NAS Sicherheit erhöhen

[Wimac]

Die ein oder anderen haben vielleicht schon mal in dem Kaufberatungsthread von mir gelesen in dem mir von Euch immer so tatkräftig geholfen wird. Zu diesen ganzen Dingen die ich dort schon beschrieben und gefragt habe, treibt mich aber vor allem ein größeres Thema beim NAS um. Thematisch finde ich es recht komplex, weswegen ich dem ganzen einen eigenen Thread spendieren möchte.

Ich habe mich anfänglich viel damit beschäftigt wie ich ein NAS einigermaßen sicher betreiben kann. Es gibt hierzu jede Menge Einstellungen und auch Vorschläge im Forum oder Web was man beachten sollte. So weit, so gut.

Was ich allerdings bisher völlig außer acht gelassen habe, ist die physische Sicherheit meines NAS. Es ist ja gut und schön das ein Zugriff von "außen" schwierig ist, nützt mir aber alles nichts wenn der Zugriff von "innen" erfolgt und einfach jemand das NAS bei mir vom Schrank holt und mitnimmt. Oder aber, was hoffentlich eher der Fall sein wird als ersteres, ich mal eine Festplatte einschicken muss. Sprich es geht mir einerseits um die Verschlüsselung, andererseits um den physischen Schutz des NAS.

Nun gibt es dazu einige Threads im Forum, einige älter andere jünger, so ganz geben sie mir aber noch nicht die Antworten die ich suche. Zu mal sich die meisten auf eine Zeit beziehe wo man "nur" Ordner verschlüsselt hat und nur einige wenige Einträge sich mit dem Volume verschlüsseln beschäftigen (muss ich wirklich dafür das Volume neuaufsetzen?).

Bevor ich Euch aber nun mit Fragen dazu torpediere wie ich das am besten angehe mit dem Verschlüsseln und der weiteren physischen Sicherheit, wollte ich einfach mal fragen, was denkt ihr? Notwendig oder nicht? Viel Aufwand und wenig Nutzen? Oder doch etwas ganz anderes? Mich würde tatsächlich mal die "allgemeine Meinung" zu dem Thema intessieren.

EDIT: sollte der Thread im völlig falschen Unterforum sein, darf er gerne verschoben werden. Ich war mir etwas unsicher.

 

[metalworker]

Also das mit dem Thema Verschlüsselung ist wirklich so nen Ding für sich.

Ich persönlich setzte lieber auf nen Physichen Schutz .
Denn ich hab immer gern meine Daten unverschlüsselt da.
Hab da bedenken die Daten wieder zu bekommen.

Hab es bei einer Firma erlebt.
Die hatten Ihr Backup verschlüsselt .Und beim Restore gabs dann Probleme weil nicht nichtig entschlüsselt wurde. Gab nen Bug in der Software.

 

[ctrlaltdelete]

Ich habe die mir wichtigen Ordner verschlüsselt, damit sind für mich die Daten bei Diebstahl oder wenn ich die HDD einschicken muss safe.
Es gibt HDD mit Verschlüsselung:
https://www.seagate.com/files/staticfiles/support/docs/manual/Interface manuals/100515636c.pdf
https://www.seagate.com/files/www-c...e-erase-deployment-options-tp627-2-1502de.pdf
https://geizhals.de/seagate-exos-x-x20-20tb-st20000nm000d-a2648745.html

 

[Wimac]

auf nen Physichen Schutz

Wobei mir dazu tatsächlich auch nicht viel einfällt, außer Serverschrank irgendwo verankern und abschließen?

weil nicht nichtig entschlüsselt wurde

Das wäre natürlich fatal.

Ich habe die mir wichtigen Ordner verschlüsselt

Natürlich auch eine Lösung, wobei mir der Unterschied noch nicht ganz klar ist. Natürlich habe ich vermutlich etwas weniger Leistungseinbußen, wenn ich nur Ordner statt alles verschlüssel. Ich muss mir dann aber auch immer wieder überlegen, was ich verschlüsseln möchte und was nicht.

 

[metalworker]

ja viel mehr als abschließen mach ich da auch nicht.
Aber klar mit ner Flex und Zeit bekommst den auch auf.

Datenschutz und Datensicherheit ist leider schwer miteinadner zu verbinden.

 

[peterhoffmann]

wenn der Zugriff von "innen" erfolgt

Ohne Verschlüsselung hat jeder, der sie mitnimmt Zugriff auf alle deine Daten.
Ich sehe ein NAS (mit unverschlüsselten Daten) als offenen Tresor, ein Zugriff ist möglich, sobald die Person im Raum ist.

wo man "nur" Ordner verschlüsselt hat und nur einige wenige Einträge sich mit dem Volume verschlüsseln beschäftigen

Ordnerverschlüsselung:
Ein altbewährtes System, welches einwandfrei funktioniert. Es ist auch eine automatische Entschlüsselung über ein Script möglich, wo sich das Script die Passwortteile aus verschiedenen Quellen zusammensucht.
Im Forum gibt es dazu das Script, sowie tolle Ideen wie man das sicher gestaltet (Passwortteile intern und extern verteilt, z.B. intern auf einem USB-Stick, Fritzbox und extern z.B. auf einem Webserver.).
Wenn da jemand das NAS mitnimmt und bei sich dann einschaltet, fehlen dem System Passwortteile und die Entschlüsselung ist unmöglich.

Volumenverschlüsselung:
Ich sehe da kaum bis keine Vorteile, eher Nachteile. Ich habe es einmal zum Testen ausprobiert. Soweit ich mich noch erinnere, war schon das Problem, dass man dem NAS das Passwort "anvertrauen" muss, wenn man es ihm entzieht (Konsole), macht das System sofort Ärger und läuft nicht mehr. Ein ähnlich sicheres System wie bei der Ordnerverschlüsselung war nicht möglich.

das Volume neuaufsetzen?

Ja. Soweit ich das noch in Erinnerung habe, geht die Volumenverschlüsselung nur beim Anlegen eines Volumes.

Backup verschlüsselt

Einer Backupverschlüsselung von einem externen Tool würde ich auch nicht vertrauen, da man vom Hersteller des Tools und seiner Arbeit abhängig ist.
Ganz im Gegensatz zu der Ordnerverschlüsselung auf dem NAS, da kommt eCryptfs zum Einsatz, welches in Linux seit sehr langer Zeit der Standard für Verschlüsselung ist. Das läuft auf sehr vielen Maschinen weltweit.

außer Serverschrank irgendwo verankern und abschließen?

Wie lange soll so ein dünner Blechkasten einem Kuhfuß standhalten?
Wenn du auf physische Sicherheit setzen willst, musst du dir einen Tresor mit 300kg kaufen.

 

[Thonav]

Ich kann Dir ja einmal mein Szenario vorstellen. Mein Ordner Dokumente ist der Einzige gemeinsame Ordner der verschlüsselt ist. Dieses komplizierte Passwort ist das gleiche, welches ich für meine Admin Zugang verwende und das habe ich im Kopf. Falls jemand also meine DS, die absolut unauffällig in einer "Abstellkammer" steht, stehlen sollte und der Dieb die DS zurücksetzt, hat er lediglich Zugriff auf meine Musik und ein paar anderer Medien, aber meine Dokumente wird er definitiv nicht einsehen können.
Der Dokumente Ordner wird auch verschlüsselt in Backups gesichert - für die anderen Medien ist das bei mir nicht so. Fertig.

 

[peterhoffmann]

Dieses komplizierte Passwort ist das gleiche, welches ich für meine Admin Zugang verwende und das habe ich im Kopf.

Da hätte ich die Bedenken, dass man das PW für das DSM irgendwo doch extrahieren kann. Dann hat der Dieb gleichzeitig Zugriff auch auf den Dokumentenordner. Ja, das Szenario ist schon etwas komplizierter, aber denkbar und möglich.

 

[Wimac]

Datenschutz und Datensicherheit ist leider schwer miteinadner zu verbinden.

Das hatte ich fast befürchtet.

Ein altbewährtes System, welches einwandfrei funktioniert.

Bedeutet also, mal frei übersetzt für mich, du würdest eher dazu tendieren jeden Ordner einzeln zu verschlüsseln, als das gesamte Volume?

Die Skripts mit einer Fritzbox hatte ich gesehen, da war initial auch mal meine Idee etwas davon zu adaptieren.

Wenn du auf physische Sicherheit setzen willst, musst du dir einen Tresor mit 300kg kaufen.

Das ist so ein wenig der Punkt. Meine ursprüngliche Idee war tatsächlich mal zu verschlüsseln und ein Backup zu haben, welches nicht verschlüsselt ist, für den von @metalworker geschilderten Fall. Dieses Backup würde dann im Tresor landen (den ich berufsbedingt sowieso benötige). Da kann ich nur schlecht das NAS reinstellen...

 

[peterhoffmann]

Bedeutet also, man frei übersetzt für mich, du würdest eher dazu tendieren lieber jeden Ordner einzeln zu verschlüsseln, als das gesamte Volume?

Das ist die komfortabelste Art es umzusetzen. Du bist flexibel durch das Anlegen der Ordner, jederzeit kannst du alles ändern, umkopieren, ver- und entschlüsseln, usw.

etwas davon zu adaptieren

Mache das zuerst mit einem Testordner, lege ein paar Testdaten rein, teste das ein paar Tage oder Wochen und suche deinen Workflow. ;-)

 

[Thonav]

Da hätte ich die Bedenken, dass man das PW für das DSM irgendwo doch extrahieren kann. Dann hat der Dieb gleichzeitig Zugriff auch auf den Dokumentenordner.

Hinzu kommt ja auch noch 2FA und Geoblocking und Benutzersperrung bei Falscheingabe. Also um da draufzukommen bedarf es schon sehr viel Geduld... Kannst gerne mal versuchen - ich leihe Dir gerne eine der DS923+

 

[NSFH]

Was für eine unsinnige Äusserung: Datenschutz und Datensicherheit ist leider schwer miteinadner zu verbinden.
Das kann man nur äussern wenn man keine Ahnung hat!

Das Gegenargument ein verschlüsseltes Backup konnte nicht eingespielt werden. Wenn die IT so blöd war nicht stichprobenartig Backups einzuspielen liegt das Problem woanders, auch wenn die Software schuld war. Auch hier: Leute mit keiner Ahnung oder fahrlässig.

Die beste Lösung zur Verschlüsselung ist ganz klar die Verschlüsselung des Volumes. Davon merkt dann der Anwender nichts und es ist sicher.
Nachteil der Ordner Verschlüsselung: Man hat nur noch ca 160 Zeichen für den Dateinamen. Hört sich viel an, ist aber ruckzuck verbraucht, wenn man sich komplexe Speicherpfade ansieht.
Ausserdem sollte man sich gut überlegen eine unverschlüsselte HD als Garantiefall einzuschicken!

 

[Wimac]

Verschlüsselung des Volumes.

NAS das Passwort "anvertrauen" muss, wenn man es ihm entzieht

Würde ja aber bedeuten dass ich damit leben muss, oder? Das klingt jetzt nicht so gut, wenn es da nicht inzwischen andere Lösungen geben sollte.

 

[peterhoffmann]

2FA und Geoblocking und Benutzersperrung

Wir reden ja über Diebstahl vom NAS. Ich muss mich also mit 2FA, Geoblocking und Sperrung nicht herumärgern, sondern habe direkten Zugriff auf das Dateisystem. Einzig dein Dokumentenordner ist noch verschlüsselt.
Und daher habe ich geschrieben, dass ich die Vergabe des gleichen Passworts für DSM und verschlüsselten Ordner als kritisch betrachte. Wenn ich durch den direkten Zugriff auf das ganze Dateisystem doch irgendwie das Passwort für das DSM herausbekomme (bisher nie probiert), habe ich gleichzeitig das Passwort für deinen verschlüsselten Ordner.

Daher würde ich eine Vergabe von verschiedenen Passwörtern vorziehen.

 

[alexhell]

Ausserdem sollte man sich gut überlegen eine unverschlüsselte HD als Garantiefall einzuschicken!

Ich würde überhaupt nie eine Festplatte einschicken. Wenn dann nur nach ordentlicher Formatierung.

 

[Thonav]

Alles Gut, mein lieber @peterhoffmann - wir sind uns doch eh einig, dass man sich absichern sollte, wo es nur geht und wo es auch Sinn macht. Aufwand und Nutzen sollte in einem vernünftigen Verhältnis stehen. Nicht jeder hat die Zugangsdaten für einen Atomsprengkopf auf seiner DS. Mag aber sein, dass der ein oder andere zig illegale Downloads auf seiner DS bunkert und da muss man natürlich extrem vorsichtig sein.

 

[metalworker]

Was für eine unsinnige Äusserung: Datenschutz und Datensicherheit ist leider schwer miteinadner zu verbinden.
Das kann man nur äussern wenn man keine Ahnung hat!

Das Gegenargument ein verschlüsseltes Backup konnte nicht eingespielt werden. Wenn die IT so blöd war nicht stichprobenartig Backups einzuspielen liegt das Problem woanders, auch wenn die Software schuld war. Auch hier: Leute mit keiner Ahnung oder fahrlässig.

Die beste Lösung zur Verschlüsselung ist ganz klar die Verschlüsselung des Volumes. Davon merkt dann der Anwender nichts und es ist sicher.
Nachteil der Ordner Verschlüsselung: Man hat nur noch ca 160 Zeichen für den Dateinamen. Hört sich viel an, ist aber ruckzuck verbraucht, wenn man sich komplexe Speicherpfade ansieht.
Ausserdem sollte man sich gut überlegen eine unverschlüsselte HD als Garantiefall einzuschicken!

Sorry das ist absoluter Blödsinn den du da schreibst .
Das du da wieder jeden als dumm bezeichnest der nicht deiner Meinung ist , ist ja nix neues .

Und in dem von mir geschilderten Fall hatte die IT sehr wohl Ahnung . Und auch dort wurden Backups getestet . Genau dabei ist das Problem ja aufgetreten .

Aber mal wieder ohne Sinn und Verstand rumpöbeln

 

[Wimac]

Also irgendwie scheinen meine aktuellen Fragen gerne zu Unruhe zu führen, das tut mir wirklich Leid!

dass man dem NAS das Passwort "anvertrauen" muss, wenn man es ihm entzieht

Ich habe dazu bei der Recherche gerade noch dieses gefunden von @Synchrotron. Das ist vermutlich das beschriebene Problem oder?

 

[metalworker]

Nee alles gut .

Es gibt da verschiedene Ansichten.
Was ja grundlegend auch normal ist .

Am Ende musst du für dich
Erstmal bewerten wie wichtig ist das niemand an die Daten kommt .
Wie wichtig ist das die Daten nicht verloren gehen .
Wie dein Wissen ist
Wie hoch dein Budget dafür .


Und danach dann deine Strategie entwickeln .

 

[Rotbart]

Ich nutze eine Vollverschlüsselung wobei der Schlüssel auf einem Kmip-Server liegt.Das läuft in einer VM ( ein Raspi reicht da auch dafür) welcher an einem anderen Standort steht und nur intern erreichbar ist.Damit kann ich eigentlich ruhig schlafen.