Backup verschlüsseln

[cpam]

Hallo zusammen,

habe das Forum schon etwas durchforstet bin aber nur auf Beiträge gekommen, bei denen kein Ergebnis war, daher rolle ich dsa Thema nochmals auf.

Kann man mit dem Standard-Backup von der DSM 4.3 die Daten verschlüsseln?
Sprich die Daten sollen nicht lesbar auf der externen Platte (USB) sein?

LG

 

[amarthius]

Du kannst verschlüsselte gemeinsame Ordner (Freigaben) erstellen. Wenn du nun ein Backup von diesem Ordner auf eine externe Festplatte machst, dann sind diese Daten auch verschlüsselt. Einen anderen Weg aus dem DSM heraus gibt es nicht.

Andere Wege wären: http://www.synology-wiki.de/index.php/Verschlüsseltes_Backup
Duplicati
Truecrypt
...

 

[cpam]

Ah das ist perfekt - genau das was ich suchte.
Ich dachte, wenn ich Ordner verschlüssle wird das Backup dennoch unverschlüsselt gemacht - aber so ist es eh wie ich es wollte.

Danke!

 

[amarthius]

Es sieht nur so aus. Selbst, wenn der verschlüsselte Ordner gemountet ist, werden die Daten trotzdem verschlüsselt gesichert. Kannst du einfach im DSM testen

 

[cpam]

Was meinst du genau mit gemountet ist?
Was ist wo gemoutet?

 

[Tommes]

"mount bzw. mounten" bedeutet soviel wie "Einbinden" oder "Einhängen" von Dateisystemen, "umount bzw. umounten" bedeutet halt das Gegenteil.

Um auf einen verschlüsselten, "gemeinsamen Ordner" zugreifen zu können, mußt du diesen halt in's System einbinden, also mounten! Du kannst einen verschlüsselten Ordner entweder automatisch beim Systemstart mounten lassen, oder du mountest ihn nur bei Bedarf. Das Manuelle Ein- und Ausbinden kannst du über die "gemeinsamen Ordner" in der DSM-Systemsteuerung durchführen. Genau dort richtest du ja auch deinen verschlüsselten Ordner ein,

Tommes

 

[cpam]

naja was mounten ist ist mir schon klar
warum sollte man das beim Start nicht wollen?
Performance-probleme?

 

[Tommes]

Naja, warum soll man einen verschlüsselten Ordner stets eingebunden lassen? Was wäre dann der Sinn, diesen zu verschlüsseln? Für den Fall, das mal jemand die Festplatte aus deiner DS klaut? Oder das jemand deine DS komplett klaut? Wenn letzteres, braucht derjenige nur einen einfachen Reset am Gehäuse durchzuführen und kann dann auf einen "stets eingebundenen, verschlüsselten Ordner" zugreifen.

BTW, verstehe ich den Weg, den Synology bei der Verschlüsselung geht, eh nicht wirklich. Einzig beim Anlegen eines verschlüsselten Backups. Besser wäre es, wenn man den verschlüsselten Ordner auch Clientseitig öffnen könnte, so wie bei TrueCrypt z.B? Jedesmal im DSM den Ordner entschlüsseln zu müssen halte ich für nicht praktikabel.

Tommes

 

[cpam]

@ Tommes, dh es würde nur Sinn machen, wenn es nicht bei Startup gemountet wird?
Denn gennum das mit dem Klauen der NAS bzw. eines Backup geht es mir um ehrlich zu sein.

 

[Tommes]

Genauso ist es. Siehe hierzu auch den Wiki-Eintrag "Verschlüsselung gemeinsamer Ordner" und dabei vor allem den Abschnitt "Automount oder manueller Mount"

Vielleicht würde dir der Umgang mit z.B. einem TrueCrypt Container mehr bringen als mit der DSM-Verschlüsselung. Ist auf jeden Fall Benutzerfreundlicher

Tommes

 

[cpam]

Hallo Tommes,

erstmals Danke für dein Hilfe.
Was hat es genau mit dem Import-Schlüssel auf sich, habe ich nicht ganz rausbekommena us dem Wiki-Eintrag?

Kann man nicht einfach auf dem PC den Key hinterlegen, welchen er beim Automount verwendet und an die DS übergibt?
Sprich Dateien bleiben verschlüsselt bis PC Key übergibt.

Wird die DS gestohlen und der Dieb hat den Key hat er nicht lokal auf dem PC hilft ihm das nichts?

lG

 

[Tommes]

Das mit dem Import-Schlüssel verstehe ich so (nutze ihn jedoch nicht)

Falls du dein Passwort für einen verschlüsselten Ordner mal vergessen solltest, kannst du ihn immer noch mit der exportieren Schlüsseldatei öffnen. Lies hierzu auch mal die Anleitung von Synology zum Thema.

Es wäre natürlich zu begrüßen, wenn man mit dem Schlüssel Clientseitig verschlüsselte Ordner der DS öffnen könnte. Leider dient der Export des Schlüssels aber wohl nur dem Zweck, im Notfall den Ordner noch öffnen zu können.

Tommes

 

[Syn3312]

Hallo zusammen,

ich klinke mich hier mal ein, da ich derzeit auch mein Backup Konzept überarbeite.

Aktuell war alles auf der Synology unverschlüsselt. Backups wurden unverschlüsselt auf eine externe USB Platte geschrieben, die aus Sicherheitsgründen zeitweise außer Haus war (Brand, Diebstahl von NAS + BACKUP -> Totalverlust).

Nun habe ich mir ein zweites kleines Backup-NAS gekauft, welches an einem anderen Ort stehen wird. Dort sollen erstmal sämtliche Daten meines NAS gespiegelt werden, und zwar komplett verschlüsselt. Wie das geht habe ich rausbekommen (danke nochmal, amarthius). Des Weiteren werden ein oder mehrere gemeinsame Ordner auf dem produktiven NAS verschlüsselt sein, so daß bei Einbruch wichtige Daten nicht in die falschen Hände kommen. Auch das habe ich getestet: Einen verschlüsselten gemeinsamen Ordner in einen anderen verschlüsselten gemeinsamen Ordner sichern. Klappt gut.

Dennoch möchte ich weiterhin die Daten des NAS auf externe Platte sichern. Leider kann ich hier nicht mehr auf TimeBackup zurückgreifen, da das ja anscheinend keine verschlüsselten gemeinsamen Ordner sichern kann! TimeBackup habe ich zuvor für meine Sicherung auf externe Platten genommen, weil es einem erlaubt Daten schnell einzeln zurückzusichern und Backupversionen zu erstellen. Beides ist mit der onboard Sicherung ja nicht möglich (ist das aber evtl mit DSM 5 möglich?). Die onboard Sicherung macht aber schon nur die Ändeurngen bei weiteren Backupläufen? Also neue und geänderte Daten werden gesichert und gelöschte werden entfernt (wenn man es denn so einstellt) ohne dass nicht geänderte Daten erneut gesichert werden? Das müsste eigentlich reichen. Und zur Not kann man ja dier verschlüsselten Ordner mittels onboard Sicherung sichern und den Rest mit TimeBackup...

Was das verschlüsselte Backup Konzept angeht würde ich mir auf jeden Fall eine etwas einfachere Vorgehensweise von Synology wünschen. Das ist sicher verbesserungsfähig.

Ach ja, das 1€ Messe Spezial von Hidrive http://www.strato.de/online-speicher/ sollte man hier auch mal erwähnen. 100GB für ein Jahr, 1€. Da kann man ja mit der HiDirve App die verschlüsselten DAten hin übertragen udn soweit ich das sehe gibt es dort auch Versionen...

 

[Tommes]

Naja, warum soll man einen verschlüsselten Ordner stets eingebunden lassen? Was wäre dann der Sinn, diesen zu verschlüsseln? Für den Fall, das mal jemand die Festplatte aus deiner DS klaut? Oder das jemand deine DS komplett klaut? Wenn letzteres, braucht derjenige nur einen einfachen Reset am Gehäuse durchzuführen und kann dann auf einen "stets eingebundenen, verschlüsselten Ordner" zugreifen.

Ich muß meine Aussage wohl revidieren. Denn in der DSM Hilfe (DSM 4.3 3827) ist zu lesen...

Wenn Sie Standard-Kennwörter mit der Reset-Taste auf der DiskStation wiederherstellen, werden verschlüsselte gemeinsame Ordner deaktiviert und die Option, automatisch verschlüsselte gemeinsame Ordner zu mounten, wird deaktiviert.

Shit happens, Tommes

 

[Puppetmaster]

Das ist aber wirklich neu. Und sinnvoll ist es auch!

 

[Tommes]

Bin da auch eher durch Zufall drauf gestoßen, da ich grade ein wenig mit der DSM-Verschlüsselung (verschlüsseln, verschlüsselt wegsichern, weggesichertes wiederherstellen) rumspiele, da mein Bedarf nach Verschlüsselung doch stark gestiegen ist. Von daher begrüße ich diese nicht bekannte Eigenschaft der DSM-Verschlüsselung und brauch daher wohl doch nicht auf TrueCrypt auszuweichen.

Dadurch ergibt für mich die DSM-Verschlüsselung auch endlich einen Sinn und habe wieder was, womit ich rumspielen kann

BTW: In der DSM 5 Beta Hilfe steht es genauso beschrieben.

Tommes

 

[cpam]

Hallo zusammen,

war jetzt eine Zeit außer Lande,daher meine späte Antwort.

Verstehe ich das jetzt richtig.
Wenn ich einen vereschlüsselten Ordner erstelle und auch diesen auf eine USB sichere (mit Standardsicherung) und im Windows beim Startup schon einmounte, dass dennoch die Daten verschlüsselt bleiben.
Sprich sie sind weder auf der USB noch auf der NAS-Platte bei Diebstahl lesbar? Selbst nicht mit einem Reset?

LG

 

[dil88]

So verstehe ich das, was Tommes schreibt, auch. Das verstehst Du sicherlich richtig.

 

[cpam]

Sehr gut, jetzt nur eine Frage zum Schluss.

Kann ich die Verschlüsselung auch nachreichen oder muss ich da jetzt die Verzeichnisse neu anlegen und den Content rüberschieben?

lG

 

[Merthos]

Seit einigen DSM-Versionen geht das nicht mehr nachträglich, daher also neuen Ordner anlegen und verschieben.