine staatsgeheimnisse gespeichert
gesuchte software muss "rocksolid" sein. meine 2 Truenas server sind auf starke redundanz ausgelegt und die daten sind kritisch. Das gesamte konzept der redundanz bringt nichts, wenn die verschlüsselungssoftware mist macht.
Fileshare: SMD/CIFS

Jemand einen vorschlag oder ein anderes/besseres konzept?
 
Du suchst also nicht ein Lösung in der die Platten verschlüsselt sind (gegen Diebstahl geschützt - bei MS wäre das dann Bitlocker), sondern Verschlüsselung einzelnener Dateien oder ein Container auf der Platte der dann verschlüsselt ist und Dateien enthält? Letzteres wäre dann sowas wir TrueCrypt/Veracrypt. Aber ob das mehrere User gleichzeitig drauflässt kann ich nicht sagen, dazu kenne ich es zu wenig.
Ich wollte nur mal die Randbedingungen verzurren und hoffentlich verstehen.
 
prian schrieb:
Du suchst also nicht ein Lösung in der die Platten verschlüsselt sind (gegen Diebstahl geschützt - bei MS wäre das dann Bitlocker), sondern Verschlüsselung einzelnener Dateien oder ein Container auf der Platte der dann verschlüsselt ist und Dateien enthält? Letzteres wäre dann sowas wir TrueCrypt/Veracrypt. Aber ob das mehrere User gleichzeitig drauflässt kann ich nicht sagen, dazu kenne ich es zu wenig.
Ich wollte nur mal die Randbedingungen verzurren und hoffentlich verstehen.
Zum Vergrößern anklicken....
danke für deinen beintrag.

mein problem mit lösungen wie von truenas oder bitlocker ist, die kiste läuft 24/7 und ist dann eigentlich die gesamte zeit "offen". Natürlich ist es ein bedeutsamer Aufwand mit einer USV die kiste mitzunehmen und imlaufenden betrieb zu spiegeln.... lieber wäre mir dennoch eine verschlüsselung auf file ebene.

die nextcloud lösung ist eigentlich super, aber diese verdammt limitierung bei windows via webDAV auf <4gb ist einfach nicht nutzbar.

truecrypt/veracrypt habe ich mir auch überlegt. habe ein paar berichte gefunden bzgl. instabilitäten und probleme mit smb. ist nicht so ganz das tool der wahl.

boxcryptor geht in eine passende richtung, ist halt für clouds, nicht smb.

ich bin echt ratlos. kann doch nicht sein, dass ich der einzige bin mit so einem usecase.
 
Cryptomator funktioniert anders als Boxcryptor, aber beide sind wahre Performance Killer...
 
  • Gefällt mir
Reaktionen: bugmenot123
madmax2010 schrieb:
GEDI auf dem nas
rest auf den clients
https://github.com/cryptomator/cryptomator
Zum Vergrößern anklicken....

meinst du GELI?
GELI ist seit version 12 nicht mehr untersützt, wurde aber mit einem ZFS nativen alternative ersetzt. ist halt im betrieb immer "offen" sonst geht es nicht.

cryptomator werde ich mir ansehen, danke für den hinweis
Ergänzung ()

oiisamiio schrieb:
Cryptomator funktioniert anders als Boxcryptor, aber beide sind wahre Performance Killer...
Zum Vergrößern anklicken....

hmmm ja eine VM ist plex mit 1vCPU und 1gb ram, kein transcoding. wenn ein 4k film gestreamt werden soll wird das was?
 
kommt auf die vcpu, die hardware darunter und den hypervisor an

hardware decoding fuer $codec vorhanden? Hardware Crypto vorhanden? Werden die Flags virtualisiert?
 
@bugmenot123
Einmal muss ich noch nachhaken. :D

Das was Du willst ist also nicht Diebstahlschutz der Daten falls das NAS urplötzlich Füße bekommen sollte, sondern die der Daten im laufenden Betrieb.
Aber regelst so etwas nicht ein Berechtigungskonzept in dem festgelegt wird, dass User A und User B auf Daten im Ordner 1 zugreifen dürfen und User C nicht?
Ist das nicht geregelt und Du versuchst nun mit der zusätzlichen Verschlüsselung auf Fileebene das zu machen?
Stellt sich für mich jedenfalls so dar und da ist durchaus KEIN üblicher Usercase wie ich das sehe.

Oder liege ich nun doch wieder falsch? :king:
 
madmax2010 schrieb:
kommt auf die vcpu, die hardware darunter und den hypervisor an

hardware decoding fuer $codec vorhanden? Hardware Crypto vorhanden? Werden die Flags virtualisiert?
Zum Vergrößern anklicken....
ist ein Xeon E5-1620v4 3,5GHz, AES-NI ist verfügbar, hypervisor ist ESXi

prian schrieb:
@bugmenot123
Einmal muss ich noch nachhaken. :D

Das was Du willst ist also nicht Diebstahlschutz der Daten falls das NAS urplötzlich Füße bekommen sollte, sondern die der Daten im laufenden Betrieb.
Aber regelst so etwas nicht ein Berechtigungskonzept in dem festgelegt wird, dass User A und User B auf Daten im Ordner 1 zugreifen dürfen und User C nicht?
Ist das nicht geregelt und Du versuchst nun mit der zusätzlichen Verschlüsselung auf Fileebene das zu machen?
Stellt sich für mich jedenfalls so dar und da ist durchaus KEIN üblicher Usercase wie ich das sehe.

Oder liege ich nun doch wieder falsch? :king:
Zum Vergrößern anklicken....


ja das ist nicht so leicht...
es geht hierbei um einen 2. truenas server, der 24/7 läuft und der dient als offsite backup.
d.h. alles, was auf meinem truenas server liegt, wird dorthin gespiegelt.

option 1:
Wenn ich eine verschlüsselung a la bitlocker mache, läuft die kiste 24/7 "offen". wird der strom unterbrochen muss ich eine lösung finden, wie ich das passwort dort eingebe. Ports an dem gateway kann ich nicht öffnen.
Also brauche ich von der offsite kiste etwas, das zu mir nach hause funkt und als jumppoint funktioniert, worauf ich mich dann auf truenass SSHen kann, um das passwort einzugeben.

option 2:
ich verschlüssel den kram auf meinem 1. truenas server auf file ebene und alles, was zum offite truenas kopiert wird kümmert mich nicht mehr, da verschlüsselt.
problem hierbei, es sind viele clients involviert auf truenas 1 und jeder client muss in de rlage sein es entschlüsseln zu können

option 3:
ich finde einen weg die daten von truenas 1 "on the fly" zu verschlüsseln und dann auf den offsite truenas zu schieben.
wir reden hier vo ca. 7tb, poolgröße ist ~34 tb. da wäre es super, wenn nur deltaänderungen verschickt werden.

jetzt beim tippen fällt mir auf, es könnte mit option 3 und nextcloud gehen.

offsite esxi server mit truenas und VM nextcloud server und VM VPN client
vpn offsite client funkt nach hause und erstellt einen tunnel.

zu hause habe ich eine VM mit einem nextcloud client, dieser "überwacht" das gesamte SMB share und lädt verschlüsselt die änderungen zum nextcloud server.


feedback zu dem abstrusen ansatz?
 
N’Abend,

wie Ist denn die Anbindung der NAS-Systeme untereinande?

Ich muss ehrlich gestehen, dass es mir ähnlich wie @prian geht und mir, auch nach mehrmaligem lesen, nicht so richtig klar ist wie das Ziel aussehen soll.

für deine Option 1 hast du ja sicherlich einen Remote Zugriff auf den Virtualisierungshost. Darüber könntest du auch eine Festplattenverschlüselung freigeben. Falls du bisher keinen remotezugriff hast, würde ich einen OpenVPN Server aufsetzen, der immer als erstes beim Hoststart gebootet wird. 2FAutor-Authentifizierungsmethoden kann man da auch wunderbar integrieren.

zu option 2: du könntest die Daten vorher packen, das Ganze per Kennwort schützen Und dann zur offsite übertragen. Damit sinkt auch die zu übertragende Speichermenge. Das offsite Backup ist ja, wenn ich das korrekt verstehe, “nur das Backup“ und stellt keine Redundanz zur Verfügung?

zu Option 3:
sollen die Daten in Echtzeit gesichert werden? Würde es womöglich reichen alle 15min oder jede Stunde ein Inkrement zu ziehen und dieses zu übertragen?

Generell fände ich Option 3 dann womöglich ganz praktisch. Allerdings nutzen wir auch eine Backupsoftware die auf Wunsch verschlüsselte Backups erstellt und die auf ein offsite Storage schiebt.

Deine Lösungen lesen sich für mich so, als wenn es eher kostengünstig, bzw. unabhängig vom anderer Software sein soll? Der Weg über Nextcloud ist auch irgendwie gewöhnungsbedürftig für mich.

Grüße
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Mickey Mouse
Veeam Backup&Replication 11 file fize auf repository limitieren?
Antworten
5
Aufrufe
1.908
Mickey Mouse
Mickey Mouse
scooter010
Leserartikel Installation von Arch Linux mit ZFS-root auf x86 QNAP von 2010
Antworten
4
Aufrufe
1.665
scooter010
scooter010
W
Speichereinrichtung Proxmox für variierende Anwendungen
Antworten
11
Aufrufe
9.118
webtaz
W
Dopamin
  • Artikel
Leserartikel Lesertest Synology DS220+ - Active Backup for Business – Backup physischer PCs & Server
Antworten
3
Aufrufe
12.458
Rickmer
Rickmer
T
NAS: QNAP/Synology oder Eigenbau?
Antworten
2
Aufrufe
1.710
B.XP
B
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz