[Anleitung] Automatische Entschlüsselung über das eigene Netzwerk

[mergey]

Hallo zusammen,

ich wollte gerne dass meine DS verschlüsselt ist, sich beim hochfahren selbst entschlüsselt und wenn sie geklaut wird und beim Dieb wieder an den Strom kommt sich selbst nicht entschlüsseln kann.
Das habe ich geschafft umzusetzen und ich möchte hier beschreiben wie, für alle, die sich etwas ähnliches bauen möchten.

Wie habe ich es gelöst?
Ich habe auf einem extra Server (ein Raspberry PI reicht) einen Webserver installiert, der auf Anfrage einer bestimmten ID von einer bestimmten IP hin einenen String (bzw. ein Passwort) zurückliefert.
Meine DS fragt kurz nach dem Hochfahren die Passwörter der geteilten Ordner ab und entschlüsselt diese dann.
Da der extra Server nur in meinem lokalen Netzwerk zu erreichen ist, kann sich die DS nicht entschlüsseln, sollte sie geklaut werden.

Was habe ich getan, um die Passwörter auf dem extra Server zu sichern?
Auf dem extra Server habe ich das verzeichniss, auf dem der Webserver und die Passwörter liegen verschlüsselt. Hier muss bei einem Neustart das Passwort von Hand eingegeben werden um den Webserver wieder starten zu können. Da dieser Server bei mir nur diese eine Aufgabe hat, läuft er eh 24/7. Außerdem bleiben die Daten so auch dann sicher, wenn ein Dieb die DS und den extra Server klaut.
Die Kommunikation zwischen dem extra Server und der DS läuft verschlüsselt über https, so wird auch im Netzwerk selbst das Mitlesen erschwert. Zwar läuft es über ein selbst signiertes Zertifikat, aber anders geht es in meinem lokalen Netzwerk nicht.
Außerdem gibt der extra Server nur dann ein Passwort raus, wenn der richtigte Identifier genannt wird und nur dann, wenn die Anfrage von der richtigen IP kommt.

BTW: es wird wirklich nicht viel Leistung und Bandbreite genutzt. Man kann es also ganz bequem auf einem Raspberry PI Zero W über Wifi machen. Dieser lässt sich Wunderbar irgendwo in der Wohnung verstecken.

Schritt für Schritt Anleitung
Da es unabhänig von der server Hardware funktioniert werde ich hier nicht erklären, wie ihr einen Raspberry PI aufsetzt. Dazu gibt es viele gute Anleitungen im Internet. Ebenfalls sollten die Ordner auf eurer DS bereits verschlüsselt sein (wie das geht erkläre ich hier nicht).

1. Per SSH auf den extra Server aufschalten und erstmal die Paketquellen und alles weitere aktualisieren

sudo apt update
sudo apt upgrade

2. Die benötigten Programme installieren. Wir brauchen NodeJS und NPM für den Webserver. EcryptFS brauchen wird um einen Ordner zu verschlüsseln.

sudo apt install nodejs
sudo apt install npm
sudo apt install ecryptfs-utils

3. Einen neuen Ordner anlegen und verschlüsseln. Wo, ist eigentlich egal. Mein Ordner heißt hier und im Folgenden "crypt".

mkdir crypt
sudo mount -t ecryptfs crypt/ crypt/

Beim zweiten Befehl werdet ihr nach ein paar Eingaben gefragt. Diese könnt ihr wie folgt abhandeln:
1 ; PASSWORT_EINGEBEN ; enter ; enter ; enter ; enter ; yes ; yes

4. In den jetzt neuen und jetzt geschützten Ordner gehen

cd crypt/

5. Ein selbst signiertes Schlüsselpaar erzeugen.

openssl req -nodes -new -x509 -keyout server.key -out server.cert

Hier werden auch wieder Eingaben verlangt. Diese sind in unserem Fall egal. Ihr könnt also eintragen was ihr wollt oder einfach immer direkt Enter Drücken.

6. package.json für den Webserver anlegen. Das ist eine Datei die den Server beschreibt und welche Abhänigkeiten benötigt werden.

nano package.json

Hier fügt ihr folgenden Inhalt ein:

{
"name": "crypt-pi",
"version": "0.2",
"description": "Network decryption service.",
"main": "server.js",
"author": "mergey",
"dependencies": {
"express": "^4.17.1"
}
}

Für alle die den Editor nano nicht kennen: Ihr kommt wieder raus indem ihr Strg+x drückt und wenn ihr Speichern wollt, müsst ihr dann nochmal mit y bestätigen.

7. server.js erstellen. Das ist der eigentliche Webserver.

nano server.js

Hier müsst ihr wieder etwas einfügen. Aus bequemlichkeit habe ich keine extra Konfigurationsdatei erstellt. Ihr müsst also ein paar Dinge in dieser Datei für euch napassen.
Ändern müsst ihr:
NAS_IP -> Die feste IP von eurer DS.
FOLDER_A_IDENTIFIER -> eine art Passwort, dass eure DS dem Server nennen wird um das richtige Passwort für den Ordner A zu bekommen. (Müsst ihr euch ausdenken/generieren lassen)
FOLDER_A_PW -> Das Passwort, das die DS braucht um den Ordner A zu entschlüsseln.

Die letzten zwei gibt es auch für folder B. Je nachdem wie viele verschiedene Ordner mit unterschiedlichen Passwörter ihr hab, müsst ihr die den "else if" Teil dublizieren oder löschen. (Sorry für alle die noch nie Programmiert haben. Vielleicht schreibe ich den Code mal um wenn ich Zeit habe, so das dieser Schritt weniger kompliziert ist.)

/*
* Network decryption service
*
* @author mergey
* @version 0.2
*/
var expr = require('express');
var https = require('https');
var port = 4000;
var nasIP = 'NAS_IP';
var bodyParser = require('body-parser');
const fs = require('fs')
var app = expr();
app.disable('x-powered-by');
// needed for receiving post requests
app.use(bodyParser.urlencoded({ extended: false }));
app.use(bodyParser.json());
https.createServer({
key: fs.readFileSync('server.key'),
cert: fs.readFileSync('server.cert')
}, app).listen(port, () => {
console.log('Listening...')
});

// -------------------- website ---------------------------------------
app.get('/*', function (requ, resp) {
resp.send('wrong path');
});
app.post('/*', function (requ, resp) {
console.log(requ.body.id);
console.log(requ.ip);
if (requ.body.id === 'FOLDER_B_IDENTIFIER' && requ.ip.includes(nasIP)) {
console.log('ok'); // FOLDER A
resp.send('FOLDER_A_PW');
}
else if (requ.body.id === 'FOLDER_B_IDENTIFIER' && requ.ip.includes(nasIP)) {
console.log('ok'); // FOLDER B
resp.send('FOLDER_B_PW');
}
else{
console.log('fail');
resp.send('wrong path');
}
});

8. Den Webserver starten und ausloggen.

node server.js & logout

Damit wäre der extra Server fertig.
Wichtig ist, der Server muss immer die gleich IP in eurem Netzwerk bekommen.
Das könnt in eurem Router einstellen. (Euere DS muss ebenfalls eine feste IP haben.)

Was, wenn der extra Server neugestartet wird?
Wird dieser Server neugestartet müsst ihr die folgenden Schritte wiederholen.
0. Per SSH auf den Server verbinden.
1. Ordner entschlüsseln (hier wieder ein paar Eeingaben: 1 ; PASSWORT_EINGEBEN ; enter ; enter ; enter ; enter )

sudo mount -t ecryptfs crypt/ crypt/

2. In den Ordner gehen

cd crypt/

3. Den Webserver starten und ausloggen.

node server.js & logout

An der DS
Hier müsst ihr in eurem Aufgabenplaner (Systemsteuerung->Aufgabenplaner) einen "Ausgelöste Aufgabe" erstellen.



Hier müsst ihr einen Namen geben.
Die Aufgabe muss als root ausgeführt werden.
Und das Ereignis soll Hochfahren sein.



Dann geht ihr Oben auf "Aufgabeneinstellungen" und fügt dort das folgende Script ein:

synoshare --enc_mount FOLDER_NAME $( curl --data 'id=FOLDER_IDENTIFIER' --insecure https://SERVER_IP:4000 )

Ihr müsst FOLDER_NAME zu dem Namen des Ordners in eurer DS ändern, den ihr entschlüsseln wollt.
FOLDER_IDENTIFIER müsst ihr zu dem ändern, was ihr in der "server.js" für diesen Ordner eingetragen habt.
SERVER_IP muss die feste IP des extra Servers ein.

OK anklicken und Fertig.

Wenn ihr mehr als einen Ordner entschlüsselt haben wollt, könnt ihr entweder mehrere Aufgaben im Aufgabenplaner erstellen oder in einer Aufgabe das Script mehrmal untereinander einfügen und jeweils den Ordnernamen und Identifier ändern.

Liebe Moderatoren, könntet ihr bitten den folgenden Teil oben einarbeiten? Oder noch besser, mir dauerhaft das Recht geben den Beitrag da oben zu bearbeiten. Dann kann ich den selbst pflegen. Da sind z.B. nochn paar Tippfehler drin vielleicht aktualisiere ich auch mal den Code.

Danke

Wichtig!
Manche Pakete müssen nach dem Entschlüssel nochmal extra gestartet werden. Zum Beipsiel die Webstation. Dafür müsst ihr in der geplanten Aufgabe zum Entschlüsseln nach dem:

synoshare --enc_mount FOLDER_NAME $( curl --data 'id=FOLDER_IDENTIFIER' --insecure https://SERVER_IP:4000 )

noch eine zweite Zeile einfügen, die da lautet:

synoservicecfg --start PAKET_NAME

beziehungsweise diese Zeile, wenn das Paket läuft, aber einen Neustart braucht:

synoservice --restart PAKET_NAME

Ich habe es bisher nur bei der Webstation und Apache beobachtet. Docker z.B. lief einwandfrei auch ohne die extra Zeile in der geplanten Aufgabe.

Hier eine Auflistung der meisten Paketnamen:

pkgctl-Apache2.4
pkgctl-AudioStation
pkgctl-CMS
pkgctl-CloudSync
pkgctl-DNSServer
pkgctl-Docker
pkgctl-DownloadStation
pkgctl-FileStation
pkgctl-Git
pkgctl-HyperBackup
pkgctl-Java8
pkgctl-LogCenter
pkgctl-MariaDB
pkgctl-MariaDB10
pkgctl-Node.js_v4
pkgctl-PEAR
pkgctl-PHP5.6
pkgctl-PHP7.0
pkgctl-Plex Media Server
pkgctl-StorageAnalyzer
pkgctl-TextEditor
pkgctl-VPNCenter
pkgctl-WebStation
pkgctl-adminer
pkgctl-domoticz
pkgctl-filebot
pkgctl-filebot-node
pkgctl-git
pkgctl-python
pkgctl-sickrage

Eine vollständige Auflistung findet ihr hier:
https://tech.setepontos.com/2018/03/25/control-synology-dsm-services-via-terminal-ssh/

 

[mergey]

Ich kann meinen Beitrag leider nicht mehr bearbeiten.
Ist es möglich, dass mir ein Moderator die Rechte dafür gibt?

Im 8. Schritt der Anleitung ist ein Fehler im Befehl. (noder -> node)

node server.js & logout

 

[amarthius]

Hab es angepasst

 

[m0useP4d]

Weiter unten in 3. Schritt hat sich der gleiche Fehler eingeschlichen

 

[amarthius]

auch angepasst

 

[NSFH]

Da hast du dir viel Arbeit gemacht.....und ich es mir extrem leicht.
Habe einfach den USB-Stick mit dem Freischaltcode mit Verlängerungskabel und Komponentenkleber im Rack verklebt. Jeder Versuch den Stick zu lösen zerstört ihn.
Ja man könnte den Stick dann auslesen, aber auf diese Idee muss man als Dieb erst mal kommen. Den interessieren auch weniger die Inhalte als die Hardware.

 

[mergey]

Ach so viel Arbeit war das garnicht. Aber stimmt wohl, deine Lösung geht wahrscheinlich schneller und reicht von der Sicherheit für die meisten Fälle.
Dann ist meine Idee für die, die...
- keine Ecke haben wo sie etwas festkleben können/wollen
- nur ein kleines Rack haben, das einfach mit geklaut werden kann
- nicht möchten, das jemand einfach das USB-Kabel umstecken und die Codes auslesen kann
- mehr als ein NAS gleichzeitig abdecken möchten
- Standort unabhänig sein wollen

Wenn man sich Sorgen macht, dass jemand in deinem Fall den USB-Stick abreist und danach repariert um die Daten zu bekommen.... nun ja, ich denke sowas machen wohl eher die Leute, die sich von meiner Variante auch nicht lange abhalten lassen.

 

[zxmc]

Habe einfach den USB-Stick mit dem Freischaltcode mit Verlängerungskabel und Komponentenkleber im Rack verklebt. Jeder Versuch den Stick zu lösen zerstört ihn.

Das sollte gegen Hardware-Diebe helfen.

Nicht hingegen, gegen Angreifer, die es auf die Daten abgesehen haben. Gut, ich hab eben seit vielen Jahren mit Daten zu tun, für die sich auch die Staatsanwaltschaft interessiert. Früher waren es Daten von Mandanten, heute sind es Daten von Informanten. Eine Situation, die sicherlich nicht bei jedem vorkommt.
(Wenn ich allerdings immer wieder lese, dass bei den Usern haufenweise Blockbuster-Filme auf den NASen rumliegen... Aber egal, sicherlich alles legale Stream-Mitschnitte)

 

[peterhoffmann]

Ob nun Fotoalben, Dokumente, Blockbuster oder Mandantendaten.... völlig egal, ... wichtig ist, dass man seine Daten vor fremden Zugriff egal welcher Art schützt. Und da sitzen wir alle im gleichen Boot.

Für den richtigen Weg gibt es nicht ein einziges Rezept. Und das ist gut so, ansonsten würde sich der Gegner besser darauf einstellen können. So weiß er nie was ihn wirklich erwartet.

Die hier genannten Methoden der Entschlüsselung sind im Grunde für den Betrieb nicht nötig und nur der eigenen Bequemlichkeit geschuldet (ich falle auch darunter *gg*).

Die Wege um das Passwort oder die Keydatei (automatisiert) beim Start vom NAS zum NAS zu bekommen sind vielfältig, ich zähle sie mal auf:

1. Variante siehe Erstposting mit Anleitung in diesem Thread (@mergey)
2. USB-Stick (mit PW/Key) an langem USB-Kabel irgendwo verstecken und fest an- und verkleben (siehe Post von @NSFH )
3. PW/Key auf weiterem internen Gerät, welches einen Zugriff (SSH,FTP,SMB,HTTP,HTTPS, usw.) zulässt
4. PW/Key in mehrere Teile zerlegen und verteilen, mindestens ein Teil intern und ein Teil extern, zusätzlich bei Bedarf ein Teil auf einem USB-Stick, der versteckt verbunden ist (siehe 2. Möglichkeit)
5. einer der Möglichkeiten von 1 bis 4 und zusätzlich einen Truecrypt bzw. Veracrypt-Container einsetzen

Wer weitere Möglichkeiten kennt => Bitte nennen!

 

[mergey]

Liebe Moderatoren, könntet ihr bitten den folgenden Teil oben einarbeiten? Oder noch besser, mir dauerhaft das Recht geben den Beitrag da oben zu bearbeiten. Dann kann ich den selbst pflegen. Da sind z.B. nochn paar Tippfehler drin vielleicht aktualisiere ich auch mal den Code.

Danke

Wichtig!
Manche Pakete müssen nach dem Entschlüssel nochmal extra gestartet werden. Zum Beipsiel die Webstation. Dafür müsst ihr in der geplanten Aufgabe zum Entschlüsseln nach dem:

synoshare --enc_mount FOLDER_NAME $( curl --data 'id=FOLDER_IDENTIFIER' --insecure https://SERVER_IP:4000 )

noch eine zweite Zeile einfügen, die da lautet:

synoservicecfg --start PAKET_NAME

beziehungsweise diese Zeile, wenn das Paket läuft, aber einen Neustart braucht:

synoservice --restart PAKET_NAME

Ich habe es bisher nur bei der Webstation und Apache beobachtet. Docker z.B. lief einwandfrei auch ohne die extra Zeile in der geplanten Aufgabe.

Hier eine Auflistung der meisten Paketnamen:

pkgctl-Apache2.4
pkgctl-AudioStation
pkgctl-CMS
pkgctl-CloudSync
pkgctl-DNSServer
pkgctl-Docker
pkgctl-DownloadStation
pkgctl-FileStation
pkgctl-Git
pkgctl-HyperBackup
pkgctl-Java8
pkgctl-LogCenter
pkgctl-MariaDB
pkgctl-MariaDB10
pkgctl-Node.js_v4
pkgctl-PEAR
pkgctl-PHP5.6
pkgctl-PHP7.0
pkgctl-Plex Media Server
pkgctl-StorageAnalyzer
pkgctl-TextEditor
pkgctl-VPNCenter
pkgctl-WebStation
pkgctl-adminer
pkgctl-domoticz
pkgctl-filebot
pkgctl-filebot-node
pkgctl-git
pkgctl-python
pkgctl-sickrage

Eine vollständige Auflistung findet ihr hier:
https://tech.setepontos.com/2018/03/25/control-synology-dsm-services-via-terminal-ssh/

 

[mergey]

Liebe Moderatoren,
wenn ihr meinen Kommentar hier freischaltet würde ich mich sehr freuen wenn ihr mir auf meine Frage antworten würdet.
LG

 

[Matthieu]

Ich habe es mal an die Anleitung angehängt. Auch von meiner Seite ein Dickes Danke für deine Arbeit!

Bei Änderungen bitte einen Mod kontaktieren, sofern es nicht zu viel wird () auch per PN. Berechtigung dahingehend verteilen macht unser Admin sehr ungern.

MfG Matthieu

 

[NSFH]

Ich habe mir das Konstrukt mal genau angesehen. Ist so leider nicht im gewerblichen Bereich praktikabel.
Die Crux ist der letzte Teil der eingebauten Sicherheit: Der zusätzliche Server lässt sich nur per Passwort starten.
In einer Umgebung, wo nach einem Stromausfall alle Komponenten durch die USV runter gefahren wurden muss auch ein automatischer, unbeaufsichtigter Neustart möglich sein.
Ich habe nur einen Server wo die Verschlüsselung eminent wichtig ist. Hier arbeite ich wie von @peterhoffmann beschrieben mit einem geteilten Passwort.
Eine Hälfte kommt vom USB-Stick, der am langen Kabel verklebt im Rack hängt un die andere Hälfte aus dem Router, der einen SMB Zugang zur Verfügung stellt, wo in der adminstrativen Freigabe der Rest zu finden ist. Diese Verbindung ist durch die Firewall beidseitig abgesichert.

Es führen halt viele Wege nach Rom.

 

[mergey]

Könnte man bei deiner Lösung nicht den ersten Teil vom USB-Stick auslesen und dann die Platten zusammen mit dem Router klauen?

Man könnte meine Lösung auch ohne die Ordner-Verschlüsselung auf dem Extra-Server realisieren und dann den Extra-Server in einem Save oder ähnlichem aufbewaren. Klar Kabel müssen da noch irgendwie rein/raus führen aber sonen RaspberryPi braucht net viel Platz und lässt sich notfalls auch verstecken.

 

[peterhoffmann]

Es gibt viele Lösungswege. Da muss jeder "seinen" finden.

Wenn der Dieb/Täter vom Passwort-Aufbau weiß, ist es einfach für ihn das zu umgehen. Aber er weiß es ja nicht und steht halt im ersten Schritt vor einem NAS. Ich empfehle daher den gesplitteten Aufbau, sowie die Verteilung intern und extern. So hat man alle Möglichkeiten offen.

 

[NSFH]

Der Diebstahl aller Komponenten ist natürlich immer noch das einzige Problem, welches bestehen bleibt.
Nachdem ich mich damit nochmal beschäftigt habe bin ich durch die Idee mit dem Raspi per WLAN auf eine Lösungsoption gestossen die ich mal bei Gelegenheit austesten muss.
Warum nicht per Script das Passwort aus Werten zusammen setzen, die sich im Lan abfragen lassen, aus PCs, WLAN Komponenten etc. Das kann ein Gerätename sein genau so wie eine MAC.
So könnte man einen alten AP ohne Funktion irgendwo hinstellen und aus dessen Parametern ein Pw generieren und abfragen. Den Umweg über einen extra Server kann man sich so sparen.

 

[peterhoffmann]

Ich fand den Gedanken einen Teil eines PWs z.B. durch die MAC eines Gerätes zu bestimmen schon recht pfiffig gelöst. Dies könnte man sogar manuell oder zeitgesteuert mittels Smarthome-Steckdose zusätzlich absichern. Bei der MAC sehe ich aber ein Problem. Man stelle sich mal vor das betreffende Gerät "stirbt" und die MAC steht nicht auf dem Etikett. Ohne MAC steht man selber vor verschlossenen Türen, sprich man muss aufpassen nicht selber in der Sackgasse zu landen. Die MAC muss man sich also irgendwo zusätzlich sichern.

Ich bin da eher für ein (langes) Passwort, welches man sich im Notfall selber "im Kopf" erarbeiten kann.

 

[NSFH]

Nicht nur das Passwort muss irgendwo auf einem USB-Stick oder eine SD-Karte gesichert sein, auch die Key-Dateien der verschlüsselten Ordner sollte man an einem sicheren Ort aufbewaren!
Bei einem Scenario wie du es beschreibst hat man immer die Option händisch einzugreifen und den Key/Passwort einzugeben. Die Syno läuft ja, nur die Ordner bleiben ausgehängt.

 

[spatzimatzi]

Hallo,
kenne mich mit der Problematik noch nicht aus.
Im Moment werden auf unserer DS alle Ordner verschlüsselt. Es gibt nur einen Schlüssel für alle Ordner.
Die DS läuft immer. Muss sie doch mal heruntergefahren werden, dann setzen ich bei den Ordnern den Schlüssel von Hand.
Zukünftig werde ich den Schlüssel splitten: Den einen Teil auf einem USB-Stick, der auch verklebt wird (guter Trick) und einen Teil liegt in der Cloud (besonders wichtige Daten werden dort zusätzlich gesichert). Startet die NAS, dann werden die Teilschlüssel zusammengeführt.
Wenn der Gauner die NAS stiehlt, dann kann er vermuten, dass der USB-Stick wichtig sein könnte. Vermutet er das nicht, dann hat er zwar das Gerät, aber nicht die Daten (für ihn Müll). Jetzt fehlt aber der zweite Teil. Von dem er zunächst nichts weiß.
Zusätzlich werde ich einen Raspi (wegen der Stromkosten) so programmieren, dass er in bestimmten Zeitabständen die NAS anpingt. Ist sie da, alles OK.
Ist sie nicht da (gestohlen??), dann werden die Informationen in der Cloud überschrieben oder der Account verändert. Das muss ich noch testen. Zusätzlich bekomme ich eine Meldung aufs Handy. Dies ist grundsätzlich gut, da ich dann immer den Zustand des Systems kenne.
Wird aus versehen doch die Schlüsseldatei überschrieben, dann muss ich sie halt von Hand neu einstellen. Kein Hexenwerk.
Schön wäre es, wenn ich aus der Cloud den Status abfragen könnte. Dann würde ich bei Stromausfall (Täter schaltet alles aus) direkt die Daten überschreiben.

Was haltet ihr davon

viele Grüße
spatzimatzi

 

[NSFH]

Etwas mehr Automatismus geht dabei.
In der Regel haben Firmen feste IPs.
Frage also per Script die IP des Internetzuganges ab, an dem die Syno hängt. Ist diese falsch löscht das script die Passwortdatei in der Cloud und sofern vorhanden auch den USB-Stick mit dem Teilpasswort.
Damit ersparst du dir auch hier den Raspi.