DSM 7.2 Fragen zu verschlüsselten Volumes

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Die Volumeverschlüsselung ist so sicher, wie du sie selbst machst.

Der eigentliche Schlüssel liegt mit auf der DS - mit ihm wird das Volume entschlüsselt, wenn ein berechtigter Zugriff erfolgt. Damit ist die Frage die, wie gut sind die User geschützt, die das Volume entschlüsseln, sobald sie selbst eingeloggt sind.

Ordentliche Passwörter vergeben bzw. erzwingen, und am besten 2FA zusätzlich einrichten.
 
  • Like
Reaktionen: Benie und ElaCorp

ElaCorp

Benutzer
Mitglied seit
12. Mai 2015
Beiträge
835
Punkte für Reaktionen
68
Punkte
48
Hast du so geheime Daten, dass Du neben einen verschlüsselten Volumen noch eine Ordnerverschlüsselung brauchst?
1. Ich hab den Eidnruck, dass du dich jetzt lsutig darüber machst, dass ich beides verwenden will. Und wenn das eine neu eingefügte eventuell später eine Lücke hat und meine Daten dann offen sind, lachst du dann denjenigen auch ein zweites mal aus? Warum stellst du den die Frage überhaupt? Ist das wichtig für die Antwort? Es hat etwas bewertendes, belehrendes und passiv agressives.
Ohne diese Wörter, wäre deine Frage respektvoller.

2. Hab ne Hausdurchsuchung wegen einer eMail bekommen. Ein Beamter fühlte sich beleidigt. Vor Gericht wurde dies aber komplett eingestellt. Naja, meine Datenträger sind immer noch weg. Willst du denen einfach alles so geben? Ich habe nichts super geheimes, aber in meinen Sachen will ich die nicht so gerne wühlen lassen.

Hier wurde mir bereites deutlich besser geholfen. Ich lese dort die Artikel.
Ich hab nur noch nicht verstanden, warum der Schlüssel auf der Festplatte mir gespeichert wird. Der lässt sich doch easy auslesen, oder?

EDIT: @Synchrotron danke. Ja, hab 2fa und 30 bis 99 Zeichen als PW. bei Benutzer Volume und Ordner. Danke für deine Rückmeldung. Hilft auch den anderen die das über google oder der Suche finden.
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.896
Punkte für Reaktionen
1.517
Punkte
274
Nein, lustig mache ich mich erst jetzt über Deine Ausführungen. Verstehe jetzt, warum Du die Daten so absichern musst.
 
  • Haha
Reaktionen: ElaCorp

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Der Schlüssel liegt im Schlüsseltresor, der selbst verschlüsselt ist. Den kann niemand auslesen.

Seine Benutzung wird freigegeben, wenn sich ein berechtigter Benutzer anmeldet. Damit das System ihn verwenden kann, muss er nicht öffentlich gemacht werden.
 
  • Like
Reaktionen: ElaCorp

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.238
Punkte für Reaktionen
328
Punkte
109
Da finde ich das bei Qnap schöner geregelt. Da kann man das Passwort auch manuell eingeben um das Volume zu entschlüsseln. ;)
 
  • Like
Reaktionen: ElaCorp

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Der Unterschied erschließt sich mir nicht: Du benötigst immer einer Software, die die eigentliche Verschlüsselungsarbeit macht. An einem Laufwerk selbst kannst du dich nicht anmelden, ohne diese Software-Zwischenschicht.

Ob du dich jetzt mit dem Benutzer "Null" und einem Passwort anmeldest, oder immer mit Benutzer und Passwort ist im Aufwand egal. Aber nicht im Ergebnis: Der Benutzer hat immer auch seine individuellen Zugriffsrechte.

Das heißt das Volume wird entschlüsselt, und es werden dem Benutzer seine freigegebenen Daten bereitgestellt, und nur diese. Das passiert in einem Zug, der Benutzer erlebt nur, dass er Zugriff hat.

Unter Sicherheitsaspekten ist das die bessere Lösung, als einen "Blanko-Zugriff auf alles nur mit einem Passwort.

Wer es auf die Spitze treiben will, der kombiniert noch Ordnerverschlüsselung (zum Beispiel des home-Ordners des Benutzers) mit Volumeverschlüsselung.

Für mich spricht so eine uferlose Entschlüsselung dafür, dass QNAP sich selbst immer wieder sicherheitstechnische "Eier" ins Betriebssystem einbaut. Die holen sie ja regelmässig ein, im Schnitt ale 3-4 Monate kommt die nächste Sicherheitswarnung.
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.435
Punkte für Reaktionen
2.365
Punkte
289
Da finde ich das bei Qnap schöner geregelt. Da kann man das Passwort auch manuell eingeben um das Volume zu entschlüsseln. ;)

Bei QNAP kommen dafür andere bei eingeschaltetem NAS öfters mal an deine Daten ran… 😂😉
 

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.238
Punkte für Reaktionen
328
Punkte
109
Deswegen ist Qnap nur noch als BackupNAS innerhalb des Netzwerkes da. Und wird einmal im Monat deswegen angemacht. :)
 

Furchensumpf

Benutzer
Mitglied seit
19. Mrz 2011
Beiträge
312
Punkte für Reaktionen
10
Punkte
18
Ich klinke mich hier mal sein, das ich für meine Frage keinen extra Thread aufmachen wollte: funktioniert die Verschlüsselung von Volumen auch bei der 218+? Ich finde da widersprüchliche Angaben und bevor ich mir da die Arbeit mache die ds neu einzurichten frage ich lieber...
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Sollte funktionieren, mit aktuellem DSM.
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.435
Punkte für Reaktionen
2.365
Punkte
289

Furchensumpf

Benutzer
Mitglied seit
19. Mrz 2011
Beiträge
312
Punkte für Reaktionen
10
Punkte
18
Das war das, was ich widersprüchlich fand: Auf der einen Seite wurde immer gesagt dass es generell mit DSM 7.2 unterstützt wird - und auf meiner DS218+ läuft ha DSM 7.2...

Eine andere Frage hätte ich da aber noch, ist vielleicht ein kleines Verständnisproblem: Es ist ja so, dass die HDDs erst bein Einloggen auf die DS entschlüsselt werden (Bei Volume-Verschlüsselung). Betrifft das nur das Einloggen über die Web-Oberfläche oder auch das generelle Zugreifen von einem anderen Rechner aus mit Nutzernamen und PW?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.435
Punkte für Reaktionen
2.365
Punkte
289
Es ist ja so, dass die HDDs erst bein Einloggen auf die DS entschlüsselt werden (Bei Volume-Verschlüsselung). Betrifft das nur das Einloggen über die Web-Oberfläche oder auch das generelle Zugreifen von einem anderen Rechner aus mit Nutzernamen und PW?
Es kommt darauf an, entweder hinterlegt du den Schlüssel im sogenannten Key Vault und dann wird das Volume nach dem Hochfahren automatisch entschlüsselt oder du musst es manuell nach dem Einloggen entschlüsseln. Dritte Möglichkeit ist noch das Entschlüsseln über einen KMIP-Server (Remote Schlüssel Client in Form eines anderen NAS).

https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/connection_security_kmip?version=7
 

Furchensumpf

Benutzer
Mitglied seit
19. Mrz 2011
Beiträge
312
Punkte für Reaktionen
10
Punkte
18
So, gerade mal eine alte Festplatte in die 218+ eingebaut und das System installiert - nein, eine Verschlüsselung wird nicht angeboten. Gut dass ich das erst mal getestet habe - 10 TB an Daten hätte ich nur ungern für nichts zurückgespielt...^^

Nachrüsten kommt für mich auch nicht in Frage...am Ende überschreibt das ein Update wieder und dann stehe ich da...ne, zu riskant. Und deswegen eine neue DS kaufen schon gar nicht.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Jagnix

ElaCorp

Benutzer
Mitglied seit
12. Mai 2015
Beiträge
835
Punkte für Reaktionen
68
Punkte
48
Ich finde, dass Synology unbedingt USB Festplatten verschlüsseln muss. Sowas ist doch elementar und simpel. Es kann doch nicht sein, dass man Beruflich da was anschließt und das dann darauf offen rumliegt. -.-
 

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.238
Punkte für Reaktionen
328
Punkte
109

Furchensumpf

Benutzer
Mitglied seit
19. Mrz 2011
Beiträge
312
Punkte für Reaktionen
10
Punkte
18
Das funktioniert dann aber immer nur mit speziellen externen Festplatten, oder? Am Rechner angeschlossen würde ja noch VeraCrypt gehen...
 

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.238
Punkte für Reaktionen
328
Punkte
109
Die Clientseitige Verschlüsselung aktivierst du im Backupjob.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat