Funktionsweise Verschlüsselung DS212+ vs. Truecrypt

[mk162]

Hallo zusammen,

in das Thema NAS, Backup, Sicherungen sowie generell Verschlüsselung und verschiedene Protokolle wie WebDav, iscsi, ftp etc. habe ich mich inzwischen etwas eingelesen.
Dennoch benötige ich mal die Hilfe eines Profis.

Wunsch:Zentraler Datenspeicher, mit Raid 1 zur Sicherung (Backup erfolgt auf externe USB 3.0 Festplatte)

Bevorzugt:DS 212+
Notlösung:Fantec Festplattengehäuse 2x 3,5", Raid 1

Den NAS Vorteil des Fernzugriff benötige ich nicht zwingend, schön wäre es aber dennoch um für alle Eventualitäten und die Zukunft gerüstet zu sein. Bedürfnisse ändern sich ja schnell mal ...
Ein NAS mit Fernzugriff kommt aber ausschließlich unter Verwendung einer ordentlichen Verschlüsselung infrage !
Auch das die externen Festplatten (im Fantec Gehäuse) wäre mit Truecrypt gesichert.

NAS mit Truecrypt und dem iscsi Protokoll ist ja problemlos als "lokales" Laufwerk einzubinden und zu verwenden.

FRAGE 1:
Wie sieht es bezüglich Fernzugriff und Treucrypt auf NAS aus? Ist das auch möglich?
Funktioniert ein Zugriff per Android ?

Die eigene Verschlüsselung der DS 212+ verwendet ja wie Treucrypt AES 256 ...
Soweit so gut, doch jeder Client kommt ohne Verschlüsselungssoftware aus ... Das bedeutet doch das die Daten bereits auf der NAS mit dem Zugriff entschlüsselt werden und bei Fernzugriff bereits unverschlüsselt übertragen werden oder ??
Truecrypt entschlüsselt ja immer erst auf dem Client ...

FRAGE 2:
Ist die "hauseigene" AES Verschlüsselung der DS 212+ nun in Bezug auf den Fernzugriff ebenso sicher als würde ich einen Truecrypt Container laden und auf dem Client entschlüsseln ?
Oder ist diese eher für den Fall dass die DS physisch in die falschen Hände gerät ?
Vorteil der internen Verschlüsselung wäre denke ich das unkomplizierte und flexible Zugreifen von überall, auch über Android Geräte.

Für fundiertes Fachwissen vielen Dank im Voraus ;-)

 

[Merthos]

Hmm, wenn Du keinen Fernzugriff brauchst, warum sind dann alle Fragen nur dazu.

1) Truecrypt läuft nicht auf der DS. Du kannst einen Container dort ablegen, aber in dem Fall ist die DS nur ein "ganz dummer" Fileserver / iSCSI-Anbieter.

2) Das ist keine "hauseigene" Verschlüsselung sondern eCryptfs, ein durchaus verbreiteter Standard. Das Passwort liegt auf der DS, entweder dauerhaft (wobei dann die Frage ist, wozu die Verschlüsselung) oder temporär (Eingabe über das Webfrontend). Zugriff auf die Daten erfolgt nicht verschlüsselt über die üblichen Protokolle (z.B. SMB), von daher musst Du die Übertragung absichern, z.B. mit VPN.


Eventuelle vermischt Du aber auch Verschlüsselung der Daten auf der Platte mit Absicherung der Übertragung (SSL, VPN).

 

[mk162]

Hmm, wenn Du keinen Fernzugriff brauchst, warum sind dann alle Fragen nur dazu.

1) Truecrypt läuft nicht auf der DS. Du kannst einen Container dort ablegen, aber in dem Fall ist die DS nur ein "ganz dummer" Fileserver / iSCSI-Anbieter.

Die Fragen weil es nicht unbedingt sein müsste aber schön wäre es dann doch ;-)
Schön finde ich auch, dass ich zuhause nicht mit Kabel an den Festplatten "hängen" muss sondern das ganze über WLAN klappt ... ;-)

Weshalb "dumm" ? Gleichzeitiger Zugriff ist nicht nötig, ein TV oder so muss auh nicht zugreifen... Wo liegen sonst noch Nachteile diesebezüglich bei iSCSI ?

2) Das ist keine "hauseigene" Verschlüsselung sondern eCryptfs, ein durchaus verbreiteter Standard. Das Passwort liegt auf der DS, entweder dauerhaft (wobei dann die Frage ist, wozu die Verschlüsselung) oder temporär (Eingabe über das Webfrontend). Zugriff auf die Daten erfolgt nicht verschlüsselt über die üblichen Protokolle (z.B. SMB), von daher musst Du die Übertragung absichern, z.B. mit VPN.


Eventuelle vermischt Du aber auch Verschlüsselung der Daten auf der Platte mit Absicherung der Übertragung (SSL, VPN).

Ist mit VPN / SSL der Zugriff über Android möglich ?
Gibt es zu VPN oder SSL sonst noch Insider-Wissen welches sich nicht auf der ersten Seite der Google-Suche finden lässt ? ;-)

 

[Merthos]

Ich glaube, wir sollten erst mal die Rahmenbedingungen klären. Mit welchen Geräten willst Du von wo (LAN, WLAN, Internet, ...) zugreifen?

 

[mk162]

Ich glaube, wir sollten erst mal die Rahmenbedingungen klären. Mit welchen Geräten willst Du von wo (LAN, WLAN, Internet, ...) zugreifen?

Am wichtigsten ist der Zugriff im heimischen WLAN-Netz über mein Notebook.

Die Lösung eines externen Raid 1 Festplattengehäuse über USB-Kabel wäre natürlich irgendwie ausreichend für mich und viel einfacher... Aber ich bin mir nicht sicher ob die am Markt befindlichen Teile wirklich was taugen und scheinbar ist auch das Fantec lauter als die DS 212+ und dabei hat das Gehäuse nichtmal irgendeinen Vorteil ggü. der NAS Alternative... mal abgesehen davon dass ich mir dann keine großartigen Gedanken mehr machen müsste und es preislich attraktiver ist, aber bilde mich ja gerne weiter in diesem Bereich ;-)

Alles Andere mutiert zum hätte könnte würde, wäre schön wenn ...
Zuhause über WLAN (oder eben auch unterwegs) die kürzlich mit dem Android Handy geschossenen Bilder direkt auf das NAS sichern...ohne Notebook hochzufahren (auch wenn das dank SSD sehr schnell geht )
Unterwegs möglichst sicher in einem fremden WLAN-Netz oder auch mal UMTS/3G und schlagmichtot auf meine Daten zuhause zugreifen...dies kann über meinen oder einen fremden Notebook/PC geschehen oder wieder mal das oft genannte Android Gerät
Bestimmte Daten einem Vertrauten zum Zugriff bereitstellen...über ftp z.B oder auch anderes Protokoll wenn es mehr Sinn machen würde.

 

[Merthos]

Dafür brauchst Du kein TrueCrypt o.ä. Das WLAN sollte schon richtig gesichert sein (sonst hast Du ganz andre Probleme) und für Fernzugriff über's Internet halt VPN (geht auch mit Andriod) oder SSL.

 

[mk162]

Das bedeutet mit eCryptfs ist das NAS so verschlüsselt dass bei Diebstahl niemand an die Daten kommt und die Sicherheit zuhause ist über WLAN gegeben und unterwegs durch VPN/SSL?
Also wäre es paranoid eine End-to-End Vollverschlüsselung mit Truecrypt anzuwenden ?

Aber WLAN sicher?
Hatte mal eine Anleitung um WLAN zu knacken, wollte mein eigenes auf Lücken prüfen.
Allerdings bin ich daran gescheitert die MAC-Adresse des WLAN-Controllers zu ändern was aber ja mit Linux kein Problem sein dürfte...
Man liest die Adressen des eigentlichen Klienten aus und weil der nicht als Doppelanmeldung zugelassen ist wird er rausgekickt und anschließend loggt man sich ein und täuscht vor der eigentliche Client zu sein.
So in etwa zumindest :-D

Und dann noch ein Szenario:
Ein Freund wählt sich legitimerweise auf dem NAS ein weil er es darf.
Dieser hat sich allerdings irgendwas eingefangen oder nimmt es mit dem Datenschutz und der Sicherheit nicht so genau und über seine ftp-Verbindung klinkt sich jemand unbefugtes im NAS ein ... ?!?

 

[amarthius]

Die Verschlüsselung von gemeinsamen Ordnern bei der DS bringt etwas gegen Diebstahl oder zum Schutz von Söhnen und Töchtern. Wird der Ordner im DSM mit dem Passwort gemountet kann er von JEDEM der Rechte auf diesen Ordner besitzt gelesen werden. Wird er ungemountet ist er nicht mehr sichtbar. Dies geschieht automatisch bei einem Neustart der DS. Ein Dieb hat somit beim Klau deiner DS keinen Zugriff auf diesen Ordner, zumal er ja noch den normalen User/PW rausbekommen muss.

Thema Freund: Wenn er einen Virus/Trojaner auf das NAS lädt passiert nix. Außer es ist ein spezieller der Linux angreift. Zumal es auch noch für Paranoide einen Virenscanner für die DS gibt. Unbefugt einklinken kann er sich, wenn er die richtige Benutzer/PW Kombi kennt.

100% Sicherheit gibt es nicht. Ein starkes Passwort, Automatische Blockierung, Routerfirewall und nur die Ports freigeben die du auch benötigst und du bist schon auf der sicheren Seite. Wenn du dann nicht Hinz und Kunz User/PW gibst ist auch alles in Ordnung.

 

[mk162]

Ok klingt doch ganz gut

Danke für eure Hilfe!

Dann bin ich beruhigt und muss mich nur noch entscheiden ob ich den Mehrpreis für NAS anstelle externem Raid 1 Gehäuse bezahlen möchte...
Von Synology gibt es sowas ja nicht oder?

 

[mk162]

Ginge iSCSI per Fernzugriff nun überhaupt ?

Jetzt habe ich soviel über das alles gelesen dass ich doch teilweise wieder verwirrt bin

Kann ich Treucrypt-Container über WebDav mounten ?

Und warum bricht bei der DS eigenen Verschlüsselung die Übertragungsgeschwindigkeit denn so ein wenn doch die Daten nur beim Start der DS entschlüsselt werden und auch unverschlüsselt übertragen werden ??

 

[Merthos]

Was ist für Dich "Fernzugriff"?

iSCSI: Lan ja, WLAN ja (evtl. langsam), Internet via VPN ja (sehr warscheinlich langsam)

Geschwindigkeit: Es wird fortlaufend Ent- (beim Lesen) und Verschlüsselt (beim Schreiben).

 

[jahlives]

@mk162
ein WLAN mit WPA2 und genügend langem PW knackst du sicher nicht mit einfachem Mac-Spoofing. Das ging vielleicht bei WEP noch, aber WPA2 sollte dem widerstehen können. Kann sein, dass ein Client aus der Verbindung fliegt wenn du dessen Mac Adresse spoofst, aber deswegen hast du noch keine WLAN Verbindung ;-)

 

[mk162]

also gut ;-)

Vielen Dank soweit für die Infos!