Nach Verschlüsselung meines HOMES Ordner - keine Berechtigungen mehr meine Daten zu sehen!?

[metalworker]

Na du hast dir ja schon Gedanken gemacht. Das ist ja löblich.
Und das Thema ist auch sehr komplex .
Aktuell bauen wir dazu im Forum wieder ein Wiki auf , um da einen Leitfaden zu geben.
Und bei einigen Themen braucht es auch Jahre bis man die Erfahrung und das Nötige wissen hat alles zu verstehen .

Leider wird von den NAS Hersteller da einiges als leichter Dargestellt als es eigentlich ist.

Beim Thema Quickconnect . Das ist halt so nen ding für sich.
Praktisch zu nutzen , von der Sicherheit und Perfomance eher schwierig .
Sicherer aber als wenn einer alle Ports öffnet ohne zu wissen was er tut.
Aber auch da gibt es unter den Profis unterschiedliche Meinungen ;-)

 

[*kw*]

@Bierbaron: das Kind ist ja nicht in den Brunnen gefallen und Respekt für deine Selbstreflexion. Es gibt andere, die hätten hier schmollend und beleidigt reagiert.

Aber genau dafür habe ich den Leitfaden erstellt. Das ist keine Anleitung, sondern soll den -vorrangig neuen - Usern helfen, sich im „NAS-Dschungel“ zu orientieren, Denkanstöße zu geben.

Und ja, nicht gleich nach den ersten Fahrstunden versuchen, einen „Wheely“ zu machen, erstmal lernen, geradeaus zufahren.
So, jetzt Gang rein und langsam Kupplung kommen lassen…

 

[stevenfreiburg]

@Ronny1978 Ich kann mich deiner Meinung insofern anschließen, dass das Thema Verschlüsselung wirklich ein Thema wert ist, weil es viele Aspekte beinhaltet und jeder dazu einige Entscheidungen treffen sollte.
Auch diesbezüglich nichts zu unternehmen, sollte bestenfalls eine bewusste Entscheidung sein und nicht nur "Unterlassung oder Ahnungslosigkeit".


Positiv ausgedrückt, ist Synology diesbezüglich "auf einem guten Weg", immerhin gibt es die Verschlüsselung des gesamten NAS, zusätzlich können Admins Ordner verschlüsseln.

Ich persönlich finde die Volumenverschlüsselung wichtig, denn wer mag schon gerne im Garantiefall unverschlüsselte Festplatten einsenden?
Für eine Festplatte, die durch einen Schlag mit dem Hammer unleselich gemacht wurde, wird es kaum Garantieleistungen geben .
Und solange mir niemand zeigen kann, wie ich ERASE mit einer defekten unverschlüsselten Festplatte durchführen kann, ist für mich die Volumenverschlüsselung alternativlos um Garantieleistungen in Anspruch nehmen zu können.

Volumenverschlüsselung muss man allerdings direkt beim Einrichten des NAS aktivieren - oder eben nicht.
Das Synology Besitzer, die diese verhältnismäßig neue Funktion durch ein Update erhalten haben, etwas angekäst sind, kann ich gut verstehen; wer mag schon gerne sein voll eingerichtetes NAS und gut laufendes NAS platt machen nur um die Volumenverschlüsselung einzuschalten?


Ordnerverschlüsselung kann nur von Admins genutzt werden und sollte -wenn überhaupt- nur für Ordner in Betracht gezogen werden, die nicht gemeinsam oder von Apps genutzt werden.
Was passiert, wenn man das nicht weiß, kann man hier lesen.
@*kw* , wäre vielleicht einen Hinweis im Nutzerleitfaden wert?

Verschlüsselungen für User ist von Synology grundsätzlich nicht vorgesehen.
Das kann/muss jeder User selbst auf seinem Linux/Windows/Android/ios/ machen, z.B. mit "Cryptomator". Leider kann Synology nicht mit verschlüsselten Daten von Cryptomator und Veracrypt umgehen.
Packen/Entpacken verschlüsselter Zip//7zip Dateien ist möglich, das ist dann aber auch schon alles.

 

[*kw*]

@stevenfreiburg: ein Hinwies steht unter Pkt. 4 Sicherheit schon drin, lesen und Schlüsse ziehen muss der User selbst; im Zweifel fragen. Ansonsten hätte ich die Syno-kb gleich mit übernehmen können.

 

[stevenfreiburg]

Wie gesagt ist es aber auch so das man sich gerade am Anfang in diesem NAS-Kosmos erst einmal zurechtfinden muss. Man möchte einerseits bestmöglich auf Sicherheit achten, ist andererseits aber schnell überfordert, weil es so viele Informationen und „Best Practices“ gibt.

.

Stimme ich voll zu.
Am Ende musst du selbst alle Entscheidungen treffen. Das geht wiederum aber nur, wenn du Optionen kennst und Risiken realistisch abschätzen kannst.
Insofern ist ein NAS, das am Internet hängt, definitiv nix für Leute, die ohne viel Fachwissen einfach loslegen wollen.

Ich habe fast 15 Jahre lang Spass mit meinem NAS gehabt und nix ist passiert.
Dann war alles auf einmal verschlüsselt, allerdings nicht von mir.
Die wollten 0,4 Bitcoin haben zum Entschlüsseln.

Das hieß für mich: "go back to start" und lerne!

Ergebnis: Ich verlagere grade alle öffentlich zugänglichen Dienste in eine virtuelle DSM und mache das Hauptsystem nur über Heimnetz und VPN erreichbar.

 

[*kw*]

Ich antworte mal mit einem Leitfaden "light":

• NAS nicht selbsterklärend oder kinderleicht
• eine Lernkurve, der ihr euch stellen müsst (beinhaltet lesen )
• Grundwissen anzueignen und die Zusammenhänge zu verstehen.
• an sicheren Betrieb denken
• Viele verwechseln die DS mit einer Cloud, bzw. wollen sie zu einer machen --> Im Zweifel, NEIN!
• Die externe Bereitstellung von Anwendungen oder Webseiten sollte lieber über einen professionellen Webhoster abgewickelt werden
• Kein Backup, kein Mitleid.

Edit: ich habe den letzten Satz gestrichen, weil er missverständlich war. Aber das Geschriebene sollte für alle Grundgedanke bei einer Anschaffung sein.

 

[Bierbaron]

Ergebnis: Ich verlagere grade alle öffentlich zugänglichen Dienste in eine virtuelle DSM und mache das Hauptsystem nur über Heimnetz und VPN erreichbar.

So, und dann frage ich jetzt einfach mal ganz offen und direkt: Wie kann man so etwas aufsetzen?

Weiterführend würde mich außerdem interessieren, wie es in so einem Fall mit der Benutzerfreundlichkeit aussieht. Als einfaches Anfängerbeispiel werfe ich hier mal Synology Photos in den Ring – eine Funktionalität, die meine Frau und ich sehr schätzen und gerne so einfach wie möglich nutzen möchten.

Ich bin ein privater Anwender, der einfach keine Lust mehr hat, dass seine Daten (z. B. Fotos) irgendwo bei Apple, Google oder sonstigen Anbietern gespeichert werden. Stattdessen möchte ich sie in meiner eigenen Wohnung haben – gleichzeitig aber auch unterwegs darauf zugreifen können. Idealerweise soll das Ganze in einem (mehr oder weniger) ansprechenden UI funktionieren.

Ist das mit einer Lösung, wie du sie anstrebst, ebenfalls möglich? Mir fehlt schlichtweg die Vorstellungskraft, wie das technisch umgesetzt wird und ob ich es genauso nutzen kann, wie ich es aktuell (zum Start) eingerichtet habe.

 

[*kw*]

keine Lust mehr hat, dass seine Daten (z. B. Fotos) irgendwo bei Apple, Google

Genau das ist die Intention von vielen, bedeutet aber gleichzeitig den gewagten Schritt der "Selbstabsicherung". Die einfachste Variante ist eine VPN-Verbindung zu deinem Router, bspw. mittels WirgeGuard und dann verhält sich alles so, wie im Heimnetz.

Hierzu quillt das Forum über vor Infos.

PS: ich fange einfach mal "harmlos" mit dem Thema an, weil ich es so nutze. Es gibt andere, aber durch aufwändigere Lösungen. Grundhaltung: Leitfaden Nr. 4

Edit: PPS: würde ich dann aber separat abhandeln, denn wer kommt schon von Verschlüsselung im Titel auf VPN...

 

[Ronny1978]

Ich verlagere grade alle öffentlich zugänglichen Dienste in eine virtuelle DSM

Ich bin jetzt etwas am überlegen, wie dich das vor Verschlüsselung schützt? Wenn du PCs und Handy Zugriff gewährst und das vDSM auch Zugriff auf Ordner des Hauptsystems hat, wo ist der Schutz? Sorry - ich stehe hier wahrscheinlich auf dem Schlauch.

@Bierbaron : Zum Thema Sicherheit wirst du am meisten die Empfehlung VPN am Router (meist Fritzbox und Wireguard) finden. Du stellst die VPN am / an den Handy(s) zum Router her und in den Applikationen (Fotos/Drive/File/usw.) nutzt du die interne Adresse des NAS. Sobald die VPN aktiv ist, finden sich Handy und NAS und die Zugriffe klappen wie gewohnt.

Ist für dich und deine Frau mit Sicherheit am einfachsten und auch am sichersten. Da du noch am Anfang stehst, werden wahrscheinlich andere Empfehlungen (Reverse Proxy o.ä.) dich überfordern.

Dann war alles auf einmal verschlüsselt, allerdings nicht von mir.

Das lag aber wahrscheinlich am Nutzer und nicht am NAS, oder? Und die Volumen oder Ordnerverschlüsselung hätte dich da doch nicht gerettet, oder?

Ich persönlich finde die Volumenverschlüsselung wichtig, denn wer mag schon gerne im Garantiefall unverschlüsselte Festplatten einsenden?

Da hast du natürlich recht. Aber bei wie vielen Neulingen kommt der Garantiefall (Festplatte innerhalb der Frist kaputt) zum Einsatz? Und zum Schluss finde ich den "Abfluss" an Daten schlimmer und werde im Zweifelsfall den großen Firmen (Seagate, WD und Toshiba oder auch Synology) vertrauen müssen, dass sie sich an Ihre QS Richtlinien zum Thema Datenschutz halten und die Daten der defekten, zurückgeschickten Platten nicht auslesen. Misstrauen ist ja nicht schlimm, aber nicht immer erforderlich. Und was machst du, wenn die Daten auf einer verschlüsselten Platte verschlüsselt werden? Kann da ein Datenrettungsdienst was machen? Frage bleibt meinerseits - mangels Wissen - offen. ;-)

@*kw* danke für die Mühe mit dem Leitfaden.

 

[TRON71]

Moin ihr fleißigen

Edit: PPS: würde ich dann aber separat abhandeln, denn wer kommt schon von Verschlüsselung im Titel auf VPN...

@*kw*, natürlich ich.

Bin aktuell dabei über meine Fritte genau das einzurichten und dafür nutze ich den Leitfaden und die Suche.
Meine Sicherungen, Backups und Synchronisierungen laufen seit vorgestern hervorragend im Hintergrund.

 

[Bierbaron]

Zum Thema Sicherheit wirst du am meisten die Empfehlung VPN am Router (meist Fritzbox und Wireguard) finden. Du stellst die VPN am / an den Handy(s) zum Router her und in den Applikationen (Fotos/Drive/File/usw.) nutzt du die interne Adresse des NAS. Sobald die VPN aktiv ist, finden sich Handy und NAS und die Zugriffe klappen wie gewohnt.

Ist für dich und deine Frau mit Sicherheit am einfachsten und auch am sichersten. Da du noch am Anfang stehst, werden wahrscheinlich andere Empfehlungen (Reverse Proxy o.ä.) dich überfordern.

Grüß Dich Ronny,

also muss ich (um das so aufzusetzen):

1. Quickconnect deaktiveren
2. VPN Wireguard in meiner Fritzbox für Smartphone Frau + meins aktivieren
3. Bei Photos & Drive neu anmelden aber mit der IP und NICHT mit Quickconnect

Sollten wir dann künftig bspw. unterwegs + somit nicht im Heimnetzwerk sein und auf Photos zugreifen wollen entsprechend via Wireguard am Smartphone VPN aufbauen und dann die App öffnen.

Verstehe ich richtig das es das dann eigentlich schon ist?

 

[*kw*]

@Bierbaron: die Fritzbox legt pro User (wenn man das trennen möchte) eine Individualverbindung an. Du musst dann nur in der WG-App die Verbindung einrichten, starten und los geht‘s

 

[Ronny1978]

So ist es. Quickconnect ist immer die bequeme Methode. Wobei ich hier noch einwerfen muss, dass es auf den Anschluss, wo die Fritzbox dran hängt, ankommt. Bei IPv6 und/oder DS-Lite wird es mit unter etwas komplizierter. Daher vorerst erst VPN einrichten und schauen, dass alles läuft. Dann erst Quickconnect deaktivieren, sonst droht evtl. Ärger mit der Frau, wenn was nicht geht -> Happy wife, happy life.

 

[wegomyway]

Stell das in der mobilen App so ein, daß wenn Du dein WLAN verlässt, der WG-Tunnel sich aktiviert.
Mit der App "WG Tunnel" auf Android und iOS geht dieses einzustellen. Da brauchst dann nicht daran denken es zu aktivieren. Man sieht oben rechts oder links ein Schlüssel-Symbol wenn aktiver VPN

 

[metalworker]

Zum Thema Verschlüsseln und Virtueller DSM .

Der Sinn ist dort einfach die Trennung .
Ich mache das bei mir ähnlich . Nur das ich da halt einfach ne 2. Synology für externe Dienste wie Photos und co habe.
Synology Photos und Drive sind bei mir Extern einfach übern RP zu erreichen. 2FA und co natürlich alles an.
Und die Synology sitzt in ner DMZ , wie auch der NGINX .

Dann hab ich nen Haupt NAS , wo ich kritische Daten habe. Dieses liegt bei mir im "normalen" Lan.
Dazu hab ich noch ein Backup NAS , was in nem Managment LAN liegt.Und sich per Pull Backup die Daten der anderen zieht.
Das ganze über Regeln in der Firewall gelöst.

Effekt :
Selbst wenn es ein Angreifer auf meine Photo Synology schafft. Da kann er dort alles verschlüsseln. Und sich die Daten abziehen.
Aber er kommt nicht aufs Internet Netzt , und erst recht nicht aufs Backup System.


Ähnlich ist der Effekt bei der VDSM .


Ob man den Aufwand soweit treiben will. Das ist nen anderes Thema