DSM 6.x und darunter Passwortgeschützten Ordner auf Fritzbox erstellen für das automatische Entschlüsseln

[1stone]

Hallo,

ich versuche gerade das automatische einhängen von Ordnern mit Hilfe der KeyFiles auf meiner DiskStation einzurichten.
Ich habe ca. 10 verschlüsselte Ordner auf meiner DiskStation und würde die bei einem Neustart der Synology gerne automatisch alle einhängen lassen. Ich habe hier im Forum bereits die Möglichkeit gefunden hierzu die KeyFiles auf einem USB Stick zu sichern, der in der DiskStation eingesteckt ist. Die DiskStation sieht die KeyFiles auf dem Stick und entschlüsselt bei jedem hochfahren automatisch. Da das aber nicht sicher für mich ist, suche ich nach einer anderen Möglichkeit.

Der nächstbeste Tipp den ich im Forum finden konnte und umsetzbar ist, wäre ein USB Verlängerungskabel zu nehmen und den Stick irgendwo zu verstecken. Ich habe hieran auch schon gedacht. Ich besitze eine Fritzbox 7590 und habe auch daran gedacht alternativ den USB Stick mit Verlängerungskabel hieran anzubringen. Allerdings bin ich mir nicht im Klaren, ob dies technisch umgesetzt werden kann, da ich lese, dass die Diskstation das Verzeichnis von der Fritzbox zwar mounten kann, aber nicht für das automatische entschlüsseln nutzen kann.
Ich bin gedanklich jetzt noch einen Schritt weiter gegangen und hätte noch folgende Idee. Dazu müsste es aber zunächst möglich sein, dass Verzeichnisse auf der Fritzbox auf der Diskstation für die Verschlüsselung nutzen zu können:
Ich würde ein verschlüsseltes Verzeichnis auf der Fritzbox/auf einem angeschlossen USB Stick an der Fritzbox erstellen, welches manuell per Passworteingabe gemountet werden müsste und auf dem die KeyFiles abgelegt werden. Da die Fritzbox so gut wie niemals ausgeschaltet wird, wäre das eine einmalige Tätigkeit. Die Frage kann ein solcher verschlüsselter Ordner auf der Fritzbox abgelegt werden und von der Fritzbox gemountet werden? Ich gehe stark davon aus, dass das nicht geht, aber vielleicht bringe ich mit dieser Idee jemanden im Forum auf eine ähnlich Idee, die umsetzbar wäre. Denn sollte nun der Fall eintreten und eine Dritte Person schnappt sich meine Diskstation + meine Fritzbox, müsste zunächst wieder der Ordner auf der Fritzbox entschlüsselt werden, um an die KeyFiles ranzukommen.

Bitte um Rückmeldung, falls jemand hier eine entsprechende Möglichkeit sieht!


Danke und Gruß

 

[Puppetmaster]

Darf man zunächst einmal fragen, was an der Methode eines KeyFiles bzw. eines Teil eines KeyFiles auf der Fritz nicht sicher genug sein sollte?

 

[1stone]

Ich betrachte den Fall, dass ein Dritter die Diskstation + die Fritzbox mitnehmen könnte und mit der KeyFile auf der Fritzbox an einem anderen Ort alles entschlüsseln kann.

 

[Puppetmaster]

Dann schaue dir doch die anderen Threads zu diesem Thema hier im Forum auch noch einmal an. Es steht dir ja frei, z.B. nur Teile des Passworts auf der Fritz zu speichern und die anderen Teile auf anderen Netzwerkgeräten in deinem Netz, z.B. einem RasPi. Hier wird es für den Dieb schon schwierig und wenig attraktiv.

 

[1stone]

Einen RasPi müsste ich dann allerdings erstmal kaufen und auch immer eingeschaltet lassen, damit meine DiskStation bei Bedarf darauf zugreifen kann. Das verteilen des Schlüssels auf zwei Geräte, macht es in meinen Augen für einen Dieb "nur" insofern schwieriger, dass er dann zwei statt einem weiteren Gerät mitnehmen müsste. Die Fritzbox besitze ich bereits und ist sowieso eingeschaltet. Außerdem wäre es für den Dieb nicht mehr möglich auf die KeyFiles zuzugreifen, da diese in meinem beschriebenen Szenario bei einem Neustart der Fritzbox in einem verschlüsselten Ordner abgelegt sind.

 

[frimp]

Ich habe inzwischen nur die USB-Stick-Lösung. Dieser bleibt immer dran solange ich hier bin, wird aber abgezogen wenn ich das Haus über Nacht oder im Urlaub länger verlasse. Bei einem Restart der DS muss man dann halt die Ordner per Hand einhängen, wenn man per Remote zugreifen muss.

Die sinnvollste Lösung wäre ein Gerät wie Handy oder Smartwatch, die die Passphrase speichert. Dies kombiniert mit einer "Remote-Quittung", die bei Abwesenheit auf dem Handy bestätigt werden muss, bevor die Ordner gemountet werden.

 

[Synchrotron]

Auch wenn mir der Handlungsbedarf etwas überzogen erscheint (außer es ist der Backup-Server für den Zugangscode des Bundesbank-Tresors) folgende Idee: Es gibt Adapter, die USB auf Ethernet umsetzen, und zurück. Damit ließe sich der Stick irgendwo im großen Netzwerkbereich anschließen, z.B. an einen kleinen Hub mit Netzteil, und wäre nicht mit irgendeinem (wertigen ) Gerät verbunden. Ich glaube kaum, dass ein Dieb die Hütte danach absucht. Die wollen rein, aber vor allem schnell wieder raus ...

 

[framp]

Gute Idee :thumbsup:

...Ich glaube kaum, dass ein Dieb die Hütte danach absucht. Die wollen rein, aber vor allem schnell wieder raus ...

Otto Normaldieb will so schnell wie moeglich wieder raus mit dem Diebesgut - ausser er hat Insiderwissen dass das Diebesgut ohne den Schluessel wertlos ist.

 

[synfor]

Die Verschlüsselung macht die Hardware aber nicht wertlos.

 

[Puppetmaster]

Aber Aufwand und Wert stehen in keinem für einen Dieb gesunden Verhältnis mehr. Wenn du zu Hause ausser einer DS nichts von Wert hast, dann hast du vielleicht auch irgendwas falsch gemacht in deinem Leben.

Eine DS zu stehlen und zu verhökern könnte auch für den erfahrenen Dieb ein Rohrkrepierer werden. Letztlich muss man sich dabei ja immer bewusst sein, dass der Hersteller anhand von SN das Gerät auch später immer über seine IP orten kann, und wenn du keinen ganz blöden Abnehmer für deine geklaute Ware findest, dann guckst du doch lieber, ob du nicht besser zwei, drei schöne Armbanduhren, Pelzmäntel, Bargeld oder Bilder mitgehen lässt statt hochspezialisierter technischer Geräte von zweifelhaftem Wert.
Aber hier geht's ja anscheinend um den ganz gezielten Datenklau, vor dem der TE Angst hat, denn er geht ja davon aus, dass DS und auch min. der Router noch mitgenommen werden.

 

[1stone]

Ich möchte mich nicht nur vor Dieben schützen. Auch für den theoretischen Fall einer Hausdurchsuchung möchte ich bei Mitnahme meiner Hardware vermeiden, dass meine Daten eingesehen werden können. Ich gehe hierbei davon aus, dass hier alle elektronischen Geräte mit Speichermedien mitgenommen werden können.
Mittlerweile neige ich dann doch zu der Lösung mit einem USB Verlängerungskabel an der Fritzbox. Könnt ihr mir bitte hier mitteilen, ob das automatisch einhängen über ein USBStick an der Fritzbox funktioniert? Leider waren die Kommentare die ich zu dem Thema finden konnte nicht eindeutig.

 

[Puppetmaster]

Hausdurchsuchung...

Also dann doch vielleicht besser gar keine Passwörter speichern und die Ordner immer händisch einhängen. Null Hardwareaufwand und bei weitem die sicherste Methode. So halte ich es übrigens auch.

Noch eine Frage: ist deine DS eigentlich von ausserhalb erreichbar? Kann ja eigentlich gar nicht sein...

----

Du kannst von der DS aus auf den Stick an der Fritte zugreifen, wenn er denn dort freigegeben ist, ja. Ein Skript zum Mounten der verschlüsselten Freigaben auf der DS musst du dann natürlich immer noch selbst zusammenschustern.

 

[frimp]

Weiss man eigentlich, wo dieser ominöse Rechnerschlüssel liegt und ob der zufällig mit dem bekannten Wrapper-PW für die Keyfiles gesichert wird?

 

[Synchrotron]

Datenträger „verstecken“ kann man knicken: https://www.spiegel.de/netzwelt/web...ntraegerspuerhunden-aufruestet-a-1297622.html

Meiner Meinung nach ist in dem Fall ein Backup „woanders“ wichtiger als die Verschlüsselung. Die Einrichtung ist erst mal „weg“ und das kann dauern.

Für die Verschlüsselung reicht ein übliches Programm, ein dort gewählter ordentlicher Algo (AES256 z.B.) plus eine längere Passphrase. Da kann man sich die ganzen technischen Gimmicks sparen.

 

[framp]

... Datenträger „verstecken“ kann man knicken: https://www.spiegel.de/netzwelt/web...ntraegerspuerhunden-aufruestet-a-1297622.html...

Einfach immer eine frische Leber in der Nähe des Sticks lagern. Die wird jeden Stick-Schnueffler vom Stick ablenken

 

[Synchrotron]

Lecker, so mit Apfelscheiben und Zwiebeln - ich glaube nur, die Leber ist dir irgendwann über, wenn 20 Jahre lang keiner deine Haustür eingetreten hat.