Hyper Backup Hyper-Backup Zusammenhang client-seitige Verschlüsselung <> Übertragungsverschlüsselung

[karl3344]

Hallo,

ich sichere die Daten meiner DS220+ per Hyper-Backup vollständig auf meiner alten DS215j die beide im gleichen lokalen Netzwerk sind.

Dabei habe in HyperBackup auf der DS220+ die "client seitige" Verschlüsselung und auch die "Übertragungsverschlüsselung" aktiviert.
Nun frage ich mich, ob die "Übertragungsverschlüsselung" überhaupt einen Sicherheitsvorteil bedeutet. Da ich ja schon Client-seitig auf der DS220+ die Daten verschlüssele bevor sie über LAN zur DS215j geschickt werden, ist eine Übertragungsverschlüsselung doch kein zusätzlicher Sicherheitsgewinn, richtig? Damit würde ich doch die bereits verschlüsselten Pakete nochmal verschlüsseln und dann auf der DS215j wieder entschlüsseln.

Ist das korrekt?

Ich frage weil die DS215j ja keine HW-Beschleunigung für die Verschlüsselung hat und damit sehr langsam ist wenn die Übertragungsverschlüsselung aktiv ist. Daher würde ich die Übertragungsverschlüsselung wieder deaktivieren und nur noch die Client-seitige Verschlüsselung angeschaltet lassen, solange das keinen Nachteil in der Sicherheit bedeutet.

 

[Sequoia]

Kann dazu Jemand was sagen? Das würde mich auch interessieren.

 

[Thonav]

Doppelt bringt hier definitiv nicht mehr.

 

[Sequoia]

Würde denn "nicht doppelt" mehr bringen?
Eben, wie @karl3344 im letzten Abschnitt sagte?

 

[luddi]

Die Dokumentation besagt Folgendes:

Die Verschlüsselung der Übertragung wird nur unterstützt, wenn der Zielserver verschlüsselte Netzwerksicherung unterstützt und das Authentifizierungskennwort nicht leer ist.

Es geht hier primär darum die Anmeldung sprich die Authentifizierung mit User und Passwort verschlüsselt zu übertragen.
Auf der einen Seite werden die bereits verschlüsselten Daten auf einem unverschlüsselten Weg übertragen, mit denen wie Ihr bereits erwähnt niemand etwas anfangen kann.
Was aber passiert, wenn jemand die Authentifizierung abgreift und somit Zugriff auf das Zielsystem bekommt?

Ähnliches müsstet ihr doch auch von z. B. E-Mail-Programmen kennen. Hier kann auch gewählt werden, ob die Anmeldung auf dem Server verschlüsselt oder im Klartext erfolgt.

Also aus meiner Sicht geht es hier nicht um eine doppelte Absicherung, denn das eine hat mit dem anderen erst einmal nichts direkt zu tun.

 

[karl3344]

Hallo zusammen,

das was @luddi schreibt ist auch das was der Synology Support mitgeteilt hat - die "doppelte" Verschlüsselung verschlüsselt in dem Falle immernoch die Anmelde-Authentifizierungsdaten und alle anderen Informationen die das eine NAS mit dem anderen teilt neben den eigentlichen Backup-Daten.
Man könne damit auch "Man-in-the-middle" Attacken vermeiden wo dem NAS ein anderes Backup-NAS als Ziel vorgegaukelt würde.
Ich habe die Übertragungsverschlüsselung aber nun nicht mehr aktiv, denn im "eigenen" LAN ist der Mehrwert gegenüber dem Geschwindigkeitsverlust vernachlässigbar für mich.

Die Authentifizierung an der anderen Synolgy halte ich jetzt nicht für kritisch selbst wenn es abgefangen werden würde in meinem Fall. Da es keine anderen Freigaben auf dem NAS gibt die mit dem User zugreifbar wären. Es ist damit nur der Backup-User verknüpft und diese Daten sind dann ja alle auf dem Ziel verschlüsselt.