Verschlüsselung Truecrypt vs NAS

PsychoHH

Benutzer
Mitglied seit
03. Jul 2013
Beiträge
2.967
Punkte für Reaktionen
4
Punkte
78
Ich will das Thema Sicherheit vs. Komfort nochmal kurz aufgreifen.

In einem anderen Thread hatte jemand behauptet dass er einen verschlüsselten Ordner über eine Remote DS eingehängt habe. Der Schlüssel sei auf einem USB Stick an der Remote DS gespeichert. Also hätte man den Komfort dass es beim Start automatisch passiert, wenn die DS aus dem Netzwerk entfernt wird dann bleibt der Ordner verschlüsselt. Ich finde so eine Lösung ziemlich "smart". Ich kann jedoch leider den entsprechenden Thread nicht mehr wiederfinden, noch hatte derjenige Einzelheiten gepostet.

Hat das jemand so oder so ähnlich bei sich gelöst? Hat jemand eine Idee wie das genau eingerichtet wird?
Also wahrscheinlich meinst du mich und kann es funktioniert perfekt.

Mounten tue einfach per keyfile dieser kann auf einen stick oder auf einer entfernen ds/PI oder wie in meinem Fall auf einem stick an einer entfernten fritzbox liegen. Der Vorteil liegt darin. Wenn meine ds geklaut wird ist der key nicht in der nähe der ds. Wenn ich den stick entferne oder eine der fritzboxen ausschalte oder die von Verbindung trenne ist der key auch nicht vorhanden. Man könnte auch alle x min checken ob der key noch verfügbar ist und wenn nicht trennen usw. Gibt ja tausend Szenarien.
 

tale

Benutzer
Mitglied seit
25. Nov 2014
Beiträge
55
Punkte für Reaktionen
0
Punkte
0
@Kniffo: Um noch eine Möglichkeit zu nennen:

Falls man gerne Truecrypt nutzen möchte, aber die Container-Dateien nicht mag: Mit iSCSI kann man dem PC eine externe Festplatte vorgaukeln, die tatsächlich jedoch virtuell über das Netzwerk angeschlossen ist und deren Daten auf dem NAS vorhanden sind.

Nach Aufbau einer Verbindung mit dem "iSCSI-Initiator" (zumindest unter Win 7 von Haus aus an Bord) erscheint die "Platte" dann als ganz normales Device in Truecrypt und kann dort wie gewohnt komplett verschlüsselt und genutzt werden.
Angenehmerweise sind Möglichkeitem für Snapshots und Backups NAS-intern gegeben.

Aber Vorsicht: Es dürfte ziemliche Probleme geben, falls mehrere PCs parallel auf die Daten zugreifen müssen/wollen.
 

ralfi80

Benutzer
Mitglied seit
28. Jul 2014
Beiträge
93
Punkte für Reaktionen
0
Punkte
0
@PsychoHH
Danke für die Rückmeldung! Ich finde Deine Idee genial! Das Keyfile auf der Fritz!Box ist sogar noch einfacher als auf der entfernten DS. Die Fritz!Box dürfte ja in der Regel ständig erreichbar sein. Wenn man nun die heimische Fritz!Box mit der entfernten Fritz!Box automatisch per VPN verbindet dann ist das Keyfile ja nur aus dem heimischen Netz erreichbar. Bei Diebstahl der DS sind somit die verschlüsselten Daten sicher. Und zuhause hat man den Komfort, dass automatisch mit dem Einschalten gemountet wird. Perfekt :)

Jetzt ist nur die Frage wie ich das einrichten kann?

Per DSM kann ich ja nicht auf das entfernte Keyfile verweisen. Also per Skript? Kannst du oder jemand anders mir da aushelfen, wie dieser Befehl lauten müsste?
 

PsychoHH

Benutzer
Mitglied seit
03. Jul 2013
Beiträge
2.967
Punkte für Reaktionen
4
Punkte
78
Ja ganz genau so habe ich das auch eingerichtet :)
Sollte die ds geklaut werdem schalte ich eine fritzbox einfach aus, trenne den stick oder entferne den Stick aus der fritzbox dann ist der key nicht mehr erreichbar.

Ich schicke dir das lieber nachher mal per pn :)
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.672
Punkte für Reaktionen
1.568
Punkte
314
@PsychoHH
Kannst ja auch ein Wiki schreiben :eek:
 

PsychoHH

Benutzer
Mitglied seit
03. Jul 2013
Beiträge
2.967
Punkte für Reaktionen
4
Punkte
78
Neeeeein das ist Top Secret :rolleyes:

Nachrichten sind an euch beide raus :)
 

Nightlover

Benutzer
Mitglied seit
29. Mrz 2016
Beiträge
529
Punkte für Reaktionen
0
Punkte
0

PsychoHH

Benutzer
Mitglied seit
03. Jul 2013
Beiträge
2.967
Punkte für Reaktionen
4
Punkte
78
Hast Post:)
 

PsychoHH

Benutzer
Mitglied seit
03. Jul 2013
Beiträge
2.967
Punkte für Reaktionen
4
Punkte
78
Extra dafür angemeldet? :)
 

Tommy75

Benutzer
Mitglied seit
12. Jul 2013
Beiträge
40
Punkte für Reaktionen
0
Punkte
6
Hi PsychoHH,

nachdem der Schlüsselmanager im DSM6.1 bei mir einfach nicht funktionieren will, wäre ich auch brennend heiß an deinem Script oder der Anleitung dafür interessiert.

Danke.
 

Arnie99

Benutzer
Mitglied seit
12. Apr 2016
Beiträge
228
Punkte für Reaktionen
8
Punkte
18
Ich wäre auch sehr an einer komfortablen Script-Lösung interessiert. Da ich die verschlüsselten Ordner nur mounten möchte, wenn der PC läuft, würde ich die Schlüssel gerne dort ablegen.
 
Zuletzt bearbeitet:

PsychoHH

Benutzer
Mitglied seit
03. Jul 2013
Beiträge
2.967
Punkte für Reaktionen
4
Punkte
78
Beide post
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
100
Punkte
134
LOL
Wieso postest nicht einfach einen Link da rein? ;)
Mir auch bitte :D
 

Barny-Bit

Benutzer
Mitglied seit
05. Apr 2016
Beiträge
10
Punkte für Reaktionen
0
Punkte
1
Hi PsychoHH,

für mich bitte auch *smile*

wobei im Wiki wäre sicher ein guter Platz für sowas..

-bernhard
 

Ramihyn

Benutzer
Mitglied seit
14. Mai 2017
Beiträge
332
Punkte für Reaktionen
60
Punkte
34
Soweit ich das sehe, ist die Sache eigentlich relativ einfach zu bewerkstelligen. Ich musste mir nur ein paar Informationen aus verschiedenen Quellen zusammensuchen, um hinter den ach so geheimen Trick zu steigen, wie man das bewerkstelligen kann:

1. Fritz!Box-NAS-Funktion aktivieren und dafür sorgen, dass eingestecktes USB-Medium auf Netzwerkshare (CIFS) zur Verfügung gestellt wird.
2. Die Grundlagen der Anleitung hier (Frage/Antwort auf Stackexchange) nachvollziehen, um sich damit ein Shellscript zu erstellen. Wichtiger Aspekt: das für den ecryptfs-Mountbefehl notwendige Kennwort muss dabei entweder vom an die Fritte gesteckten USB-Medium geholt oder aus den darauf gespeicherten (Teil)Informationen zusammengesetzt werden.
3. im Aufgabenplaner vom DSM der Syno einfach eine "ausgelöste Aufgabe" (Benutzerdefiniertes Script) mit Ereignis "Hochfahren" anlegen, wo genau dieses in 2. erstellte Script geladen und ausgeführt wird.

Damit die Syno also beim Booten automatisch die verschlüsselten Ordner mounted und entschlüsselt, muss die Fritz!Box im LAN erreichbar sein, das USB-Medium muss dort eingesteckt und gemounted sein und die Kennwortkomponenten müssen darauf verfügbar sein. Ist irgendeine dieser Rahmenbedingungen nicht erfüllt, dann macht die Syno beim Booten nichts.
Wieweit man im Shellscript die Nichtverfügbarkeit des Kennworts/Schlüsselspeichers abfangen muss, um im DSM unschöne Fehlermeldungen zu vermeiden, weiss ich ( noch ) nicht. Ich hab das Shellscript selbst noch nicht geschrieben, sondern mir bisher grad nur fix die Grundlagen zusammengesucht. Für die Geheimniskrämerei von PsychoHH habe ich da wenig Verständnis. "Security by obscurity" hat noch nie längerfristig funktioniert.
 

PsychoHH

Benutzer
Mitglied seit
03. Jul 2013
Beiträge
2.967
Punkte für Reaktionen
4
Punkte
78
@cheffe81 leider erlaubst du keine pn.
@Barny pn ist raus.


@Ramihyn: das hat nichts mit Geheimniskrämerei zutun. Jedoch liegt bei der Scriptvariante das pw nicht als klartext da sondern es wird die keyfile benutzt. Und da man hierzu das Synology eigene pw braucht, muss ich das ja nicht öffentlich machen. Grund hierfür ist einfach, dass ich das ganze selbst benutze und ungern will, dass Synology daran etwas ändert.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat