DSM 6.x und darunter Sinnhaftigkeit verschlüsselte Ordner beim Start autom. einzuhängen (aufzusperren)

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

iOOi

Benutzer
Mitglied seit
22. Jul 2018
Beiträge
187
Punkte für Reaktionen
0
Punkte
22
.

Mit dem Schlüsselmanaganger kann die DS beim Booten selbstständig alle verschlüsselten Ordner einhängen, also "aufsperren".
Ist das nicht so, als hätte man ein Gebäude mit Panzertüren, und lässt alle Schlüssel stecken, wenn man auf Urlaub fährt?
Oder ist diese Funktion doch halbwegs sicher, da sie nur funktioniert, solange die Stromzufuhr nicht unterbrochen wurde?

LG
iOOi




PS: Allgemeines Sicherheitsproblem mit eingehängten, also aufgesperrten verschlüsselten Ordnern: Nimmt der Dieb die DS inkl. USV mit, hat er Zugang zu allen Daten. Im Auto braucht er bei einer längeren Fahrt nur einen 230V Wechselrichter, damit der Akku der USV nicht schlapp macht.

PPS: Versorgt die USV eigentlich die DS während eines Stromausfalls, wenn die USV die DS automatisch herunter gefahren ist?
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
eigentlich hast du Recht, die gerade lesbaren Ordner sind halt verfügbar so lange sie nicht ausgehängt und damit die Entschlüsselung beendet worden ist.
Bei der USV kommt es darauf an ob sie mit der DS kommuniziert. Ist zwar üblich aber nicht zwingend. Wenn sie kommuniziert, wird sie nach einer einstellbaren Zeit die Festplatten 'unmounten', damit wird auch die Entschlüsselung beendet. Und ja, USV versogt die DS mit Energie bis sie sich (je nach Model) selber abstellt zum eigenen Schutz. Startet sich selber wenn wieder Strom vorhanden ist und wird danach die DS starten (einstellbar).
 

iOOi

Benutzer
Mitglied seit
22. Jul 2018
Beiträge
187
Punkte für Reaktionen
0
Punkte
22
Die Frage nach der Sinnhaftigkeit verschlüsselte Ordner beim Start autom. einzuhängen (aufzusperren) wurde noch nicht behandelt.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Das automatische Einhängen macht insofern Sinn, dass der Zugriff auf Daten bei ausgebauten Platten nicht möglich ist.
Ob du manuell oder automatisch bootest, ohne ein Passwort kommst du nicht an die Daten.
Und ja, die Sicherheit ist höher, wenn du das Entschlüsseln nicht durch die Syno oder durch einen dort angesteckten USB-Stick aktivierst sondern wenn der Schlüssel woanders im LAN "versteckt" liegt, was ja auch möglich ist.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
PS: Allgemeines Sicherheitsproblem mit eingehängten, also aufgesperrten verschlüsselten Ordnern: Nimmt der Dieb die DS inkl. USV mit, hat er Zugang zu allen Daten. Im Auto braucht er bei einer längeren Fahrt nur einen 230V Wechselrichter, damit der Akku der USV nicht schlapp macht.

Da musst du deine Kabel schon so verlegen, dass ein Mitnehmen ohne Ausstecken nicht möglich ist. ;)
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Die Frage nach der Sinnhaftigkeit verschlüsselte Ordner beim Start autom. einzuhängen (aufzusperren) wurde noch nicht behandelt.

Doch, wurde sie schon des öfteren: es ist praktisch!
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Mangels USV bin ich noch nicht über diese Problematik gestolpert. Danke.
Falls ich mal eine USV mir kaufe, werden die Kabel "verwirrt". ;)
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.086
Punkte für Reaktionen
1.067
Punkte
314
.
PS: Allgemeines Sicherheitsproblem mit eingehängten, also aufgesperrten verschlüsselten Ordnern: Nimmt der Dieb die DS inkl. USV mit, hat er Zugang zu allen Daten.

Nun ja, erstmal muss der "Dieb" ja einen Namen und ein Passwort haben um sich am DSM oder aber per SSH am Terminal anzumelden. Daher predigen hier auch alle immer und immer wieder, starke Passwörter zu verwenden (2-Stufen Verifizierung und sonstige Sicherheitssteigerungen etc. wäre dann der nächst logische Schritt). Von daher sehe ich da erstmal keine soooooo große Gefahr. Und wenn der Dieb keine USV vorfindet, dann muß er die DS zwangläufig vom Strom nehmen und somit fällt der verschlüsselte Ordner erstmal zu und gut ist. Wenn man dann auch noch den Verschlüsselungs-Schlüssel (also das Key-File bzw. einen generierten HASH-Wert) nicht auf der DS sondern auf z.B. einem USB-Stick ablegt, der nur beim Start der DS eingesteckt wird, oder das Key-File sonst wo im Netzwerk ablegt (da gibt es ja durchaus Möglichkeiten), hat man eigentlich nicht viel zu befürchten. Aber sicherer ist natürlich, so einen Ordner nur bei Bedarf zu mounten und wieder zu trennen, wenn man ihn nicht mehr benötigt. Festplatte ausbauen und es an einem Live-Linux o.ä. probieren... klar, kann man versuchen, aber auch hier wird man sich bestimmt die Zähne ausbeißen.

Aber mal ehrlich... welcher Dieb ist gleichzeitig ein Hacker? Ein "normaler" Dieb ist wohl eher am Gegenstandswert interessiert und nicht an der Digitalen Beute.

Tommes
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.999
Punkte für Reaktionen
264
Punkte
373
Hallo,
das USV Scenario ist doch eher aus der Luft gegriffen. Meine USV wiegt 14kg ist handlich wie ein Bordstein, piept laut wenn der Strom weg ist, die DS geht nach einer Minute in den sicheren Modus und schaltet die USV ab. Einbrecher suchen leichte schlecht nachverfolgbare Beute, Schmuck, Bargeld, Handy, Tablet, Laptop usw. und wollen schnell wieder weg sein. Hat es jemand auf Deine Daten abgesehen wird er es diffiziler angehen.

Gruß Götz
 

iOOi

Benutzer
Mitglied seit
22. Jul 2018
Beiträge
187
Punkte für Reaktionen
0
Punkte
22
USB abstecken, dann geht das NAS nicht schlafen.

Meine 1kW USV hat bei voller Batterie einen Eigenverbrauch von 50W. Das ist fast der Verbrauch meines NAS mit 40TB brutto. Ich vermute, dass deine 14kg USV einen ähnlich hohen Eigenverbrauch hat.
Meine kleine, für das NAS + Switch völlig ausreichende USV hat einen Eigenverbrauch von lediglich 7W.


Dank dem Reset-Taster und einer Büroklammer kann sich der Dieb die USV sparen.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.086
Punkte für Reaktionen
1.067
Punkte
314
Dank dem Reset-Taster und einer Büroklammer kann sich der Dieb die USV sparen.

Dann solltest du das Tutorial auch richtig lesen, dort ist unter Punkt 2 Modus 1: Administrator-Anmeldedaten und Netzwerkeinstellungen zurücksetzenden (einfacher Reset) u.a. zu lesen, das verschlüsselte Ordner getrennt werden und die Funktion „beim Start automatisch bereitstellen“ deaktiviert wird. Beim doppelten Reset wird nebenbei auch noch das Betriebsystem neu installiert, aber der verschlüsselte Ordner bleibt in beiden Fällen sicher verschlossen.

Tommes
 

iOOi

Benutzer
Mitglied seit
22. Jul 2018
Beiträge
187
Punkte für Reaktionen
0
Punkte
22
Kann man als neuer Admin dann nicht das automatische Einhängen einfach wieder einschalten? Nach einem Neustart wäre dann alles zugänglich.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Sicher kannst du das, wenn du das Passwort kennst...
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
oder die Schlüsseldatei hast.
 

iOOi

Benutzer
Mitglied seit
22. Jul 2018
Beiträge
187
Punkte für Reaktionen
0
Punkte
22
Ok, das klingt gut.
Der Dieb muss also doch die USV mit abgestecktem USB Kabel mitnehmen.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Ja, und dann? Das hilft ihm auch nicht weiter...
 

iOOi

Benutzer
Mitglied seit
22. Jul 2018
Beiträge
187
Punkte für Reaktionen
0
Punkte
22
Wenn der Dieb kein PW kennt, tut er sich tatsächlich schwer.

Ich glaube SMB1 ist nicht sicher. Stimmt das?
Wie schwer ist es sonst ohne gekannten PW an die Daten zu kommen?

Kann er auf die nicht verschlüsselten Ordner nach dem Reset mit dem standard-Admin zugreifen?
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
ausser man nutzt ein Raid5 oder SHR mit mindestens 3 HDs , dann nützt das Auslesen einer einzelnen HD gar nichts.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat