Ordner verschlüsseln und Backup auf zweite DS

Status
Für weitere Antworten geschlossen.

betacarve

Benutzer
Mitglied seit
30. Jul 2014
Beiträge
110
Punkte für Reaktionen
1
Punkte
18
Hallo zusammen!

Ich habe zwie DS 1815+. Die erste dient als produktiver Fileserver, die zweite als Backup für die erste.

Nun möchte ich gerne Ordner der produktiv DS verschlüsseln. Ich habe mich in das Thema soweit eingelesen, habe aber noch ein paar Fragen:

  1. Wenn ich es richtig sehe, muss ich neue, gemeinsame Ordner erstellen und direkt bei der Erstellung verschlüsseln? Eine nachträgliche Verschlüsselung bereits existierender Ordner ist nicht möglich!? Die Anleitung von Synology ist da etwas widersprüchlich.
  2. Ferner ist eine hohe Sicherheit nur gewährleistet, wenn ich den verschlüsselten Ordner nicht automatisch im DSM einbinden lasse, sondern dies immer manuell mache, wenn ich den Ordner brauche!? Weil wenn jemand die DS klauen würde und rein zufällig die Zugangsdaten kennen würde, hätte er sofort Zugriff auf den verschlüsselten Ordner. Korrekt?
  3. Das alles schützt aber nicht davor, dass wenn jemand auf meinen Rechner enthält und der verschlüsselte Ordner eingebunden ist!?
  4. Wie verhält sich das Backup auf die zweite DS? Ich vermute, dass die Ordner auch dort 1:1 verschlüsselt sind!?
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
zu 1) ist auch nachträglich möglich, allerdings nur, wenn der für den Gemeinsamen Ordner benötigte Speicherplatz auf dem Volumen auf dem dieser residiert noch als freien Speicherplatz verfügbar hat. Die Automatik macht hier auch nichts anderes als im Hintergrund einen neuen Ordner zu erstellen und die Daten zu kopieren und am Ende den Ordner wieder um zu benennen auf den alten Namen.

zu 2) korrekt. Die Ordner sollten nur bei Bedarf oder nur beim Start eingehängt werden und die Schüssel außerhalb der DS (USB oder andere Systeme) gelagert sein und nur für den Startvorgang zur Verfügung stehen (USB Schlüsselmanager, Stick nur beim Start der DS eingesteckt, oder Schlüssel auf Netzwerkfreigaben oder ähnlichem die nur die DS aus dem internen Netz erreichen kann.
Im ersten Fall sind die Ordner immer sicher sobald sie ausgehängt sind, im zweiten Fall nur, wenn die DS geklaut wird und dabei ausgeht und die Ordner nicht mehr automatisch (in der fremden Umgebung) einhängen kann.

zu 3) Richtig, Alle Daten auf die du mit deinem Rechner zugreifen kannst, mit den dort vorhandenen Anmeldedaten, kann auch ein Schädling benutzen, oder das Problem 60cm vor dem Bildschirm (versehentliches Daten löschen etc.)

zu 4) je nach Backup/Sicherungsmethode (du hattest keine spezifiziert) sind die Daten auf dem Ziel verschlüsselt oder auch nicht.
 

betacarve

Benutzer
Mitglied seit
30. Jul 2014
Beiträge
110
Punkte für Reaktionen
1
Punkte
18
Danke für deine schnelle Antwort - dann habe ich alles soweit richtig verstanden.

Bis auf Punkt 1 - hier ist die Beschreibung von Synology verwirrend, weil hier einerseit die Rede davon ist, dass die Verschlüsselung nur für neu angelegte Ordner möglich ist und ein paar Zeilen tiefer steht, dass auch bestehende Ordner verschlüsselt werden können. Platz habe ich auf jeden Fall genug.

Was Punkt 4 angeht, so nutze Hyper Backup
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
99
Punkte
134
Ad 1) Daran liegt es, dass es seit DSM 6.1. nun möglich, einen unverschlüsselten in einen verschlüsselten Ordner "umzuwandeln" - was vor der OS-Version DSM 6.1. nicht möglich war. Demzufolge die Seite nicht ganz aktuell bzw. dem roten Faden entsprechend nicht sauber dokumentiert.

Ad 4) Passt eh gut!
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
zu 4) im Fall von Hyper Backup gibt es wieder verschiedene Wege. Die Schlüssel sind nicht identisch mit dem Verschlüsselungsschlüssel des Gemeinsamen Ordners auf dem Quell-NAS.

Einmal kann man bei Sicherung auf Remote-NAS-Gerät die Client-Seitig Verschlüsselung auswählen. Dann sind die Daten in der Datenbank verschlüsselt auf dem Ziel gesichert, egal in welchen Ordner dies dort erfolgt. Die Daten sind dann permanent verschlüsselt solange man sie nicht "auspackt".

Der Zielordner kann auch auf dem Ziel-NAS ein verschlüsselter Ordner sein und die Daten sind dort hinein gepackt, auch wenn man eine "Klartext" Sicherung ala rsync-Kopie (Einzelversion) macht, oder bei den anderen Methoden die Datenbank unverschlüsselt speichert. DU musst allerdings dafür sorgen, dass der Zielordner während der Sicherung eingehängt/geöffnet ist.
 

betacarve

Benutzer
Mitglied seit
30. Jul 2014
Beiträge
110
Punkte für Reaktionen
1
Punkte
18
@ Fusion

Wenn ich das richtig verstehe, dann kann ich beim erstellen der Sicherung sagen, dass die Verschlüsselung übernommen werden soll. Bedeutet, dass für das verschlüsselte Backup derselbe Schlüssel gilt, wie für den Quell-Ordner?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Nein, wo steht das?

Es sind immer verschiedene Schlüssel.
 

betacarve

Benutzer
Mitglied seit
30. Jul 2014
Beiträge
110
Punkte für Reaktionen
1
Punkte
18
Nein, wo steht das?

Es sind immer verschiedene Schlüssel.

Nur damit ich es richtig verstehe:
Ich verschlüssel den Ordner auf dem Quell-NAS mit einem Schlüssel und beim Backup wird der Ordner mit einem anderen Schlüssel kodiert? Ist er dann doppelt kodiert - wass ich mir nicht vorstellen kann, oder wird der Order beim Backup auf dem Quell-NAS entschlüsselt und auf dem Ziel-NAS dann neu verschlüsselt?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Es kann 3 verschiedene Schlüssel geben. Auf dem Quell-NAS, auf dem Ziel-NAS und die Client-Verschlüsselung.
Der Ordner auf der Quelle muss eingehängt sein, damit Hyper Backup eine Sicherung machen kann. Für Hyper Backup ist es demnach irrelevant ob es sich dabei um einen verschlüsselen oder nicht verschlüsselten Ordner handelt, weil eh nur Zugriff besteht, wenn der Benutzer dafür gesorgt hat, dass die Daten so oder so direkt zugänglich sind.
Ebenso am Ziel.

Im Fall, dass du die Client-Verschlüsselung benutzt und auch einen verschlüsselten Ordner am Ziel sind die Daten wirklich doppelt verschlüsselt mit verschiedenen Schlüsseln, wenn der Ordner am Ziel ausgehängt wird.
 

betacarve

Benutzer
Mitglied seit
30. Jul 2014
Beiträge
110
Punkte für Reaktionen
1
Punkte
18
Ich muss gestehen, dass ich mit den Schlüsseln grad den Überblick etwas verliere :confused:

So hab ich die unterschiedlichen Verschlüsselungsmethoden verstanden:
  1. Ich verschlüssel also erstmal den Ordner auf dem Quell-NAS - das wäre dann der erste Schlüssel
  2. Wenn ich nun beim erstellen der Backupaufgabe die Client-seitige Verschlüsselung aktiviere, dann wird der bereits verschlüsselte Ordner (siehe 1) nochmal verschlüsselt?
  3. Mit Verschlüsselung auf dem Ziel-NAS meinst du, dass ich einen dort vorhandenen Ordner so verschlüsseln kann, wie auf dem Quell-NAS!?

Meine Frage geht dahin:
Wenn ich einen Ordner auf dem Quell-NAS bereits verschlüsselt habe und per Hyper-Backup eine Sicherung auf eine zweite DS mache; wird der bereits verschlüsselte Ordner dann 1:1 übernommen - also inkl. der bereits auf dem Quell-NAS erstellten Verschlüsselung, oder wird er beim Backup entschlüsselt und entsprechen unverschlüsselt auf dem Backup-NAS abgelegt?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Die Verschlüsselungen haben nichts miteinander zu tun, sind immer einzeln zu betrachten.
Die Syno verschlüsselt deine Freigabe
Das Backup sichert unverschlüsselte Dateien (sonst könnte man nicht auf sie zugreifen) in einem verschlüsselten Backup
Das Ziel-NAS hat ebenfalls seine eigene Verschlüsselung
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
@betacarve - um mit den Daten zu arbeiten sind sie immer unverschlüsselt.
Vielleicht als Analogie. Du hast zwei Tresore A und B (das entspricht den verschlüsselten Gemeinsamen Ordnern auf den zwei DS)
Und du hast ein Dokument welches du in Tresor A legst.

Um an das Dokument heranzukommen musst du Tresor A öffnen (mit Schlüssel A). Ob das jetzt ist, weil du davon eine Sicherung machen willst, oder einfach nur um damit zu arbeiten.
Jetzt machst du eine Kopie des Dokumentes und legst sie in Tresor B (dazu musst du den erst mal öffnen mit Schlüssel B).
Das entspräche dem Backup mit Hyper Backup ohne Client-seitige Verschlüsselung.
DU musst Tresor A und B öffnen damit Hyper Backup die Daten von A nach B sichern kann.

Wenn jetzt Tresor B offen ist, weil du auf anderen Inhalt zugreifen willst und aber trotzdem willst, dass das Dokument nicht lesbar ist nimmst du ein kleines Schatzkästchen, schließt dies ab, und legst es in Tresor B. Das entspricht der Client-Seitigen Verschlüsselung.

Und direkt zu deiner Nummerierung:
1) ja, das ist der erste Schlüssel
2) nein, du entschlüsselst/öffnest zuerst mit dem ersten Schlüssel und verschlüsselst den Inhalt mit dem zweiten Schlüssel vor der Übertragung
3) ja, mit Schlüssel Nummer 3.
Am Ende liegen also deine Daten, wenn die Ordner verschlossen sind, verschlüsselt mit Schlüssel 1 auf DS1, und die mit Schlüssel 2 verschlüsselten Daten liegen im mit Schlüssel 3 verschlüsselten Ordner auf DS2.

Und damit auch zu deiner letzten Frage: Nein, es wird nichts übernommen. Wenn du einen verschlüsselten Ordner (den du öffnen/entschlüsseln musst damit Hyper Backup überhaupt Zugriff bekommt) ohne weitere Maßnahmen auf die DS2 sicherst, dann sind die Daten am Ziel unverschlüsselt abgelegt.
 

betacarve

Benutzer
Mitglied seit
30. Jul 2014
Beiträge
110
Punkte für Reaktionen
1
Punkte
18
Ich danke dir für deine Mühe und Geduld, Fusion! Den anderen natürlich auch!

Aber etwas ist mir noch nicht so 100%ig klar. Muss ich zwangsweise auf dem Backup-NAS ebenfalls einen verschlüsselten Ordner anlegen?

Was mich verwirrt:
[*]Die Daten auf NAS A (Quelle) sind mit Schlüssel A verschlüsselt
[*]Für ein Backup, muss ich die Daten mit Schlüssel A vor laufen des Jobs entschlüsseln
[*]Im Backup Job, aktiviere ich die Client-seitige Verschlüsselung (Schlüssel B). Damit sind die Daten dann im Zielordner auf dem Backup-NAS (B) mit Schlüssel B verschlüsselt!?

Am Ende liegen also deine Daten, wenn die Ordner verschlossen sind, verschlüsselt mit Schlüssel 1 auf DS1, und die mit Schlüssel 2 verschlüsselten Daten liegen im mit Schlüssel 3 verschlüsselten Ordner auf DS2.

Ich weiß nicht richtig, wie ich es erklären soll... Aber wenn ich die Client-seitige Verschlüsselung aktiviere, dann sind die Daten doch verschlüsselt auf dem Backup-NAS abgelegt. Wofür dann noch den Backup-Ordner zusätzlich verschlüsseln? Auf dem Quell-NAS habe ich doch auch nur einen Schlüssel. Verstehst Du mein (Verständnis)Problem? :eek:
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Das musst du nicht machen, man kann es aber. Je nachdem welche Anforderungen man eben hat.
Wenn ich z.b. Die Daten im Klartext auf der Ziel DS haben will, aber trotzdem die Daten noch sicher verwahrt haben will, falls die DS geklaut wird, dann sicher ich ohne Clientseitige Verschlüsselung, aber mit verschlüsseltem Ordner auf dem Ziel NAS.
Oder wenn gemischte Szenarien vorkommen die ich in den selben Sammelordner sichere, ja, dann sind manche Sicherungen eben doppelt verschlüsselt.
 

betacarve

Benutzer
Mitglied seit
30. Jul 2014
Beiträge
110
Punkte für Reaktionen
1
Punkte
18
Ich hatte etwas viel um die Ohren, deswegen melde ich mich jetzt erst.

Hab mir deine, Fusion, letzte Antwort jetzt noch mal durchgelesen und ich hoffe, ich verstehe es richtig, was du mit gemischten Szenarien meinst.

Meinst du damit folgendes:
Ich habe auf der Backup DS einen verschlüsselten Ordner. Darin sichere ich von der Produktiv DS zwei Ordner.

Ordner A ist bereits verschlüsselt und wenn ich die Client-seitige Verschlüsselung beim Hyper Backup aktiviere, wäre dieser Ordner auf der Backup-DS doppelt verschlüsselt. Einmal mit dem Schlüssel der Client-seitigen Verschlüsselung des Hyper Backups und dann noch ein zweites Mal, weil der Ordner auch der Backup-DS ja verschlüsselt ist.

Order B auf der Produktiv DS ist nicht verschlüsselt, ich nutze beim Hyper Backup keine Client-seitige Verschlüsselung, sichere aber in den verschlüsselten Ordner der Backup-DS. Also wäre der Ordner B im Backup nur einfach verschlüsselt.

Habe ich das jetzt so richtig verstanden?

Wenn ja; könnte ich für Ordner B dann nicht auch die Clientseitige Verschlüsselung aktivieren, damit wäre dieser Ordner dann auch auf der Backup-DS doppelt verschlüsselt? Aber wenn ich das Backup von Ornder B zurückspielen würde, wäre der wiederhergestellte Ordner auf der Produktiv-DS eben nicht verschlüsselt.

Wenn ich dagegen den Ordner A wiederherstellen würde, wäre er auf dem Produktiv-DS nach wie vor mit dem Schlüssel 1 gesichert?

Habe ich das soweit korrekt verstanden?

Tut mir leid, aber die Verschlüsselungsproblematik ist halt ganz neu für mich und ich möchte sie einfach richtig verstehen :eek:
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Ja, denke das hast du verstanden.
Die 'gemischten Szenarien' kommen halt eher bei Mehrbenutzer Konstellation vor. Wenn z.b. Person 1 den Schlüssel für den Backup Ordner auf DS2 kennt. Und Person 2 ein Backup dorthin macht, ob man das ohne oder mit client-seitigem Schlüssel macht. Nur im letzten Fall sind die Daten auf DS2 auch vor den neugierigen Blicken von Person 1 sicher.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat