NAS Sicherheit erhöhen

Wimac

Benutzer
Contributor
Mitglied seit
29. Nov 2023
Beiträge
74
Punkte für Reaktionen
31
Punkte
68
Die ein oder anderen haben vielleicht schon mal in dem Kaufberatungsthread von mir gelesen in dem mir von Euch immer so tatkräftig geholfen wird. Zu diesen ganzen Dingen die ich dort schon beschrieben und gefragt habe, treibt mich aber vor allem ein größeres Thema beim NAS um. Thematisch finde ich es recht komplex, weswegen ich dem ganzen einen eigenen Thread spendieren möchte.

Ich habe mich anfänglich viel damit beschäftigt wie ich ein NAS einigermaßen sicher betreiben kann. Es gibt hierzu jede Menge Einstellungen und auch Vorschläge im Forum oder Web was man beachten sollte. So weit, so gut.

Was ich allerdings bisher völlig außer acht gelassen habe, ist die physische Sicherheit meines NAS. Es ist ja gut und schön das ein Zugriff von "außen" schwierig ist, nützt mir aber alles nichts wenn der Zugriff von "innen" erfolgt und einfach jemand das NAS bei mir vom Schrank holt und mitnimmt. Oder aber, was hoffentlich eher der Fall sein wird als ersteres, ich mal eine Festplatte einschicken muss. Sprich es geht mir einerseits um die Verschlüsselung, andererseits um den physischen Schutz des NAS.

Nun gibt es dazu einige Threads im Forum, einige älter andere jünger, so ganz geben sie mir aber noch nicht die Antworten die ich suche. Zu mal sich die meisten auf eine Zeit beziehe wo man "nur" Ordner verschlüsselt hat und nur einige wenige Einträge sich mit dem Volume verschlüsseln beschäftigen (muss ich wirklich dafür das Volume neuaufsetzen?).

Bevor ich Euch aber nun mit Fragen dazu torpediere wie ich das am besten angehe mit dem Verschlüsseln und der weiteren physischen Sicherheit, wollte ich einfach mal fragen, was denkt ihr? Notwendig oder nicht? Viel Aufwand und wenig Nutzen? Oder doch etwas ganz anderes? Mich würde tatsächlich mal die "allgemeine Meinung" zu dem Thema intessieren.

EDIT: sollte der Thread im völlig falschen Unterforum sein, darf er gerne verschoben werden. Ich war mir etwas unsicher. :)
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.169
Punkte für Reaktionen
1.133
Punkte
194
Also das mit dem Thema Verschlüsselung ist wirklich so nen Ding für sich.

Ich persönlich setzte lieber auf nen Physichen Schutz .
Denn ich hab immer gern meine Daten unverschlüsselt da.
Hab da bedenken die Daten wieder zu bekommen.

Hab es bei einer Firma erlebt.
Die hatten Ihr Backup verschlüsselt .Und beim Restore gabs dann Probleme weil nicht nichtig entschlüsselt wurde. Gab nen Bug in der Software.
 
  • Like
Reaktionen: Wimac und dil88

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.633
Punkte für Reaktionen
5.809
Punkte
524
  • Like
Reaktionen: Wimac

Wimac

Benutzer
Contributor
Mitglied seit
29. Nov 2023
Beiträge
74
Punkte für Reaktionen
31
Punkte
68
auf nen Physichen Schutz
Wobei mir dazu tatsächlich auch nicht viel einfällt, außer Serverschrank irgendwo verankern und abschließen?
weil nicht nichtig entschlüsselt wurde
Das wäre natürlich fatal. :oops:

Ich habe die mir wichtigen Ordner verschlüsselt
Natürlich auch eine Lösung, wobei mir der Unterschied noch nicht ganz klar ist. Natürlich habe ich vermutlich etwas weniger Leistungseinbußen, wenn ich nur Ordner statt alles verschlüssel. Ich muss mir dann aber auch immer wieder überlegen, was ich verschlüsseln möchte und was nicht.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.169
Punkte für Reaktionen
1.133
Punkte
194
ja viel mehr als abschließen mach ich da auch nicht.
Aber klar mit ner Flex und Zeit bekommst den auch auf.

Datenschutz und Datensicherheit ist leider schwer miteinadner zu verbinden.
 
  • Like
Reaktionen: dil88

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
wenn der Zugriff von "innen" erfolgt
Ohne Verschlüsselung hat jeder, der sie mitnimmt Zugriff auf alle deine Daten.
Ich sehe ein NAS (mit unverschlüsselten Daten) als offenen Tresor, ein Zugriff ist möglich, sobald die Person im Raum ist.
wo man "nur" Ordner verschlüsselt hat und nur einige wenige Einträge sich mit dem Volume verschlüsseln beschäftigen
Ordnerverschlüsselung:
Ein altbewährtes System, welches einwandfrei funktioniert. Es ist auch eine automatische Entschlüsselung über ein Script möglich, wo sich das Script die Passwortteile aus verschiedenen Quellen zusammensucht.
Im Forum gibt es dazu das Script, sowie tolle Ideen wie man das sicher gestaltet (Passwortteile intern und extern verteilt, z.B. intern auf einem USB-Stick, Fritzbox und extern z.B. auf einem Webserver.).
Wenn da jemand das NAS mitnimmt und bei sich dann einschaltet, fehlen dem System Passwortteile und die Entschlüsselung ist unmöglich.

Volumenverschlüsselung:
Ich sehe da kaum bis keine Vorteile, eher Nachteile. Ich habe es einmal zum Testen ausprobiert. Soweit ich mich noch erinnere, war schon das Problem, dass man dem NAS das Passwort "anvertrauen" muss, wenn man es ihm entzieht (Konsole), macht das System sofort Ärger und läuft nicht mehr. Ein ähnlich sicheres System wie bei der Ordnerverschlüsselung war nicht möglich.
das Volume neuaufsetzen?
Ja. Soweit ich das noch in Erinnerung habe, geht die Volumenverschlüsselung nur beim Anlegen eines Volumes.
Backup verschlüsselt
Einer Backupverschlüsselung von einem externen Tool würde ich auch nicht vertrauen, da man vom Hersteller des Tools und seiner Arbeit abhängig ist.
Ganz im Gegensatz zu der Ordnerverschlüsselung auf dem NAS, da kommt eCryptfs zum Einsatz, welches in Linux seit sehr langer Zeit der Standard für Verschlüsselung ist. Das läuft auf sehr vielen Maschinen weltweit.

außer Serverschrank irgendwo verankern und abschließen?
Wie lange soll so ein dünner Blechkasten einem Kuhfuß standhalten?
Wenn du auf physische Sicherheit setzen willst, musst du dir einen Tresor mit 300kg kaufen.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Wimac

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Ich kann Dir ja einmal mein Szenario vorstellen. Mein Ordner Dokumente ist der Einzige gemeinsame Ordner der verschlüsselt ist. Dieses komplizierte Passwort ist das gleiche, welches ich für meine Admin Zugang verwende und das habe ich im Kopf. Falls jemand also meine DS, die absolut unauffällig in einer "Abstellkammer" steht, stehlen sollte und der Dieb die DS zurücksetzt, hat er lediglich Zugriff auf meine Musik und ein paar anderer Medien, aber meine Dokumente wird er definitiv nicht einsehen können.
Der Dokumente Ordner wird auch verschlüsselt in Backups gesichert - für die anderen Medien ist das bei mir nicht so. Fertig.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Dieses komplizierte Passwort ist das gleiche, welches ich für meine Admin Zugang verwende und das habe ich im Kopf.
Da hätte ich die Bedenken, dass man das PW für das DSM irgendwo doch extrahieren kann. Dann hat der Dieb gleichzeitig Zugriff auch auf den Dokumentenordner. Ja, das Szenario ist schon etwas komplizierter, aber denkbar und möglich.
 

Wimac

Benutzer
Contributor
Mitglied seit
29. Nov 2023
Beiträge
74
Punkte für Reaktionen
31
Punkte
68
Datenschutz und Datensicherheit ist leider schwer miteinadner zu verbinden.
Das hatte ich fast befürchtet.

Ein altbewährtes System, welches einwandfrei funktioniert.
Bedeutet also, mal frei übersetzt für mich, du würdest eher dazu tendieren jeden Ordner einzeln zu verschlüsseln, als das gesamte Volume?

Die Skripts mit einer Fritzbox hatte ich gesehen, da war initial auch mal meine Idee etwas davon zu adaptieren.

Wenn du auf physische Sicherheit setzen willst, musst du dir einen Tresor mit 300kg kaufen.
Das ist so ein wenig der Punkt. Meine ursprüngliche Idee war tatsächlich mal zu verschlüsseln und ein Backup zu haben, welches nicht verschlüsselt ist, für den von @metalworker geschilderten Fall. Dieses Backup würde dann im Tresor landen (den ich berufsbedingt sowieso benötige). Da kann ich nur schlecht das NAS reinstellen...
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Caramlo und dil88

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Bedeutet also, man frei übersetzt für mich, du würdest eher dazu tendieren lieber jeden Ordner einzeln zu verschlüsseln, als das gesamte Volume?
Das ist die komfortabelste Art es umzusetzen. Du bist flexibel durch das Anlegen der Ordner, jederzeit kannst du alles ändern, umkopieren, ver- und entschlüsseln, usw.
etwas davon zu adaptieren
Mache das zuerst mit einem Testordner, lege ein paar Testdaten rein, teste das ein paar Tage oder Wochen und suche deinen Workflow. ;-)
 
  • Like
Reaktionen: Wimac

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Da hätte ich die Bedenken, dass man das PW für das DSM irgendwo doch extrahieren kann. Dann hat der Dieb gleichzeitig Zugriff auch auf den Dokumentenordner.
Hinzu kommt ja auch noch 2FA und Geoblocking und Benutzersperrung bei Falscheingabe. Also um da draufzukommen bedarf es schon sehr viel Geduld... Kannst gerne mal versuchen - ich leihe Dir gerne eine der DS923+ :)
 
  • Like
Reaktionen: Wimac

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Was für eine unsinnige Äusserung: Datenschutz und Datensicherheit ist leider schwer miteinadner zu verbinden.
Das kann man nur äussern wenn man keine Ahnung hat!

Das Gegenargument ein verschlüsseltes Backup konnte nicht eingespielt werden. Wenn die IT so blöd war nicht stichprobenartig Backups einzuspielen liegt das Problem woanders, auch wenn die Software schuld war. Auch hier: Leute mit keiner Ahnung oder fahrlässig.

Die beste Lösung zur Verschlüsselung ist ganz klar die Verschlüsselung des Volumes. Davon merkt dann der Anwender nichts und es ist sicher.
Nachteil der Ordner Verschlüsselung: Man hat nur noch ca 160 Zeichen für den Dateinamen. Hört sich viel an, ist aber ruckzuck verbraucht, wenn man sich komplexe Speicherpfade ansieht.
Ausserdem sollte man sich gut überlegen eine unverschlüsselte HD als Garantiefall einzuschicken!
 

Wimac

Benutzer
Contributor
Mitglied seit
29. Nov 2023
Beiträge
74
Punkte für Reaktionen
31
Punkte
68

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
2FA und Geoblocking und Benutzersperrung
Wir reden ja über Diebstahl vom NAS. Ich muss mich also mit 2FA, Geoblocking und Sperrung nicht herumärgern, sondern habe direkten Zugriff auf das Dateisystem. Einzig dein Dokumentenordner ist noch verschlüsselt.
Und daher habe ich geschrieben, dass ich die Vergabe des gleichen Passworts für DSM und verschlüsselten Ordner als kritisch betrachte. Wenn ich durch den direkten Zugriff auf das ganze Dateisystem doch irgendwie das Passwort für das DSM herausbekomme (bisher nie probiert), habe ich gleichzeitig das Passwort für deinen verschlüsselten Ordner.

Daher würde ich eine Vergabe von verschiedenen Passwörtern vorziehen.
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Alles Gut, mein lieber @peterhoffmann - wir sind uns doch eh einig, dass man sich absichern sollte, wo es nur geht und wo es auch Sinn macht. Aufwand und Nutzen sollte in einem vernünftigen Verhältnis stehen. Nicht jeder hat die Zugangsdaten für einen Atomsprengkopf auf seiner DS. :) Mag aber sein, dass der ein oder andere zig illegale Downloads auf seiner DS bunkert und da muss man natürlich extrem vorsichtig sein.
 
  • Haha
Reaktionen: ctrlaltdelete

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.169
Punkte für Reaktionen
1.133
Punkte
194
Was für eine unsinnige Äusserung: Datenschutz und Datensicherheit ist leider schwer miteinadner zu verbinden.
Das kann man nur äussern wenn man keine Ahnung hat!

Das Gegenargument ein verschlüsseltes Backup konnte nicht eingespielt werden. Wenn die IT so blöd war nicht stichprobenartig Backups einzuspielen liegt das Problem woanders, auch wenn die Software schuld war. Auch hier: Leute mit keiner Ahnung oder fahrlässig.

Die beste Lösung zur Verschlüsselung ist ganz klar die Verschlüsselung des Volumes. Davon merkt dann der Anwender nichts und es ist sicher.
Nachteil der Ordner Verschlüsselung: Man hat nur noch ca 160 Zeichen für den Dateinamen. Hört sich viel an, ist aber ruckzuck verbraucht, wenn man sich komplexe Speicherpfade ansieht.
Ausserdem sollte man sich gut überlegen eine unverschlüsselte HD als Garantiefall einzuschicken!

Sorry das ist absoluter Blödsinn den du da schreibst .
Das du da wieder jeden als dumm bezeichnest der nicht deiner Meinung ist , ist ja nix neues .

Und in dem von mir geschilderten Fall hatte die IT sehr wohl Ahnung . Und auch dort wurden Backups getestet . Genau dabei ist das Problem ja aufgetreten .

Aber mal wieder ohne Sinn und Verstand rumpöbeln
 
  • Like
Reaktionen: ottosykora

Wimac

Benutzer
Contributor
Mitglied seit
29. Nov 2023
Beiträge
74
Punkte für Reaktionen
31
Punkte
68
Also irgendwie scheinen meine aktuellen Fragen gerne zu Unruhe zu führen, das tut mir wirklich Leid! :oops:

dass man dem NAS das Passwort "anvertrauen" muss, wenn man es ihm entzieht
Ich habe dazu bei der Recherche gerade noch dieses gefunden von @Synchrotron. Das ist vermutlich das beschriebene Problem oder?
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.169
Punkte für Reaktionen
1.133
Punkte
194
Nee alles gut .

Es gibt da verschiedene Ansichten.
Was ja grundlegend auch normal ist .

Am Ende musst du für dich
Erstmal bewerten wie wichtig ist das niemand an die Daten kommt .
Wie wichtig ist das die Daten nicht verloren gehen .
Wie dein Wissen ist
Wie hoch dein Budget dafür .


Und danach dann deine Strategie entwickeln .
 
  • Like
Reaktionen: Wimac

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.692
Punkte für Reaktionen
617
Punkte
134
Ich nutze eine Vollverschlüsselung wobei der Schlüssel auf einem Kmip-Server liegt.Das läuft in einer VM ( ein Raspi reicht da auch dafür) welcher an einem anderen Standort steht und nur intern erreichbar ist.Damit kann ich eigentlich ruhig schlafen.
 
  • Like
Reaktionen: dil88 und Wimac


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat