Encryption on demand (auf dem Client)

[harry88]

Hallo

nachdem ich untenstehenden Artikel gelesen habe, weiss ich nicht so recht, ob es eine gute Idee ist, zuviel von der Folder-Encryption einer DS zu erwarten..

https://blog.elcomsoft.com/2019/11/...on-forensic-analysis-of-synology-nas-devices/


Frage:
Besteht die Moeglichkeit, dass ein verschluesselter Ordner nur on-demand (nach Passwort-Eingabe auf dem CLient) entschluesselt wird?

Vielen Dank!

Harry


PS
Verwende eine DS213

 

[JonTec]

Nein die Ver- und Entschlüsselung kann nicht on-Demand (nach Passwort-Eingabe auf dem Client) erfolgen.

Der bessere Weg deine Daten zu sichern wird eher über User Rechte, Firewall, etc. sein.

Viele Grüße,
Jonas

 

[harry88]

Nein die Ver- und Entschlüsselung kann nicht on-Demand (nach Passwort-Eingabe auf dem Client) erfolgen.

Der bessere Weg deine Daten zu sichern wird eher über User Rechte, Firewall, etc. sein.

Viele Grüße,
Jonas

Danke fuer die Rueckmeldung! Dann kommt diese Funktion tatsaechlich nicht im Frage fuer mich. Hinzu kommt ja noch, dass im verwendeten eCryptFS die Laenge der Dateinamen auf 14x Zeichen beschraenkt ist

Kannst Du vielleicht zu Deinem Vorschlag noch etwas Zusaetzliches sagen?

Vielen Dank!

 

[JonTec]

Ich weiß zwar nicht genau wie dein Setup ausschaut aber ein paar Dinge, die ich umsetzt (KA ob das best practise entspricht) geb ich dir mal mit.

1. Nur benötigte Ports weiterleiten an die NAS kein exposed Host(alle Port freigegeben)
2. jeglichen Trafik per SSL Zertifikat schützen (kostenlos per Let's Encrypt) (und natürlich auch vor allem von außerhalb nur SSL Trafik zulassen)
3. Firewall der Synology Aktivieren mit folgender Unterscheidung:
- Fürs Heimnetzwerk alle Ports oder noch besser nur die benötigten freigeben
- Für den Zugriff von extern Ländersperre einrichten und natürlich auch nur die Ports freigeben, die du überhaupt per Port Forwarding geöffnet hast. (Achtung du kannst nicht alle Ports nur auf Deutschland begrenzen 80 und 443 musst du z.B. für Lets Encrypt öffnen und deren Server stehen in America.)
Beispiel:

4. Admin-user und Standard-user trennen (D.h. wenn du von außen auf die NAS zugreifst um Datein abzurufen musst ja nicht umbedingt Admin sein)
5. Jeden user vor allem die Admins mit zwei Faktor schützen (Man kann unter Systemsteuerung>Sicherheit>Konto zwei Faktor auch für bestimmte user erzwingen)
6. Verbiete, dass deine Admin Kontos ihr Kennwort ändern dürfen. (Damit kannst du evtl. Sicherstellen, dass selbst wenn jemand unbefugt Zugriff erlangt er dich nicht aussperren kann)
7. DOS Schutz in der NAS aktivieren

Es gibt bestimmt noch mehr Dinge, aber die sind mir jetzt auf die schnelle eingefallen.

Viele Grüße,
Jonas

 

[harry88]

Vielen Dank Jonas fuer die ausfuehrliche Rueckmeldung(HowTo)!