Sind die Daten auf der Synology Festplatte geschützt?

[fredi_fuchs]

Hallo,


ich habe mir vor kurzem eine Synology DS gekauft und konnte im Internet keine Antwort zu folgender Fragen finden

Wenn jemand die Festplatte an einem Rechner anschließt (also ohne NAS) könnte er direkt auf die Daten zugreifen oder sind diese irgendwie geschützt?

Falls nein könnt ihr mir was empfehlen?

Danke im Voraus

VG

 

[Flessi]

Welche DS? Raid?
"Gemeinsame Ordner" lassen sich verschlüsseln (je nach Leistungsfähigkeit der DS?) !

 

[fredi_fuchs]

Hallo Flessi,

Danke für deine schnelle Antwort. Das heißt man könnte die Platte ausbauen und z.B. per USB auslesen.

Ich habe eine DS220+ im Raid.

Würdest du eine Verschlüsselung empfehlen oder kostet das zu viel Performance?

 

[Flessi]

Die Dateien sind je nach Raid-Variation möglicherweise auf mehreren Platten verteilt und deshalb von EINER EINZELNEN Platte nicht lesbar.
Auch muss das Lesesystem das Filing-System-Format lesen können (ext4, BTRFS etc).!
Aber der Experte kann das z.B. mit einem LINUX-System auslesen.
"Verschlüsselung freigegebener Ordner" steht im Datenblatt der 220+.
Die findest du in der Systemsteuerung -> Gemeinsame Ordner (Ordner anklicken, dann oben auf bearbeiten) -> Verschlüsselung.
Ein Hardware-Verschlüsselungsmodul scheint dein Gerät nicht zu besitzen. Also erst mal zur Probe mit einem kleinen "Gemeinsamen (Test-) Ordrner" die Performance testen.
Eigentlich findest du alles Weitere schon mehrfach diskutiert hier im Forum.

 

[blotto82]

Das verschlüsseln eines öffentlichen Ordners geht aber nur beim erstellen, nachträglich geht das leider nicht.
Das RAID bei Synology ist ein Software RAID, also kann es relativ einfach nachgebildet werden wenn man es weiß.
Bei einem RAID 1 sind ja auf beiden Festplatten die kompletten Daten drauf, das ist am einfachsten auszulesen, erst ab Raid 1 oder 5 wird es komplizierter.

 

[Flessi]

Auf meinen Geräten (s.u.) kann ich jeden unverschlüsselten Gemeinsamen Ordner verschlüsseln und umgekehrt!

 

[blotto82]

Bei meiner 918+ ging es nicht nachträglich. Nur beim erstellen.

 

[Jagnix]

Das verschlüsseln eines öffentlichen Ordners geht aber nur beim erstellen,

Nur beim erstellen.

Falsch und falsch.

Man kann die Ordner nachträglich verschlüsseln.
Einzige Voraussetzung dafür ist, das genug Platz auf den Platten ist.
Das bedeutet: Wenn man einen Ordner mit 500GB verschlüsseln möchte muss min. 1 TB frei sein.
Die Daten sind beim nachträglichen Verschlüsseln kurze Zeit 2mal vorhanden. Die unverschlüsselten Daten werden in den "verschlüsselten Bereich" kopiert.

 

[blotto82]

Stimmt, habe mich vertan. Ich war noch bei der gedanklich bei der Komprimierung gewesen.
Das verschlüsseln geht noch nachträglich, hab das verwechselt

 

[Sequoia]

Ich hänge mich mal hier mit an:

wenn ich nun alle Ordner verschlüssle, habe ich irgendwelche negativen Auswirkungen auf DS Video, Synology Photos, Dateizugriff vom Mac aus, oder auch bei der Freigabe von Dateien (über Filestation und Drive via externem Link)?

Ich hoffe, Ihr wisst, wie ich das meine.

Würde gerne nach einem Start der DS manuell die Ordner "öffnen" müssen, aber sobald die HDDs mal ausgebaut werden (Diebstahl), sollte es wieder verschlüsselt werden.

 

[Rotbart]

Ausser geringen Performanceverlust, den du aber wenn überhaupt wohl nur im direkten Vergleich merkst eigentlich nicht.Du kannst die Schlüssel auf einen USB-Stick ablegen, d.h. wenn beim Neustart der USB-Stick angesteckt ist werden die Ordner automatisch entschüsselt und der Stick kann abgezogen werden, wenn dir jemand die Station klaut sieht er nur Datensalat.

 

[Sequoia]

Super. Das heißt, ich verschlüssele alle Ordner, nehme einen Stick und bei jedem Neustart (der ja eigentlich nie erfolgt), stecke ich den Stick ein?

 

[Rotbart]

genau, zusätzlich kannst du natürlich auch den Schlüssel manuell eingeben

 

[Flessi]

... und ein "Gemeinsamer Ordner", der bereits über DSM verschlüsselt ist, kann nicht noch einmal (über DSM) verschlüsselt werden, z.B. von jemandem, der unrechtmäßig Zugang gefunden hat. Dazu müsste der Ordner erst entschlüsselt werden, wozu aber der Schlüssel dem "Eindringling" bekannt sein müsste!

 

[RichardB]

Die Dateien sind je nach Raid-Variation möglicherweise auf mehreren Platten verteilt und deshalb von EINER EINZELNEN Platte nicht lesbar.

Der TE hat eine 220+ mit RAID/SHR. Da sind keine Daten verteilt, die sind gespiegelt. Bleibt also nur die Verschlüsselung.

 

[synfor]

... und ein "Gemeinsamer Ordner", der bereits über DSM verschlüsselt ist, kann nicht noch einmal (über DSM) verschlüsselt werden, z.B. von jemandem, der unrechtmäßig Zugang gefunden hat. Dazu müsste der Ordner erst entschlüsselt werden, wozu aber der Schlüssel dem "Eindringling" bekannt sein müsste!

Der Eindringling verschiebt die Daten einfach in einen neuen von ihm angelegten verschlüsselten gemeinsamen Ordner. Das geht auch, wenn der Quell-Ordner nicht entschlüsselt wird. Die Daten werden dann halt doppelt verschlüsselt. Vor Ransomware schützt das auch nicht.

 

[himitsu]

Dazu müsste der Ordner erst entschlüsselt werden, wozu aber der Schlüssel dem "Eindringling" bekannt sein müsste!

Irgendwann wird der entschlüsselt (permanent, automatisch einbinden, oder wenn DU irgendwann mal auf diese Daten zugreifen willst ... muß der Einfach nur bissl warten)

Und nein, natürlich können bereits verschlüsselte Daten nochmals verschlüsselt werden, auch wenn das Volume aktuell nicht gemountet/entschlüsselt ist.
Zu kannst schließlich z.B. auch eine ZIP in einer anderen ZIP drin haben.


Ein vom DSM verschlüsseltes Volume hat zwei Mountpoints. (das BtrfsSubvolume mit den Daten und ein Mountpoint, wo quasi der Ver-/Entschlüsselungstreiber geladen/verbunden ist)
Einmal die Freigabe, welche du siehst (egal ob Daten gemountet sind oder nicht) und dann nochmal ein Verzeichnis daneben (wird von Freigaben/FileStation/SMB/... nicht angezeigt) wo die Dateien einzeln mit verschlüsseltem Inhalt. Aber diese kann man problemlos nochmal mit was Anderem verschlüsseln, egal ob diese Freigabe gerade gemountet/entschlüsselt ist.

 

[Flessi]

"...kann nicht noch einmal (über DSM) verschlüsselt werden,..."
Natürlich kann ich Verschlüsseltes nochmal verschlüsseln, aber (so habe ich es überprüft) nicht einen mit der im DSM vorgegebenen Verschlüsselung geschützten "Gemeinsamen Ordner". Der Ordner, so wie er dann ist, lässt sich nicht ein weiteres Mal (mit dem selben "Mechanismus") verschlüsseln, wie es z.B. mit ZIP-Dateien möglich ist.
Ich schreibe dies, weil hier mal ein Fall geschildert wurde, wo ein Eindringling User und Passwort eines "Programms" dazu benutzt hat, sich auf dem NAS "rumzutreiben" und dann die eingebaute Möglichkeit benutzt hat, Gemeinsame Ordner zu verschlüsseln. Mit bereits auf diese Art verschlüsselten Ordnern hätte er das so nicht machen können.
Das Umkopieren eines Ordnerinhalts in einen neuen Ordner, der dann verschlüsselt wird, wäre aber, wie synfor schon schreibt, eine Möglichkeit.

 

[Sequoia]

Hallo Zusammen,

ich wollte jetzt mal hingehen, und meine Freigegebenen Ordner verschlüsseln (und das mit diesem USB Stick machen).

Zum Testen habe ich mal den Ordner "Downloads" ausgewählt. Der wird bei mir mit Drive auch zum Mac synchronisiert.
Nun erhalte ich diese Meldung:

Das beunruhigt mich doch ein wenig.

Kann ich irgendwo nachsehen, welche negativen Konsequenzen es für mich und meine Dateien hat, wenn ich nun anfange, alle Ordner zu verschlüsseln?
Vielen Dank schon mal!