Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 17
  1. #1
    Anwender
    Registriert seit
    11.04.2019
    Beiträge
    10

    Standard Verschlüsselung und Benutzerordner

    Hallo zusammen

    habe gerade eine DS218j zum Ausprobieren da und mir ist noch immer nicht klar, ob das Gerät das kann, was ich suche (und wie ich das dann einrichten müsste...)

    Zum Hintergrund: ich arbeite zeitweise freiberuflich von Zuhause und verarbeite dabei auch gelegentlich (wirklich!) sensible Daten Dritter. Das Bedrohungsszenario das mich konkret interessiert ist daher "Diebstahl des NAS" bzw. "Beschlagnahme des NAS durch Strafverfolgungsbehörden" d.h. mit Trennung der Stromversorgung aber ohne irgendwelche Faxen auf Geheimdienst-Niveau (RAM tiefkühlen und auslesen etc.).

    Bisher liegen solche Daten aus historischen Gründen auf einem alten Windows-Rechner, dessen Platten mit TrueCrypt bzw. später dann mit VeraCrypt verschlüsselt sind. Damit war das konkrete Problem bislang gelöst: nach Unterbrechung der Stromversorgung kommt man an den Inhalt der Platten nur mit der Passphrase ran. Etwas Vergleichbares lässt sich wohl auf einer DS nicht machen, oder?

    1a.) Wenn ich das richtig verstehe, lassen sich "gemeinsame Ordner" verschlüsseln. Zumindest bei aktiviertem Auto-Mount liegt der Key aber auf dem NAS und bei jedem Start ist so ein Ordner dann wieder "offen". Die Sicherheit besteht in so einem Fall also nur über die Benutzerberechtigung. Ist das so? Und wird bei deaktiviertem Auto-Mount dann kein Key auf dem NAS mehr gespeichert? Gibt es zu dem dahinter stehenden Sicherheitskonzept irgendwo eine Doku?
    1b.) Wenn man kein Automount von verschlüsselten Ordnern macht und stattdessen manuell einghängt: erfolgt dann ein unmount, wenn die DS über die Energiesparoptionen "herunterfährt" bzw. ist nach einem WoL ein zuvor manuell eingehängter verschlüsselter Ordner wieder da oder getrennt?

    2.) Weiterhin gibt es einfache "Ordner" (damit sind wohl Benutzer-Ordner gemeint - ist mir noch immer nicht klar, was das sonst sein sollte und wie sie sich von "gemeinsamen Ordnern" in technischer Hinsicht unterscheiden). Diese Ordner sind nach meinem Verständnis grundsätzlich unverschlüsselt und nur über die Benutzerberechtigungen geschützt. Bedeutet das, dass jemand der die Platten aus dem NAS ausbaut und an ein anderes (Linux-)System hängt, vollen Zugriff auf die einfachen Ordner erhält?

    Oder gibt es andere DS-Modelle, die für das genannte Bedrohungsszenario einfach besser geeignet wären?

    Grüsse
    Geändert von zxmc (11.04.2019 um 10:36 Uhr) Grund: Umlaute2

  2. #2
    Anwender Avatar von peterhoffmann
    Registriert seit
    17.12.2014
    Beiträge
    1.966

    Standard

    Zitat Zitat von zxmc Beitrag anzeigen
    Die Sicherheit besteht in so einem Fall also nur über die Benutzerberechtigung. Ist das so?
    Ja.

    Zitat Zitat von zxmc Beitrag anzeigen
    Und wird bei deaktiviertem Auto-Mount dann kein Key auf dem NAS mehr gespeichert?
    Nein.

    Zitat Zitat von zxmc Beitrag anzeigen
    erfolgt dann ein unmount, wenn die DS über die Energiesparoptionen "herunterfährt"
    Ich nehme an, dass du damit den HDD-Ruhezustand meinst. Dann erfolgt kein unmount.

    Zitat Zitat von zxmc Beitrag anzeigen
    ist nach einem WoL ein zuvor manuell eingehängter verschlüsselter Ordner wieder da oder getrennt?
    Ich habe es nicht probiert, da ich kein WOL nutze. Vom Verständnis würde ich sagen, dass er da ist, da das System ja nur schläft. Fazit: Einfach mal probieren (Feedback ist erwünscht!).

    Zitat Zitat von zxmc Beitrag anzeigen
    meinem Verständnis grundsätzlich unverschlüsselt und nur über die Benutzerberechtigungen geschützt. Bedeutet das, dass jemand der die Platten aus dem NAS ausbaut und an ein anderes (Linux-)System hängt, vollen Zugriff auf die einfachen Ordner erhält?
    Solange etwas unverschlüsselt ist, hat man so vollen Zugriff.

    Zitat Zitat von zxmc Beitrag anzeigen
    Oder gibt es andere DS-Modelle, die für das genannte Bedrohungsszenario einfach besser geeignet wären?
    Im Schreiben füllt die DS218j nicht die volle Gigabitgeschwindigkeit aus, wenn der Ordner verschlüsselt ist.
    Siehe hier: https://www.synology.com/de-de/produ...ormance#1_2bay
    Teste das mal aus, ob dir die Geschwindigkeit beim Lesen und Schreiben in verschlüsselten Ordnern grundsätzlich reicht. Speziell bei vielen kleinen Dateien könnte das etwas langatmiger werden.
    Ansonsten mal die DS218+ anschauen.
    Geändert von peterhoffmann (11.04.2019 um 11:19 Uhr)
    Viele Grüße,
    Peter

    DS216+
    mit 8GB u. Noctua
    | |
    | |
    | |
    | |
    | |
    O AvrLogger für Synology DS
    Temperaturen, Netzwerk- und HDD-Aktivität fest im Blick
    O Ultimate Backup
    Backup von Daten leichtgemacht
    O synOCR - GUI
    Verarbeitung von PDFs

  3. #3
    Anwender Avatar von peterhoffmann
    Registriert seit
    17.12.2014
    Beiträge
    1.966

    Standard

    Ansatz:
    Es gibt mehrere Ansätze die Entschlüsselung beim Start automatisiert zu vollziehen, aber beim Diebstahl/Mitnahme dies zu verhindern.

    Beispiel:
    Man zerlegt das Passwort (123456789) in mehrere Teile (123+456+789) und legt die Teile in verschiedenen Bereichen ab.

    Dabei kommen u.a. in Frage:
    1. externer Webserver
    2. USB-Stick (mit langem Kabel an der DS)
    3. Freigabe im eigenen Netzwerk (z.B. Fritzbox, PC, Raspi, usw.)

    Beim Start lässt man durch ein Script die Teile zusammensuchen, zusammensetzen und entschlüsseln.

    Nehmen wir an, die DS wird aus dem Netzwerk genommen, fehlt mindestens der Teil vom Passwort, der nur intern im eigenen Netzwerk zur Verfügung steht. Wenn man dann noch das PW auf dem externen Webserver löscht, fehlt schon der zweite Teil. Wenn dann noch das Kabel mit dem USB-Stick nicht mitgenommen wurde, fehlt auch Teil3.

    Gedanken zum Verstecken:
    Raspi über WLAN: Der ist seitens Netzwerkkabel unabhängig und kann so gut versteckt werden, benötigt nur Strom (2 Watt, ca. 5 Euro im Jahr)
    USB-Stick: sehr kleines Modell, versteckt im Kabelwust, Kabelschacht vom Schreibtisch, verkabelt hinterm Schrank
    externer Webserver: Zusätzlich könnte man z.B. mittels PHP den (richtigen) Teil vom Passwort nur in einem festen Zeitfenster zur Verfügung stellen

    Extremversion:
    Auf der Synology ein verschlüsselter Ordner in dem ein Truecrypt/Veracrypt-Container liegt, der nur bei Bedarf geöffnet wird.
    Geändert von peterhoffmann (11.04.2019 um 11:38 Uhr)
    Viele Grüße,
    Peter

    DS216+
    mit 8GB u. Noctua
    | |
    | |
    | |
    | |
    | |
    O AvrLogger für Synology DS
    Temperaturen, Netzwerk- und HDD-Aktivität fest im Blick
    O Ultimate Backup
    Backup von Daten leichtgemacht
    O synOCR - GUI
    Verarbeitung von PDFs

  4. #4
    Anwender
    Registriert seit
    11.04.2019
    Beiträge
    10

    Standard

    Danke für die Rückmeldungen. Es ist in der Oberfläche der DS alles nicht so ganz intuitiv und miteinander verbunden (und auch die Texte in den Dialogen sind nicht immer so ganz klar), aber im Prinzip hab ich jetzt wohl alles zusammen:

    - ich verwende ausschließlich Shared Folders
    - die werden verschlüsselt
    - Keymanager wird verwendet und zwar auf externem USB-Gerät mit Auto-Mount.

    Das USB-Gerät für den Key-Manager ist eine Micro-SD-Karte in einem Card-Reader. Etwas blöd an der DS218j ist dabei, dass die USB-Anschlüsse vom Stromstecker fast blockiert werden der Card-Reader (im USB-Stick-Form) nicht direkt angesteckt werden kann. Dann eben mit USB-Verlängerungskabel... Der Stick wird nur zum Start der DS gesteckt und nach dem Hochfahren automatisch ausgeworfen. Dann kann man das Gedöns abziehen und die Mirco-SD wieder an einem sicheren Ort aufbewahren. Geht die SD kaputt oder verloren, lassen sich die verschlüsselten Ordner noch immer über Passphrase bzw. Schlüsseldatei "zu Fuss" mounten und ein neuer Keymanager einrichten.

    Im HDD-Standby sollten die verschlüsselten Ordner eigentlich nicht getrennt werden, beim "automatischen Ausschalten" der DS (in den Energieoptionen) vermutlich schon (muss ich noch testen), so dass ein WoL dann wohl keinen Sinn mehr macht. Aber das muss ich halt nochmal wirklich ausprobieren.

  5. #5
    Anwender
    Registriert seit
    11.04.2019
    Beiträge
    10

    Standard

    wie erwartet: Die DS kennt nur drei Zustände: 1.) DS an und Platten an 2.) DS an und Platten aus 3.) DS ganz aus. Bei 1.) und 2.) bleiben verschlüsselte Ordner geöffnet, bei 3.) eben nicht. Wird die DS aus dem Zustand 3.) per WoL geweckt, muss ein (Auto-)Mount erfolgen, sonst sind verschlüsselte Ordner nicht da.

    Leider lässt sich der Keystore des Schlüsselmanagers nur auf der DS-Systempartition oder einem USB-Gerät einrichten. Optimal für mich wäre der Keystore auf einem (S)FTP-Speicherplatz - aber das scheint nicht vorgesehen zu sein.

  6. #6
    Anwender Avatar von peterhoffmann
    Registriert seit
    17.12.2014
    Beiträge
    1.966

    Standard

    Zitat Zitat von zxmc Beitrag anzeigen
    Bei 1.) und 2.) bleiben verschlüsselte Ordner geöffnet, bei 3.) eben nicht.
    Danke für die Info.

    Zitat Zitat von zxmc Beitrag anzeigen
    Leider lässt sich der Keystore des Schlüsselmanagers nur auf der DS-Systempartition oder einem USB-Gerät einrichten.
    Einerseits wegen diesen Einschränkungen, sowie auch wegen dem Schlüsselmanager selber (fremde Software), nehme ich ihn nicht. Wer weiß, was der für Hintertüren wiederum hat.

    Beim Zusammenbauen vom Passwort per Script kann man beliebige Quellen nehmen, alles eine Frage wie man die Quellen über die Konsole ansprechen und auslesen kann. Und dabei bleibt alles (nur für dich) transparent, sprich es kommt keine Software wie der Schlüsselmanager zum Einsatz.
    Viele Grüße,
    Peter

    DS216+
    mit 8GB u. Noctua
    | |
    | |
    | |
    | |
    | |
    O AvrLogger für Synology DS
    Temperaturen, Netzwerk- und HDD-Aktivität fest im Blick
    O Ultimate Backup
    Backup von Daten leichtgemacht
    O synOCR - GUI
    Verarbeitung von PDFs

  7. #7
    Anwender
    Registriert seit
    11.04.2019
    Beiträge
    10

    Standard

    Zitat Zitat von peterhoffmann Beitrag anzeigen
    Beim Zusammenbauen vom Passwort per Script kann man beliebige Quellen nehmen, alles eine Frage wie man die Quellen über die Konsole ansprechen und auslesen kann. Und dabei bleibt alles (nur für dich) transparent, sprich es kommt keine Software wie der Schlüsselmanager zum Einsatz.
    gibt es dazu eine Anleitung für Nicht-Linuxer? Am besten mit dem einen oder anderen Musterbeispiel? Eigene Domain ist vorhanden, eine lokale Fritzbox und ein Raspi Zero (Pi-hole) auch. Im Prinzip müsste damit ja etwas gehen. Genau genommen wäre mir eine Abholung der (Teil-)Schlüssel vom Android-Smartphone z.B. per (s)ftp am Liebsten: wer das Gerät nicht hat und nicht entsperrt bekommt, der könnte den lokalen Smartphone-ftp-Server nicht starten und auch sonst nicht auf die Schlüssel zugreifen.

  8. #8
    Anwender Avatar von peterhoffmann
    Registriert seit
    17.12.2014
    Beiträge
    1.966

    Standard

    Das hier sollte für den ersten Start ausreichen:
    https://www.synology-forum.de/showth...l=1#post714057
    Ansonsten auch die Suchfunktion vom Forum mit "synoshare" füttern.

    Ein Weg mit (s)ftp müsste auch möglich sein. Auf den ersten Blick: mit "wget" die Datei über FTP holen, auslesen und wieder löschen. Das hätte nur den Nachteil, dass man die Datei "schreibt" und sie damit wiederherstellbar sein könnte. Aber eventuell gibt es auch einen Weg die Datei gar nicht abzulegen, sondern direkt auszulesen. Denkbar wäre auch die Datei bzw. deren Inhalt sicherheitshalber zu überschreiben.

    Hier der Weg um den Inhalt einer Datei von einem Webserver zu ziehen (z.B. externe Domain, Pihole, Webserver auf dem Handy, usw.):
    Code:
    pwteilX=$(curl -k http://www.domain.tld/dateiname.txt)
    Wenn du das alles hinbekommen hast, bau im Script noch ein kurzes "sleep" ein, siehe hier:
    https://www.synology-forum.de/showth...er-eingebunden
    Viele Grüße,
    Peter

    DS216+
    mit 8GB u. Noctua
    | |
    | |
    | |
    | |
    | |
    O AvrLogger für Synology DS
    Temperaturen, Netzwerk- und HDD-Aktivität fest im Blick
    O Ultimate Backup
    Backup von Daten leichtgemacht
    O synOCR - GUI
    Verarbeitung von PDFs

  9. #9
    Anwender
    Registriert seit
    11.04.2019
    Beiträge
    10

    Standard

    Danke, das sieht doch alles sehr machbar aus. Und wenn auf dem Smartphone ohne Root auch ein Webserver lauffähig ist (hatte bislang nur FTP geprüft und für möglich befunden), dann wäre das wohl das Einfachste.

  10. #10
    Anwender
    Registriert seit
    11.04.2019
    Beiträge
    10

    Standard

    so, im Prinzip läuft es - nach einigen Mühen:

    - das Passwort darf nur max. 64 Zeichen lang sein, was die zusammengesetzten PW etwas einschränkt (die Kette ist nur so stark wie das schwächste Glied...) Gegen gewöhnliche Diebe ist das kein Problem, bei einem kriminaltechnischen Institut wäre es schon problematisch, wenn Teile des PW bekannt werden und nur noch ein schwacher Rest fehlen würde
    - Verwendet man ein PW mit 64 Zeichen, kann man keinen Exportschlüssel mehr erstellen. Das mag unter kryptographischen Aspekten auch tatsächlich überflüssig sein (weil in dem Fall möglicherweise der Exportschlüssel mit dem PW identisch wäre), aber wenn man es trotzdem versucht (die Optionen sind nicht ausgeblendet), dann erhält man bei der notwendigen Eingabe des Passworts die irreführende Fehlermeldung, dass das eigene PW nicht korrekt sei.

    Wirklich zufrieden bin ich allerdings nicht - aus meiner Sicht gibt wohl eine klare und nicht behebbare Schwachstelle bei den DS: ein Reset des Admin-Passworts ist offenbar nicht mit einem Unmount verschlüsselter Ordner bzw. Neustart des Systems verbunden. Bei einem Angreifer, der a.) weiß, dass ein Synology-NAS existiert und der es b.) nicht auf die Hardware, sondern auf die Daten abgesehen hat, genügt es, wenn dieser sich im laufenden Betrieb mit gemounteten verschlüsselten Ordnern Zugang zum NAS verschafft, das Admin-PW zurücksetzt, sich als Admin einloggt und dann die Verschlüsselung der verschlüsselten Ordner deaktiviert (dazu ist kein weiteres PW mehr nötig). Danach kann er die DS ausschalten, nach Hause tragen und in aller Ruhe alle Daten auswerten. Oder übersehe ich da etwas, was so ein Vorgehen verhindern könnte?
    Geändert von zxmc (14.04.2019 um 14:16 Uhr)

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. Frage zu Netzlaufwerk / Benutzerordner
    Von bulldog35 im Forum File Station
    Antworten: 0
    Letzter Beitrag: 18.01.2019, 18:24
  2. Liste der Benutzerordner und deren berechtigten Nutzer
    Von whatever im Forum Terminal-Dienste (Telnet, SSH) - Linux-Konsole
    Antworten: 1
    Letzter Beitrag: 24.04.2017, 13:56
  3. PS Benutzerordner kein Zugriff
    Von HerrHase im Forum Photo Station und Blog
    Antworten: 3
    Letzter Beitrag: 24.01.2015, 10:04
  4. Wiederherstellung Inhalt Benutzerordner
    Von rstle im Forum Backup / Restore / Data Replicator Allgemein
    Antworten: 2
    Letzter Beitrag: 07.10.2014, 15:00
  5. Mac Benutzerordner in Cloudstation
    Von frankbeckerde im Forum Cloud Station
    Antworten: 1
    Letzter Beitrag: 03.05.2013, 18:59

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •