DSM 6.x und darunter Verschlüsselung der (kompletten) DS und des Backups auf externer HD

[andhe]

Hallo zusammen,

ich habe eine DS414 mit einem RAID5 Verbund (1 Volume) auf dem unter anderem CloudStation läuft. Ein Backup der Daten der DS findet täglich auf eine USB-HD statt. Bei meinem Mac habe/werde ich nun die interne SSD und die Backup-HD verschlüsseln. Das erscheint mir aber nur sinnvoll, wenn nicht im Schrank daneben die Daten im NAS bzw. im Backup des NAS "offen rumliegen".

Hinzu kommt, dass mein Vater bei seiner DS414 neulich das Admin-Passwort vergessen hatte. Wir hatten uns schon darauf eingestellt alles neu installieren und die Daten vom Backup wieder zurückzuspielen zu müssen. Leider war aber nach 10 Minuten schon wieder alles erledigt, da durch drücken der Reset-Taste ein Passwort Reset durchgeführt wurde. Was soll denn das? Klar dient das Admin-Passwort in erster Linie dem Schutz bei Zugriff übers Netzwerk. Bei physischem Zugriff kann man sich das aber sparen ...

Ich möchte also verhindern, dass bei physischem Zugriff auf meine DS und meinem DS-Backup, ohne Kenntnis meiner Passwörter, ein Zugriff auf die Daten möglich ist. Auch ein Wechsel der HDs in eine andere DS414 oder ein "Drüberinstallieren" soll keinen Zugriff erlauben. Gibt es diese Möglichkeit?

Viele Grüße

André

 

[Frogman]

...Was soll denn das? Klar dient das Admin-Passwort in erster Linie dem Schutz bei Zugriff übers Netzwerk. Bei physischem Zugriff kann man sich das aber sparen ...

Bei physischem Zugriff ist das bei keinem Server großartig anders... oder warum glaubst Du stehen die bei gesteigerten Anforderungen in gesicherten Umgebungen?

Deine gemeinsamen Ordner kannst Du (beim Anlegen) verschlüsseln lassen - die ganze DS, sprich also auch das DSM und Paketinstallationen, nicht.

 

[andhe]

Hallo Frogman,

danke für Deine Antwort.

/volume/homes/ wird ja leider automatisch und nicht von mir angelegt. Daher kann ich den nicht beim Anlegen verschlüsseln. Gibt es noch andere Möglichkeiten?

Gibt es eine Möglichkeit das usbshare zu verschlüsseln bzw. die ganze Partition?

Viele Grüße

André

 

[Tommes]

Ich möchte also verhindern, dass bei physischem Zugriff auf meine DS und meinem DS-Backup, ohne Kenntnis meiner Passwörter, ein Zugriff auf die Daten möglich ist. Auch ein Wechsel der HDs in eine andere DS414 oder ein "Drüberinstallieren" soll keinen Zugriff erlauben. Gibt es diese Möglichkeit?

Wie Frogman bereits sagte, die komplette DS wirst du nicht verschlüsseln können, jedoch ausgewählte gemeinsame Ordner. Hierbei solltest du aber nicht die Option "Beim Start der DS automatisch einhängen" wählen, da sonst das Passwort zum öffen des verschlüsselten Ordners auf der DS abgelegt wird. Dir wird aber auch angeboten den Schlüssel extern zu speichern, was du auf jeden Fall tun solltest, denn...

Auszug aus der DSM-Hilfe
Es ist sehr wichtig, dass Sie den Schlüssel für die Verschlüsselung behalten. Wir empfehlen Ihnen dringend, diesen Schlüssel zu exportieren und zu speichern. Wenn Sie den Schlüssel vergessen oder verloren haben, gibt es keine Möglichkeit, die verschlüsselten Daten zu retten.

Dafür ist dann aber auch gewährleistet, das bei einem Reset am Gehäuse die Daten nicht mehr "einfach so" ohne Passwort bzw. Schlüssel eingesehen bzw. verwendet werden können, denn...

Auszug aus der DSM-Hilfe
Wenn Sie Standard-Kennwörter mit der Reset-Taste an Synology NAS wiederhergestellt werden, werden verschlüsselte gemeinsame Ordner deaktiviert und die Option, verschlüsselte gemeinsame Ordner automatisch zu mounten, wird deaktiviert.

Aber ich würde trotzdem immer eine Sicherungskopie meiner Daten unverschlüsselt irgendwo abgelegt wissen und sei es in einem Bankschließfach. Nicht auszudenken, man vergisst wirklich mal das Passwort oder verliert den Schlüssel...

Tommes

 

[Puppetmaster]

Nein, du kannst nur eigene angelegte Shares auf den internen Volumes verschlüsseln.

 

[andhe]

Hallo Tommes, hallo Puppetmaster,

danke für Eure Antworten,

(...)jedoch ausgewählte gemeinsame Ordner.(...)

Nein, du kannst nur eigene angelegte Shares auf den internen Volumes verschlüsseln.

also nicht den Ordner /volume/homes/. Schade.

(...)Aber ich würde trotzdem immer eine Sicherungskopie meiner Daten unverschlüsselt irgendwo abgelegt wissen und sei es in einem Bankschließfach.

Danke, habe ich auch jetzt schon.

Viele Grüße

André

 

[Tommes]

Nein! Den Ordner /homes bzw. /home kannst du nicht verschlüsseln. Nur so, wie Puppetmaster sagte. Hab mich da wohl etwas unklar ausgedrückt.

 

[andhe]

Hallo Tommes,

nein nein, das war schon verständlich. Aus den Antworten von Euch dreien ist das im Gesamten schon verständlich rübergekommen. Kann ich denn einen neuen Ordner /volume/homesneu/ anlegen und den verschlüsseln lassen UND die Homeverzeichnisse umziehen lassen?

Viele Grüße

André

 

[Frogman]

Nein, die sind systemseitig so vorgegeben.

 

[andhe]

Hallo Frogman,

Nein, die sind systemseitig so vorgegeben.

Danke. Dann helfen wahrscheinlich auch keine symbolischen Links?

Viele Grüße

André

 

[Tommes]

Wenn du unbedingt Daten in deinem /home Ordner verschlüsseln möchtest geht das wohl nur über clientseitige Tools wie z.B. TrueCrypt. Jedoch kannst du auch clientseitig nicht den den Ordner /home(s) an sich verschlüsseln...

 

[andhe]

Hallo Tommes,

so mache ich es bisher. Die wichtigen Daten auf meinen Rechnern liegen in verschlüsselten Bundles. Diese Bundles werden über die CloudStation synchronisiert.

Viele Grüße

André

 

[Tommes]

Ähm... arbeitest du mit TrueCrypt und der CloudStation? Wenn ja, dann sollte dich dieser Thread bzw. Tipp interessieren...

http://www.synology-forum.de/showth...Verzeichnissen&p=296618&viewfull=1#post296618

... auch wenn ich nicht genau weis, ob das noch aktuell ist. Solltest du aber auf jeden Fall mal prüfen.

 

[andhe]

Hallo Tommes,

Nein, das sind verschlüsselte Images unter OS X, ist glaube ich Fielvault2. CS Synchronisiert die problemlos und auch inkrementell.

Viele Grüße

André

 

[schaefi]

Hallo Andre,

hier eine Idee um Dein Problem zu lösen:
Die Schlüssel/Passwörter können auf einen USB-Stick ausgelagert werden.
Vor dem Hochfahren/Reboot wird der USB-Stick im NAS eingesteckt.
Nach dem Hochfahren/Reboot wird der USB-Stick abgezogen und an einem sicheren Ort aufbewart.

Ganz grob könnte dies so implementiert werden:
Ein Skript auf dem NAS sucht beim Hochfahren/Reboot den USB-Stick und liest die Schlüssel/Passwörter.
Mit Hilfe der Schlüssel werden dann die Ordner entschlüsselt, etc.

Der Vorteil wäre, dass man den Datenowner den USB in die Hand drücken kann wie einen echten Schlüssel.
Damit hat der Dateowner was zum "anfassen" und "begreifen". Ausserdem:
- Die Prozedur beim Hochfahren wäre für den Datenowner auch relativ einfach zu handhaben.
- Es könnten Kopien vom USB-Stick erstellt werden und damit Zweitschlüssel
Die Daten sind dann allerdings nur geschützt wenn ein Reset erfolgt oder wenn die Platten geklaut werden.
Bei laufendem Betrieb sind die Daten immer noch offen.

Ich hoffe dies hilft Dir weiter. Es gibt sicher irgendjemand der so was schon mal implementiert hat.
Wenn Du diesen Weg gehst, bitte lass mich Deine Erfahrungen wisse. Das Thema interessiert mich auch sehr.

schaefi