Cloud Station Cloud Station Verschlüsselung aktivieren - aber wie?

[dsmynas]

Ich skizziere mal unser Setup: ich setze hier ein CS-System, auf zwei HA-Servern die an verschiedenen Orten auf der Welt in unseren Büros stehen, mit 59 eingeschränkten Nutzern (nicht-Admins) ein, die alle ein eigenes CS-Verzeichnis und mehrere unterschiedliche freigegebene Ordner haben. Die Klienten kommunizieren unter Verwendung von SSL mit den Servern, die Server gleichen sich auch unter Verwendung von SSL ab.

Idealer Weiße würde ich es gern sehen, wenn unsere Mitarbeiter ihre CS-Ordner verschlüsseln könnten, bzw. die Daten verschlüsseln die sie dort ablegen. Dies geht aber nicht. Man (und damit meine ich mich, den Admin) kann jetzt neue freigegeben Ordner erstellen die dann verschlüsselt sind - dadurch habe ich ja aber wieder genau den Zugriff auf diese Ordner wie vorher auch, nur brache ich jetzt eben den Schlüssel. In dem Moment aber, wo ich diese Ordner einhänge sind sie entschlüsselt auf der DS verfügbar, versteckt zwar auf Terminal-Ebene, aber für jeden Admin ersichtlich innerhalb der Filestation, bzw. der Einstellungen.

Somit hat diese Verschlüsselung nur einen Mehrwert wenn unsere Server gestohlen werden - dagegen steht dann aber die Sicherheit des Aufstellungsortes. Im Gegenzug hat es einen enormen Nachteil, dass ich als Admin nach jedem Neustart, alle diese Ordner wieder einhängen muss.

Der Transfer von den Klienten zu den Servern wird nicht mehr und nicht weniger sicher durch diese Geschichte.

Gruß,

dsmynas

[edit] Versteht mich bitte nicht falsch ... ich meckere nicht an der Verschlüsselung der Ordner selbst rum, nur an den limitierten Einsatzmöglichkeiten, die einem enorm höheren Verwaltungsaufwand gegenüberstehen und gegenüber dem Service-Verwalter, bzw. System-Admin keine Sicherheit auf private Daten bringt. [/edit]

 

[Puppetmaster]

Dein Setup ist aber nicht notwendigerweise das, was andere fahren.

Bei einer rein privaten Nutzung z.B. ist die Konstellation von admin, verschlüsseltem Ordner und CloudStation durchaus sinnvoll - in meinen Augen.


Das Verschlüsseln von Freigaben auf der DS wird hier auch immer nur als wertvoll gegen Diebstahl angepriesen, ansonsten ist das m.M. für gar nichts gut.

 

[dsmynas]

Das Verschlüsseln von Freigaben auf der DS wird hier auch immer nur als wertvoll gegen Diebstahl angepriesen, ansonsten ist das m.M. für gar nichts gut.

Okay, dann untermauert das ja zumindest schon mal meine eigene Auffassung von dieser Geschichte. Danke schön.

Gruß,

dsmynas

 

[finpan79!]

Muss den thread gerade nochmal ausgraben.

Verständnisfrage:

Auf einen ungemounteten, verschlüsselten Ordner kann ich per Cloud Station Drive de facto nicht zugreifen, auch wenn ich im Besitz des Schlüssels bzw. Passworts bin, oder?
Um den Zugang zu schaffen, muss ich über die Bedienoberfläche den gemeinsamen Ordner erst wieder mounten, um darauf zugreifen zu können?

 

[treolandix]

Ja genau, kann aber nur ein Admin.

https://www.youtube.com/watch?v=NinaddyXY1k
iDomix erklärt hier einen Weg mit einem USB-Stick, der als Schlüsselmanager fungiert. Dieser muss beim starten der DS eingesteckt sein und entschlüsselt die Ordner, danach kann er sicher verwahrt werden.

 

[Stooky]

Hallo zusammen,

ich bin Besitzer eines DS218+ NAS und verzweifle momentan daran, eine Datensicherung in einen verschlüsselten Ordner auf der NAS einzurichten. Ich habe es mit Cloud Station Backup versucht, jedoch kann ich hier das Sicherungsziel nicht selbst bestimmen, stattdessen wird immer in einen eigens erstellen, unverschlüsselten Ordner "home/CloudStation/Backup" gesichert bzw. synchronisiert. Mit der App Cloud Station Drive verhält es sich ganz ähnlich, nur erfolgt die Sicherung hier immer in den unverschlüsselten Ordner "home/CloudStation/Drive". Ganz ehrlich, das kann doch nicht sein, dass eine einfach Datensicherung in einen verschlüsselten Ordner derart schwierig einzurichten ist? Wer kann mir helfen? VIelen Dank dafür im Voraus!

Edit: Ich habs jetzt doch noch hinbekommen mit Cloud Station Drive. Die Lösung ist wie folgt: Auf der DriveStation die App Cloud Station Server starten, dann unter Einstellungen den angehängten, freigegebenen Ordner aktivieren. Danach kann dieser Ordner im Windows-Programm Cloud Station Drive als Zielordner für die Sicherung ausgewählt werden. Aber mal ehrlich, benutzerfreundlich ist anders, oder?

 

[Lucifor]

Ich habe den Thread fast komplett gelesen, auch den alten Kram und ich muss sagen das hier manche den Sinn einer verschlüsselten Freigabe nicht ganz verinnerlicht haben. Wer diese Funktion nicht nutzt oder in seinen Augen nicht benötigt kann getrost darauf verzichten.
Grundsätzlich ist eine Verschlüsselung nur dann sinnvoll wenn diese über den Keymanager der DS auf einem unabhängigen Laufwerk benutzt wird. Wie schon richtig gesehen das Video auf Tube von iDomix ist dazu super und erklärt alles notwendige.
Die Verschlüsselten Ordner dienen einzig dem Diebstahlschutz bzw dem Schutz vor ungebetenen Gästen die direkten realen Zugriff auf die DS haben.
Ist die DS oder ein Share oder sonst was nicht verschlüsselt, benötigt ein Dieb, ein Gast oder sonst wer "nur" einen Userzugang oder einen Admin Zugang und hat alle Daten brav sortiert nach Inhalten.
Ist eine Verschlüsselung aktiv und die DS (oder nur die HDDs) werden entwendet, gibt es keinen Zugriff auf die Daten, da kann sich jeder auf den Kopf stellen und mit den Pobacken Klatschen, da kommst nicht rann. Ausser natürlich der Keymanager ist auf der Systemplatte vorhanden und hängt wieder brav alle Shares ein °° *roleeyes*

Die Verschlüsselung ist NICHT dafür da die Daten vor den Augen eines "Admins" zu schützten. Der Admin hat immer Zugriff.

Ich persönlich schlafe deutlich besser damit das die Shares der DS verschlüsselt sind. Der Keymanager auf einem USB-Stick, der USB Stick ist nach dem Boot der DS am Mann und bleibt auch dort.
Ist der Stick mal Fraggle auch kein Problem, man hat schliesslich die Passwörter UND Key Dateien in einem Tresor (Passwortmanager) und nicht offen auf dem heimischen PC.

Wer noch eine Stufe mehr an Security haben will, nimmt sich einen Stick der nicht aufsieht wie ein Stick und hat den eben als Verschönerung am Autoschlüssel °°

 

[Stooky]

Ich will die Ordner ja auch nur deshalb verschlüsseln, damit ein Einbrecher, der die DiskStation mitnimmt, nicht auch noch in den Besitz der ganzen Daten kommt. Insofern erfüllt die Verschlüsselungsfunktion bei mir ihren Zweck voll und ganz.

 

[Lucifor]

Wobei ich noch etwas freakiger bin.
Das Admin Passwort ist 30 Zeichen lang, zwei Faktor Auth ist ebenfalls an, aber nur für den Admin.
Die Benutzer haben ebenfalls 30 Zeichen, aber keine zwei Faktor Auth. Das ist bei DS Video, DS Cam ect einfach unpraktisch.
Die Shares sind mit 30 Zeichen verschlüsselt, die Passwörter kennt nur mein Passwortmanager. Werden über den Keymanager per USB-Stick nach dem booten eingehangen und dann kommt der Stick weg. Die Keys sind Rechnerabhängig, bedeutet: Platten geklaut, kann der jenige welcher sogar das Passwort besitzen, tut sich dennoch nix. (Obwohl es unwahscheinlich ist das jemand die HDDs klemmt und die DS stehen lässt, aber man weiss es ja nicht)
Diese Option ist auch eher dazu gedacht das man keine Chanche hat, wenn jemand denkt an der DS komme ich nicht weiter also hänge ich das Raid in ein anderes System.

Die DS wird täglich auf das Netgear per Clientseitiger Verschlüsselung vollständig gebackuped. (Die Netgear kann keine Verschlüsselung)
Ebenso jede Nacht ein Backup per Internet an einen anderen Standort auf ein NAS. (Transportgesichert, Verschlüsselt, VPN, RSync)
Ultra wichtige Dateien gehen dazu noch jede Nacht per Cloud (Nextcloud) verschlüsselt an meine eigenen Server in einem Rechenzentrum (Transportgesichert)

Freaky ne?

 

[treolandix]

Also ich versuche, als Privatanwender meine Geräte vor möglichen Szenarien zu schützen. Bei mir ist es aber schlicht nicht möglich, einen Keymanager auf einem USB Stick vor jedem Neustart einzustecken und hinterher wieder an einem anderen Ort zu verwahren. Ergo: Der Stick würde die ganze Zeit drin stecken. Mal eine Frage zum Diebstahl-Szenario: Steckt der Stick beziehungsweise der Schlüssel-Manager liegt auf dem System selbst, werden die Ordner ja nach dem Start automatisch gemountet. Dann kann aber doch nur jemand an die Daten, der die Platten bei laufender DS ausbaut, richtig? Da beim Runterfahren die Ordern doch wieder ausgehängt werden müssen.


Hier https://forum.kuketz-blog.de/viewtopic.php?t=1997#p18638 habe ich jemand gefunden, der die Ordner nach dem Start der DS mittels SSH von einem Raspberry Pi aus mountet, ein sehr interessanter Ansatz wie ich finde. Allerdings wäre da der Aufwand für mich zu groß, beziehungsweise auch das Wissen zu klein ;-)

Fazit: Bis auf den externen Keymanager, der sicher verwahrt wird oder die Lösung mit dem Pi gibt es keine alltäglich praktikable Lösung und man kann sich die Verschlüsselung auch sparen, ja?

PS: Kennt jemand vielleicht Drittanbieter-Software, die die Daten bereits auf dem Client verschlüsselt? Wäre für mich keine sehr beliebte Lösung, da sie auf Windows, Linux, Android, iOS etc. laufen müsste und das meiner Meinung nach zu kompliziert wird, vielleicht hat dennoch jemand eine Idee...