DSM 7.2 Fragen zu verschlüsselten Volumes

[Synchrotron]

Die Volumeverschlüsselung ist so sicher, wie du sie selbst machst.

Der eigentliche Schlüssel liegt mit auf der DS - mit ihm wird das Volume entschlüsselt, wenn ein berechtigter Zugriff erfolgt. Damit ist die Frage die, wie gut sind die User geschützt, die das Volume entschlüsseln, sobald sie selbst eingeloggt sind.

Ordentliche Passwörter vergeben bzw. erzwingen, und am besten 2FA zusätzlich einrichten.

 

[ElaCorp]

Hast du so geheime Daten, dass Du neben einen verschlüsselten Volumen noch eine Ordnerverschlüsselung brauchst?

1. Ich hab den Eidnruck, dass du dich jetzt lsutig darüber machst, dass ich beides verwenden will. Und wenn das eine neu eingefügte eventuell später eine Lücke hat und meine Daten dann offen sind, lachst du dann denjenigen auch ein zweites mal aus? Warum stellst du den die Frage überhaupt? Ist das wichtig für die Antwort? Es hat etwas bewertendes, belehrendes und passiv agressives.
Ohne diese Wörter, wäre deine Frage respektvoller.

2. Hab ne Hausdurchsuchung wegen einer eMail bekommen. Ein Beamter fühlte sich beleidigt. Vor Gericht wurde dies aber komplett eingestellt. Naja, meine Datenträger sind immer noch weg. Willst du denen einfach alles so geben? Ich habe nichts super geheimes, aber in meinen Sachen will ich die nicht so gerne wühlen lassen.

Hier wurde mir bereites deutlich besser geholfen. Ich lese dort die Artikel.
Ich hab nur noch nicht verstanden, warum der Schlüssel auf der Festplatte mir gespeichert wird. Der lässt sich doch easy auslesen, oder?

EDIT: @Synchrotron danke. Ja, hab 2fa und 30 bis 99 Zeichen als PW. bei Benutzer Volume und Ordner. Danke für deine Rückmeldung. Hilft auch den anderen die das über google oder der Suche finden.

 

[Thonav]

Nein, lustig mache ich mich erst jetzt über Deine Ausführungen. Verstehe jetzt, warum Du die Daten so absichern musst.

 

[Synchrotron]

Der Schlüssel liegt im Schlüsseltresor, der selbst verschlüsselt ist. Den kann niemand auslesen.

Seine Benutzung wird freigegeben, wenn sich ein berechtigter Benutzer anmeldet. Damit das System ihn verwenden kann, muss er nicht öffentlich gemacht werden.

 

[Jagnix]

Da finde ich das bei Qnap schöner geregelt. Da kann man das Passwort auch manuell eingeben um das Volume zu entschlüsseln.

 

[Synchrotron]

Der Unterschied erschließt sich mir nicht: Du benötigst immer einer Software, die die eigentliche Verschlüsselungsarbeit macht. An einem Laufwerk selbst kannst du dich nicht anmelden, ohne diese Software-Zwischenschicht.

Ob du dich jetzt mit dem Benutzer "Null" und einem Passwort anmeldest, oder immer mit Benutzer und Passwort ist im Aufwand egal. Aber nicht im Ergebnis: Der Benutzer hat immer auch seine individuellen Zugriffsrechte.

Das heißt das Volume wird entschlüsselt, und es werden dem Benutzer seine freigegebenen Daten bereitgestellt, und nur diese. Das passiert in einem Zug, der Benutzer erlebt nur, dass er Zugriff hat.

Unter Sicherheitsaspekten ist das die bessere Lösung, als einen "Blanko-Zugriff auf alles nur mit einem Passwort.

Wer es auf die Spitze treiben will, der kombiniert noch Ordnerverschlüsselung (zum Beispiel des home-Ordners des Benutzers) mit Volumeverschlüsselung.

Für mich spricht so eine uferlose Entschlüsselung dafür, dass QNAP sich selbst immer wieder sicherheitstechnische "Eier" ins Betriebssystem einbaut. Die holen sie ja regelmässig ein, im Schnitt ale 3-4 Monate kommt die nächste Sicherheitswarnung.

 

[maxblank]

Da finde ich das bei Qnap schöner geregelt. Da kann man das Passwort auch manuell eingeben um das Volume zu entschlüsseln.

Bei QNAP kommen dafür andere bei eingeschaltetem NAS öfters mal an deine Daten ran…

 

[Jagnix]

Deswegen ist Qnap nur noch als BackupNAS innerhalb des Netzwerkes da. Und wird einmal im Monat deswegen angemacht.

 

[Furchensumpf]

Ich klinke mich hier mal sein, das ich für meine Frage keinen extra Thread aufmachen wollte: funktioniert die Verschlüsselung von Volumen auch bei der 218+? Ich finde da widersprüchliche Angaben und bevor ich mir da die Arbeit mache die ds neu einzurichten frage ich lieber...

 

[Synchrotron]

Sollte funktionieren, mit aktuellem DSM.

 

[maxblank]

Laut dieser Liste von Synology aus Juli 2023 unterstützt die DS218+ es nicht.

https://kb.synology.com/de-de/DSM/tutorial/Which_models_support_encrypted_volumes

 

[Furchensumpf]

Das war das, was ich widersprüchlich fand: Auf der einen Seite wurde immer gesagt dass es generell mit DSM 7.2 unterstützt wird - und auf meiner DS218+ läuft ha DSM 7.2...

Eine andere Frage hätte ich da aber noch, ist vielleicht ein kleines Verständnisproblem: Es ist ja so, dass die HDDs erst bein Einloggen auf die DS entschlüsselt werden (Bei Volume-Verschlüsselung). Betrifft das nur das Einloggen über die Web-Oberfläche oder auch das generelle Zugreifen von einem anderen Rechner aus mit Nutzernamen und PW?

 

[plang.pl]

Bei der 218+ kann man das vielleicht nachrüsten: https://www.synology-forum.de/threads/der-freude-thread.113471/page-65#post-1167333

 

[maxblank]

Es ist ja so, dass die HDDs erst bein Einloggen auf die DS entschlüsselt werden (Bei Volume-Verschlüsselung). Betrifft das nur das Einloggen über die Web-Oberfläche oder auch das generelle Zugreifen von einem anderen Rechner aus mit Nutzernamen und PW?

Es kommt darauf an, entweder hinterlegt du den Schlüssel im sogenannten Key Vault und dann wird das Volume nach dem Hochfahren automatisch entschlüsselt oder du musst es manuell nach dem Einloggen entschlüsseln. Dritte Möglichkeit ist noch das Entschlüsseln über einen KMIP-Server (Remote Schlüssel Client in Form eines anderen NAS).

https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/connection_security_kmip?version=7

 

[Furchensumpf]

So, gerade mal eine alte Festplatte in die 218+ eingebaut und das System installiert - nein, eine Verschlüsselung wird nicht angeboten. Gut dass ich das erst mal getestet habe - 10 TB an Daten hätte ich nur ungern für nichts zurückgespielt...^^

Nachrüsten kommt für mich auch nicht in Frage...am Ende überschreibt das ein Update wieder und dann stehe ich da...ne, zu riskant. Und deswegen eine neue DS kaufen schon gar nicht.

 

[ElaCorp]

Ich finde, dass Synology unbedingt USB Festplatten verschlüsseln muss. Sowas ist doch elementar und simpel. Es kann doch nicht sein, dass man Beruflich da was anschließt und das dann darauf offen rumliegt. -.-

 

[Jagnix]

Ich finde, dass Synology unbedingt USB Festplatten verschlüsseln muss.

Meine Backup Jobs auf USB Platten beinhalten immer die Clientseite Verschlüsselung.

 

[Furchensumpf]

Das funktioniert dann aber immer nur mit speziellen externen Festplatten, oder? Am Rechner angeschlossen würde ja noch VeraCrypt gehen...

 

[Jagnix]

Die Clientseitige Verschlüsselung aktivierst du im Backupjob.

 

[Furchensumpf]

Soory, falsche Seite...bitte löschen