Verschlüsselung: Wie das Thema Schlüssel sinnvoll lösen

[pegu]

Hallo zusammen,

ich habe gestern meine erste NAS (DS218) in Betrieb genommen.

Nun beschäftige ich mich mit dem Thema Verschlüsselung.

Ich habe verstanden, dass ich entweder jedemal das Passwort zum Anhängen angebe oder entweder auf der NAS das Passwort im Schlüssel Manager hinterlege oder mittel USB Stick.

Nun meine Frage:

Was ist die sicherste und auch praktiable Lösung? Jedesmal per Passworteingabe die Daten "freigeben" finde ich sehr unpraktisch bis nicht wirklich umsetzbar bei uns im Haushalt ...

Grüße

pegu

 

[zxmc]

Bei mehreren Benutzern ist 24/7 -Betrieb mit entsprechend entschlüsselten Ordnern wohl die Wahl, wenn man nicht mit dem internen Schlüsselmanager arbeiten will.

Eine Alternative wäre noch hier beschrieben: https://www.synology-forum.de/threads/verschluesselung-und-benutzerordner.101292/#post-820274

 

[pegu]

Da ich die NAS runterfahren lasse und Morgens wieder hoch, bleibt wohl nur der Stick oder der genannte Link?

 

[zxmc]

Kommen wir auf die Ausgangsfrage zurück:

Was ist die sicherste und auch praktiable Lösung?

"Sicher" und "praktikabel" sind halt zwei Dinge, die sich nicht gleichzeitig optimieren lassen.

Wenn es (lediglich) darum geht, im Falle eines Diebstahls die Daten geschützt zu halten, wäre m.E. ein Entschlüsseln mit Skript, die sinnvollste Lösung. Dass Passwort dann auf's Smartphone und von dort abrufen (Feste IP für's Smartphone, dort einen Webserver einrichten und die Schlüsseldatei hinterlegen, vor dem Start des NAS den Webserver auf dem Smartphone einschalten, sobald das NAS den Schlüssel abgerufen hat, wieder ausschalten). Kann man auch relativ problemlos für mehrere Geräte/Personen einrichten. Das erspart einem den physischen Zugriff auf das NAS, das Gefummel am USB-Port, Sticks, die angesteckt bleiben oder direkt neben dem NAS liegen bleiben etc.

 

[peterhoffmann]

Variante 1 (USB-Stick):
Der Stick hat den Nachteil, dass er "im Gerät" stecken muss. Wenn das so praktiziert wird, kann man sich die Verschlüsselung sparen. Es gibt noch die Idee mittels USB-Verlängerung den Stick an eine Stelle zu verlegen, wo er nicht gesehen wird, man nicht einfach auf ihn zugreifen kann und er dort z.B. festgeklebt wird. Ein Dieb reißt die Kabel raus und nimmt das NAS mit. Damit sind die Daten verschlüsselt und vor Zugriff geschützt.

Variante 2 (Entschlüsseln über ein Script):
Wenn du das Gerät jede Nacht runterfährst, benötigst du definitiv Passwortzulieferer, die zuverlässig auch jeden Tag im Netzwerk bzw. extern vorhanden sind. Ich zähle einen installierten Webserver auf einem Handy nicht dazu. Entweder ist die App nicht gestartet, der Akku ist leer oder die zugehörige Person (mit Handy) unterwegs. Davon würde ich also abraten.

Mir fallen folgende Möglichkeiten als Passwortzulieferer ein:

• kleiner Linuxcomputer (z.B. Raspberry oder ähnlich)
• Smarthome-Geräte (kommt darauf an, was die liefern können)
• Router mit NAS-Funktion (z.B. Fritzbox)
• externer Webserver (z.B. von eigener Domain bei einem Hoster)

Um es wirklich sicher und komfortabel zu machen, empfehle ich eine Kombination aus mehreren Möglichkeiten, wobei mindestens eine intern im Netzwerk sitzen sollte (zwingend), sowie eine extern (nicht zwingend, aber empfehlenswert).

Bei einer Mitnahme vom NAS findet woanders keine Entschlüsselung statt, da der Teil vom Passwort aus dem internen Netz fehlt.
Bei einer Inbetriebnahme vor Ort lässt sich das extern verhindern, in dem man den Teil vom Passwort aus der externen Quelle löscht (z.B. externer Webserver).

 

[zxmc]

Ich zähle einen installierten Webserver auf einem Handy nicht dazu. Entweder ist die App nicht gestartet, der Akku ist leer oder die zugehörige Person (mit Handy) unterwegs. Davon würde ich also abraten.

Wenn es wirklich nur darum geht, einem Hardware-Dieb den Zugriff auf die Daten zu verunmöglichen, ist das wohl richtig - dann ist die einfachste, bequemste und zuverlässigste Variante ein Schlüssel, der vollständig oder in mehreren Teilen ständig im Netzwerk verfügbar ist.

Die Sicherheit des Konzepts lebt dann aber davon, dass niemand weiss, wie Entschlüsselung (bzw. das Zusammentragen der Schlüsselbestandteile) geregelt ist (Security through obscurity), was ich persönlich eher unsympathisch finde - auch wenn das für den Hausgebrauch normalerweise ausreichen dürfte.

Mit einem Schlüssel bzw. Schlüsselbestandteil auf einem Smartphone ist hingegen der Schlüssel im Normalzustand für einen Angreifer gar nicht erreichbar (Webserver auf dem Smartphone wird nur zum Start des NAS überhaupt gestartet und danach wieder beendet), lässt sich auf verschiedenen Smartphones einrichten (-> mehrere Benutzer) und ist, wenn das NAS dann noch per WOL vom Smartphone aus startet, ohnehin griffbereit. Wenn man beim Start des NAS vergisst, den Webserver auf dem Smartphone zu starten, muss man die verschlüsselten Ordner halt händisch einhängen (oder -meist einfacher- das NAS nochmal neu starten). Im Übrigen: bei jederzeit verfügbarem Schlüssel kann das NAS jeder vollständig in Betrieb nehmen, der vor Ort den Einschaltknopf drücken kann - bei einem Schlüssel(-Teil) auf dem Smartphone eben nicht.

Die Abwägung aus Praktikabilität und Sicherheit muss dann jeder für sich entscheiden.

 

[pegu]

Hallo ihr beiden!

Ich komme nochmals auf dieses Thema zurück.

Gerade haben wir den finalen Abstellort der NAS festgelegt. Dadruch, dass die NAS dort kaum hörbar ist, werde ich sie dann auf Dauerbetrieb einstellen, sprich 24/7. Da wir kein Produktives Umfeld sind (nur Haushalt), denke ich, dass ich damit leben kann, wenn die NAS neustartet die Ordner von Hand einzuhängen. Ist zwar nicht sehr komfortabel, lässt sich aber machen.

Spricht da aus der sicht der Sicherheit was dagegen?

Oder was mir noch nicht ganz klar ist: Ich kann die Schlüsseldatei auf eine USB Stick legen und über diesen von Hand entsperren (dann kann es auch ein schön langes und kompliziertes Passwort werden). D.h. der Stick wird nur angesteckt, wenn das NAS stromlos war. Nach dem Einhängen, kann ich ihn wieder abziehen, oder?

 

[peterhoffmann]

Korrekt.

 

[pegu]

Und wenn ich doch je auf die Script Variante gehen will, schreibt man das Script dann hier rein:

 

[NSFH]

Ja, dort den Scriptbefehl rein oder aber nur den Link auf ein Script, welches irgendwo auf dem NAS liegt.

Ich habe das Problem mit dem Schlüssel in mehreren Fällen sehr simpel gelöst: Key auf dem USB-Stick und der ist mit Verlängerungskabel im Rack mit Komponentenkleber verklebt. Mitnehmen geht nicht, dann wird er zerstört.
Hilft nicht gegen Auslesen des Sticks mit einem PC, aber wenn das NAS geklaut wird ist in der Regel niemand an den Daten interessiert sondern an der Weiterveräusserung der Hardware. Daher wird sich kein Dieb die Mühe machen den Weg des USB-Kabels auf der Rückseite des Gerätes zu verfolgen, sondern der zieht die Stecker ab und nimmt das Teil mit. Der Kleinkram bleibt da.

In besonders gesicherten Umgebeungen liegt der Schlüssel in der Cloud auf einem VServer. Der Zugriff erfolgt da wie beschrieben via Script.
Aber Achtung! Obwohl in der Firewall geregelt dieser Cloudzugriff nur zwischen 2 festen IPs möglich ist, wäre es denkbar, dass es jemand schafft mit Adminrechten nur ins DSM zu kommen. Schaltet man dort die Firewall aus zieht sich das NAS den Schlüssel aus der Cloud.
Man muss also bei Diebstahl in der Cloud den Key entfernen!

 

[geimist]

Was ist die sicherste und auch praktiable Lösung?

Was spricht gegen den Schlüsselmanager?
Solange die Zugangsdaten für den DSM-Login nicht gestohlen werden, ist das aus meiner Sicht eine ausreichende Diebstahlsicherung für den Heimgebrauch (ohne Skript und ohne USB-Stick).

 

[pegu]

Ich habe gerade etwas über den Schlüsselmanager gelesen.

Wenn ich es richtig verstanden haben, sollte man hierzu einen USB Stick verwenden (sonst liegen die Schlüssel auf der Systempartition). Wenn die NAS hochgefahren ist, diesen wieder entfernen. Und erst wieder einstecken, wenn ich sie mal runter gefahren hatte und wieder starte.


Habe ich das so richtig verstanden?

 

[peterhoffmann]

Korrekt.

 

[pegu]

Nun schaue ich mir doch gerade die Variante mit dem Script an ...

Bisher habe ich es geschafft, eine Textdatei von meinem FTP Zugang zu meiner Domai abzurufen. Leider muss ich dabei das Passwort im Script hinterlegen. Nun habe ich gesehen, dass ich unter FileStation auch eine SFTP Verbindung aufbauen kann. Kann ich vom Script auf diese zugreifen? Also so, dass ich das Passwort im Script nicht mehr hinterlegen muss?

Und dann noch eine Frage:

Ich habe die FritzBox per Remote Ordner via CIFS eingebunden bekommen. Nun frage ich mich, wie ich richtig auf die FritzBox zugreife.

Bisher habe ich geschrieben:

j1=$(curl -k http://XXX.XXX.XXX.XX/volume1/TEST/1/text.txt)

Dabei kommt aber nichts raus. Also muss ich was falsch machen. Aber was?

 

[peterhoffmann]

Das geht.
Schau dir den Pfad für den extern eingebundenen Ordner an. Der kann ja nach Belieben überall liegen.

Nehmen wir mal an, ich binde die Fritzbox als Ordner "meineFB" in den gemeinsamen Ordner "123test" auf Volume 1 ein.
Dann ist der Pfad zum Ordner => /volume1/123test/meineFB"

 

[pegu]

Hallo Peter,

das war mir soweit klar.

Woran ich scheitere, ist wie lese ich den Inhalt der Textdatei aus, um am den Passwortteil zu kommen. Also den, den ich von der Fritzbox gemountet habe.

 

[peterhoffmann]

Probiere es mal so:

FILE=/volume1/gemeinsamerOrdner/OrdnerderFritte/datei.txt
passwort1=`head -n 1 $FILE`

Pfad und Dateiname musst du dir anpassen.

 

[pegu]

Vielen Dank! Nun klappt es. Da in dem Beispielen die ich gelesen hatte immer von curl die Rede war, hatte ich nicht gewusst, wie man eine lokale Datei ausliest.

 

[pegu]

Ich bräuchte nochmals eure Hilfe ...

Mein Code sieht nun so aus:

#!/bin/bash

i1="ZZZ"
sleep 10

p1=$(curl -k sftp://MEINE_DATEN:22/neu/text.txt --user "MEIN_ANMELDENAME:MEIN_PASSWORT")
FILE=/volume1/TEST/1/test.txt
p2=`head -n 1 $FILE`

pw=$p1$p2
echo $pw

synoshare --enc_mount $i1 $i1$pw

#Variablen löschen
unset pw
unset p1
unset p2

Das Laufwerk ZZZ wird nicht eingehängt und ich bekomme folgende Meldung per E-Mail:

Password not matched.

Zusätzlich lasse ich mir ja das Passwort ausgeben. Das Spannende ist nun: Wenn ich das Passwort aus der E-Mail kopiere und per Systemsteuerung das Laufwerk mit genau dem Passwort aus der Mail einhänge, geht es ....

Leider verstehe ich nicht, was ich falsch mache.

EDIT:

Was mir gerade noch gekommen ist:

Wenn ich die Mail anschaue, steht vor dem PW noch das hier. Nicht das das auch noch in p1 steht:

 

[peterhoffmann]

synoshare --enc_mount $i1 $i1$pw

Probiere es mal mit:

synoshare --enc_mount $i1 $pw

Bei deiner Version besteht das Passwort aus ZZZ+p1+p2. Wenn ich es richtig verstanden habe, ist das Passwort aber nur p1+p2. Korrekt?