Verschlüsselung/Datensicherheit:Wie ist der beste Weg?

[spencerbudd]

Hi Zusammen,

ich bin mit meiner DS415+ noch nicht so ganz zufrieden. Das Ding kann ja eigentlich ganz viel, jedoch macht man dann doch viele Sachen nicht, weil einfach zu unsicher.

Ich habe die DS um:
- von div. Rechnern Backups zu fahren (OS X Time Machine Backups)
- gemeinsame Ordner der Familie im Netzwerk zur Verfügung zu stellen
- Photostation
- ... (weiteres folgt evtl. noch)

Die DS ist bei uns zu Hause komplett unverschlüsselt - was ja nicht gerade sicher ist und jedem der Zugriff auf die Platten hat direkten Vollzugriff auf unsere Daten gibt.
Kann man das nicht irgendwie anders bewerkstelligen?

Sprich die DS verschlüsseln - wenn dann jemand das Ding klaut, oder die Festplatten herausnimmt soll er nur via Code/Passwort an die Daten kommen können (eigentlich so, wie es bei meinen Mac's mit FileVault) auch ist.

Was ich aber nicht mag ist:
- bei jedem Zugriff auf eine Netzlaufwerkfreigabe der DS vorher via Web-Frontend die DS mittels Passwort freischalten

Gibt es hier nicht einen eleganten/sicheren Weg bzw. Vorgehensweise?

 

[dil88]

Aus meiner Sicht nicht. Man kann zwar das verschlüsselte Volume automatisch einbinden lassen, aber damit befindet sich der key, der zur Entschlüsselung benötigt wird, auf der Platte. Man büsst also einen Großteil der Sicherheit ein. Wenn verschlüsseln, dann nur wenige, wirklich kritische Daten auf einem separaten Volume und das dann manuell einhängen. Just my 2 cent.

 

[Frogman]

...
Die DS ist bei uns zu Hause komplett unverschlüsselt - was ja nicht gerade sicher ist und jedem der Zugriff auf die Platten hat direkten Vollzugriff auf unsere Daten gibt.
Kann man das nicht irgendwie anders bewerkstelligen?

Das ist für einen Server (und das ist die DS, sie ist nämlich weder ein Arbeitsrechner noch eine einfache Festplatte) völlig normal. Daher stehen für gewöhnlich Server, die gesichert sein sollen, in entsprechend gesicherten Räumlichkeiten

...
Was ich aber nicht mag ist:
- bei jedem Zugriff auf eine Netzlaufwerkfreigabe der DS vorher via Web-Frontend die DS mittels Passwort freischalten

Gibt es hier nicht einen eleganten/sicheren Weg bzw. Vorgehensweise?

Du bist gut - willst verschlüsselte Daten, aber bei den serverüblichen Sicherheitsmechanismen wie dem Eingeben eines Passworts zur Authentifizierung des Users und Gewährung der erlaubten Zugriffsmöglichkeiten willst Du diese unterbinden...
Ergänzend dazu: das Netzlaufwerk erreichst Du direkt im OS, von dem Du zugreifst - das Web-Frontend ist dafür nicht notwendig.

 

[Tommes]

Bisher hab ich den Key auf der DS aber noch nicht finden können und mir konnte auch noch keiner sagen wie ich an diesen Key ran komme. Daher sollte das für einen normalsterblichen Dieb wohl auch nicht leicht zu bewerkstelligen sein. Und ein Hacker wird wohl nicht bei mir einbrechen und meine DS klauen.

Hierzu auch noch schnell ein Thread zum Thema
http://www.synology-forum.de/showth...-gemeinsamer-Ordner-%FCber-Windows-anh%E4ngen

Tommes

 

[spencerbudd]

Du bist gut - willst verschlüsselte Daten, aber bei den serverüblichen Sicherheitsmechanismen wie dem Eingeben eines Passworts zur Authentifizierung des Users und Gewährung der erlaubten Zugriffsmöglichkeiten willst Du diese unterbinden...
Ergänzend dazu: das Netzlaufwerk erreichst Du direkt im OS, von dem Zu zugreifst - das Web-Frontend ist dafür nicht notwendig.

Nicht ganz. Ich würde auf OS-Ebene (also Rechner im Netzwerk) gerne das Passwort der DS-Datenverschlüsselung speichern (z.B. im OS X Schlüsselbund) und so entsprechend mounten/unmounten. Das wäre doch ein Ansatz (sofern möglich?).

So könnte jemand die Festplatten aus der DS nehmen und trotzdem nicht an die Daten kommen, oder?

 

[ctrlaltdelete]

Ausser er ist von Apple

 

[Frogman]

Nicht ganz. Ich würde auf OS-Ebene (also Rechner im Netzwerk) gerne das Passwort der DS-Datenverschlüsselung speichern (z.B. im OS X Schlüsselbund) und so entsprechend mounten/unmounten. Das wäre doch ein Ansatz (sofern möglich?).

So könnte jemand die Festplatten aus der DS nehmen und trotzdem nicht an die Daten kommen, oder?

Wenn schon jemand in Deine Behausung kommt, wird er sich kaum die Mühe machen, um Festplatten auszubauen. Der packt alles in seinen großen Rucksack, und zwar nicht nur Deine DS, sondern auch Deinen Mac. Dann ist für Dich eher entscheidend, wie stark Deine Passwörter sind bzw. welche Kenntnisse/Möglichkeiten der Dieb hat.

Trennt Euch einmal von dem Irrglauben, Eure Daten wären wie mit einem Safe gleich gesichert, wenn sie in den eigenen vier Wänden verschlüsselt auf einem Laufwerk liegen... wenn Daten abgegriffen werden, dann ist das bei Verwendung derselben - macht Euch also eher Gedanken über Transportverschlüsselung, Sicherung beim Zugriff und der zugreifenden Systeme, Beschränkung des Nutzerkreises usw.
Tommes hat da ja schon einen von mehreren Threads hier im Forum verlinkt, wo das Thema hinreichend beleuchtet wird.

 

[spencerbudd]

Naja - mein Mac wäre im Falle eines Diebstahles mit einem relativ guten Passwort geschützt. Die Synology ist dahingegen offen wie ein Scheunentor... Das ist das Problem was ich mit der Sache habe.

 

[Frogman]

Wo wir wieder bei dem kleinen, aber feinen Unterschied sind - das eine ist ein Arbeitsrechner, das andere ein Server...
Ganz abgesehen davon - was glaubst Du, kann jemand mit Deiner aus dem Mac ausgebauten Platte so alles anstellen? Du würdest Dich wundern... (als nur ein Stichwort sei einmal Kaltstartattacke genannt)

 

[spencerbudd]

Naja, mal abgesehen davon, dass es bei mir eine fest verlötete SSD ist, ist ein einfaches anschließen und direkten Zugriff haben etwas ganz anderes, als das was Du verlinkt hast. Möglich ist natürlich alles.

Nur ist es bei der DS schon sehr sehr einfach an die Daten ranzukommen... und das ist der Unterschied.

Man sollte nicht Äpfel mit Birnen vergleichen!

 

[Frogman]

Eben - man sollte einen Server auch immer als einen solchen sehen...

 

[synmesh]

Ich habe auf meiner Synology ein verschlüsseltes Verzeichnis ("Archive") eingerichtet. Hierin lege ich *alle* Dateien in einer entsprechenden Verzeichnisstruktur ab. Beim Hochfahren der DS muss ich einmal das Verzeichnis mounten und dabei das Passwort eingeben. Fortan erfolgt der Zugriff auf die Daten - meist via SMB - ganz ohne weitere Passworteingaben. Das funktioniert bisher einwandfrei - nur der Indexdienst möchte nach jedem mounten alles neu indizieren:::

Wenn jemand die DS mitnehmen will, trennt er sie vom Stromnetz und die Festplatte ist in einem sicheren (verschlüsselten) Zustand. Nochmals: Netzwerkzugriffe auf dieses verschlüsselte Verzeichnis kommen ohne Passworteingabe aus. Probier's doch einfach mal mit einem Beispielverzeichnis aus...

Grüße, synmesh

 

[Tommes]

Solang man eine DS im 24/7 Betrieb hat, ist das auch alles kein Problem und das habe ich auch lange so praktiziert. Sobald eine DS aber nach Zeitplan täglich ein und aus geschaltet wird, ist das mit dem manuellen Einbinden eines verschlüsselten Ordners über den DSM ziemlich nervig. Vor allem dann, wenn sich darin Daten des täglichen Lebens befinden. Daher habe ich jetzt notgedrungen erstmal (bei einem Ordner zumindest) auf "automatisch beim Start einhängen" umgestellt, da es Synology ja anscheinend nicht hinbekommt die Passworteingabe über z.B. dem Synology Assistent zu implementieren.

Aber selbst beim "automatischen Einhängen" ist die Gefahr des Datenzugriffes imho erstmal sehr gering, außer du hast deine Zugangsdaten in das Gehäuse der DS geritzt. Und spätestens nach einem einfachen Resest, ist der verschlüsselte Ordner ausgehangen. Natürlich ist die Gefahr größer an die Daten zu kommen, als beim manuellen Einhängen, jedoch bin ich fest davon überzeugt, das das für uns normalsterblichen unter beiden Umständen ziemlich schwierig sein dürfte, an die Daten ran zu kommen. Auch bricht bei mir bestimmt kein Haker oder Kryptograph ein um meine DS zu klauen. Die kommen wenn überhaupt, auf anderen Wegen auf die DS!

Tommes

 

[hakiri]

Da sehe ich aber schon eine sehr einfache Möglichkeit:

Platte/n raus aus der Syno, an einen normalen Computer hängen und mit mdadm mounten und dann das root password ändern...
Wieder in der Syno booten lassen und voilá man ist drauf.
Wenn man sich den Rückbau in die Syno sparen will, geht es noch leichter mit einer VM und einem geeignetem Synology ähnlichem Bootimage...

Passwörter/automatisches Einhängen halte ich für sehr komfortabel, aber bei Entwendung der Syno hätte ich Bauchschmerzen.

 

[Tommes]

Wenn das denn wirklich so einfach gehen sollte, nehme ich natürlich alles zurück. Bisher konnte mir aber noch keiner einen Weg nennen, an diese Daten zu kommen. Und da ich auf Linuxsystemen nicht zu Hause bin, hab ich selber auch noch keine Versuche angestellt das auszuhebeln.

Trotzdem die Frage: hast du das in der Praxis schonmal genau so erfolgreich geschafft?

Tommes

 

[Merthos]

Ja, das geht so einfach, Tommes.

 

[goetz]

Hallo,

mit mdadm mounten und dann das root password ändern

nützt aber genau gar nichts. Das Passwort für root ist bei allen DS gleich, synopass. Das kann man ändern wie man will aber man kommt damit nicht rein.
Ändern muß man das Passwort von admin. Alle Programme auf einer DS die die passwd/shadow nutzen wurden von Synology so geändert, daß bei einer Anfrage von root auf das Passwort von admin gezeigt wird.

Gruß Götz

 

[Tommes]

Ok. Ich geb mich geschlagen und überleg mir derweilen, ob ich auch in Zukunft mit der DSM-Verschlüsselung arbeiten möchte, oder nach Alternativen Suche!

Tommes

 

[synmesh]

Synology verwendet IMHO "ecryptfs" zur Ordnerverschlüsselung. Wenn das Passwort nirgendwo hinterlegt ist, wie soll jemand durch mount -t ecryptfs /mnt/encryptged_folder an den Inhalt kommen?

synmesh

 

[Puppetmaster]

Wenn du die Ordner beim Start automatisch mounten lässt (und darum gings... ) dann ist das PW bzw. der entsprechende Hash ja irgendwo gespeichert.