Verschlüsselter gemeinsamer Ordner

[sab25]

Hallo,

ich würde gerne ein paar sensible Daten die im Falle eines HDD Defekts (und einschicken der Festplatte) nicht nach außen dürfen auf der Synology speichern.

Dazu ist wohl die verschlüsslung eines gemeinsamen Ordners geeignet.

Gibt es dabei Nachteile? (außer wenn man den Schlüssel vergisst)
Ich hab beispielsweise vorher gesehen das man mit Time Backup wohl nicht auf ein verschlüsseltes Verzeichnis wiederherstellen kann.

 

[Trolli]

Der einzige andere Nachteil der mir einfällt ist halt die deutlich verminderte Performance. Je nach Datenvolumen was da rauf- und runtergeht kann das schon relevant sein.

 

[BavariaR]

Andere Nachteile sind dass, natürlich gewollt, der Ordner wieder verschlüsselt ist (falls Schlüssel nicht permanent angehängt, was ja nicht sinnvoll ist bei Entwendung) wenn die DS neustartet oder aus Hybernate aufwacht. Des weiteren gibt es deshalb auch Schwierigkeiten mit Backup von solchen Ordnern, denn das lokal Backup z.B verschlüsselte Ordner immer nur mit einbezieht wenn sie auch "offen" sind. Ich nutze einen solchen Verschlüsselten Ordner nur für das Backup eines Arbeits PC's, da macht es nichts wenn ich den Ordner erst "öffnen" muss mit Schlüssel, dann das Backup starte... diesen Backup Ordner will ich auch nicht weiter von der DS woanders hin Backupen. Wenn ich aber Daten auf der DS verschlüsselt ablegen will und diese in ein automatisches Backup mit einbeziehen möchte dann verschlüssele ich entweder die Daten gleich bevor ich sie auf der DS ablege (ZIP, TrueCrypt file oder Backup Programm was verschlüsselt ablegen kann) oder noch geschickter ich nutze LUN's, sprich mache ein iSCSI LUN auf der DS verfügbar und vom PC mounte ich den, kann dann auch ein Truecrypt Container drauf anlegen oder die ganze Partition gleich verschlüsseln. LUN's kann man dann auf der DS ohne weiteres in Backup's mit einbeziehen.

 

[sab25]

Danke, die Antwort ist mal richtig hilfreich!

Also das mit zip, truecrypt und verschlüsseltem Backup ist mir so weit klar und ist ganz klar eine Option. Nachteil davon ist das ich nicht mobil auf die Daten zugreifen kann.

Das mit den LUN's hab ich allerdings gar nicht verstanden. Was ist der Vorteil gegenüber einem Truecrypt Container der in einem gemeinsamen Ordner liegt?

 

[BavariaR]

Auf verschlüsselte Ordner kannst du mobile mit DS FIle auch nur dann zugreifen wenn der Ordner vorher "gemounted wurde" in der Tat kann man das auch über remote Weoberfläche per PC oder Mobile. Wenn dir Zugriff über Remote / Smarphone wichtig ist und trotzdem verschlüsselen willst dann sehe ich im Moment nicht viele andere Möglichkeiten wie Verschlüsselte Folder oder jegliches System für welches es "proprietäres" Verschlüsselung gibt auf PC und Mobile.

Für Erklärung zu DAS, SAN und LUN, siehe hier http://de.wikipedia.org/wiki/Storage_Area_Network

Kannst du dir aber auch sparen, weil das nur per PC Zugriff geht, ich habe noch kein Smartphone App / OS gesehen was SAN oder iSCSI LUN's mounten kann.

TrueCrypt kann entweder file Container, oder Partitionen / ganze Disks verschlüsseln. Die file container Lösung ist angebracht wenn es sich um nicht so viel Daten handelt und diese auch gerne auf USB Stick oder anderweitig transportiert. Ganze Partitionen verschlüsseln machen Sinn wenn man mehr Daten hat oder das ganze System verschlüsseln will etc... ist auch ein Sicherheitsaspekt weil man einer Partition erst mal nicht einfach ansieht ob da Truecrypt daten drauf sind, wenn man auf dem PC ein TrueCrypt file Container hat dann ist es klar dass es da was verstecktes gibt ... e.g. Beugehaft etc (klar gibt es noch die Möglichkeit des Versteckten Container aber das führt hier zu weit wir sind im DS forum). Über einen NAS würde ich aus Performance Gründen und Konsistenz Ängsten ungern in einem geöffneten TrueCrypt Container arbeiten, speziell nicht wenn der recht umfangreich ist... da ist die Technik mit SAN / DAS / Truecrypt Partitionen viel effektiver.

 

[sab25]

Vielleicht zur Erklärung um was es mir geht:

Bestimmte Daten sollen einfach verschlüsselt sein das im Falle eines HDD Defekts und einschicken zum Hersteller die Daten sicher sind. Wer weiß was die mit den Festplatten machen, wenn ein Mitarbeiter von denen auf die Idee kommt die Daten auszulesen...

D.h. die beste Lösung wäre für mich dann wohl ein verschlüsselter DS Ordner. Evtl. könnten ich sie in meinem Fall sogar beim Start automatisch anhängen?

 

[BavariaR]

Ja da hast du recht, aber bevor die die Platten entsorgen, das ist was passiert weil keine Platte repariert wird, ist nur eine Sache des Tauschs, Plate gegen Platte, werden die entmagnetisiert oder geschreddert. Die könnten sich das nicht erlauben dass irgendwo brisante Daten auftauchen weil die die Platten nicht korrekt entsort haben. Dass ein Mitarbeiter sich die Mühe machen würde auf den Platten umzuschnüffeln ist auch unwahrscheinlich (außer sie wurde durch Bill Gates eingeschickt) weil die die Zeit gar nicht haben... aber Sicher ist sicher.

Zudem bevor du die defekte Platte einschickst, ist die meist ja nicht mechanisch defekt, dann kann man die noch mit Nullen überschreiben mit den Festplatten Tools.

 

[Trolli]

Ich weiß nicht, ob das für Dein Sicherheitsbedürfnis ausreichend ist, aber wenn Du ein Raid-5 aus mehreren Platten bildest, kannst Du eine einzelne Platte auch nicht mehr auslesen - dazu brauchst Du alle außer einer Platte.

 

[sab25]

Aber ein Raid 5 kann ich nur mit 4 HDD's aufbauen. Dürfte mit meiner DS213+ schwierig werden.

 

[Trolli]

3 Platten reichen. Aber könnte ja sein, dass Du dich aufgrund dieser Sache auch für ein 4-Platten NAS entscheidest, oder?
Ich würd das jedenfalls nicht ausschließen. So eine Verschlüsselung ist halt auch nicht immer die optimale Lösung, wenn es auch anders geht...