Verschlüsselung im NAS

[maxpd]

Hallo,

mein Vorhaben war eigentlich die Daten auf dem NAS DS213J in zwei Kategorien zu teilen.

• Musik und Sendungen unverschlüsselt, damit Plex (so etwas wie XBMC) diese ohne Aufwand lesen kann.
• Dokumente, Projekte, Backups etc in einen verschlüsselten Truecrypt Container, damit ich hier konsistent mit meinem Laptop/Desktop bleibe, da dort die gesamten Festplatten verschlüsselt sind.

Das NAS wollte ich als Backup (2 Wege Synchronisation) für den Desktop und als Netzlaufwerk für den Laptop, den HTPC verwenden.

Jetzt ist mir eingefallen, dass ich auf einen Truecrypt Container in dieser Form nicht mit 2 Rechnern gleichzeitig zugreifen kann, sonst gibt es ein rießiges Chaos.

Welche Möglichkeiten bleiben mir denn noch?
Das Ziel war bei einem Festplatten/NAS-Diebstahl die Daten dennoch sicher zu wissen.

Gruß
maxpd

 

[dil88]

Du kannst beispielsweise einen verschlüsselten gemeinsamen Ordner anlegen (siehe auch dieses Synology Tutorial).

 

[Puppetmaster]

Du kannst einzelne Freigabe-Ordner auf der DS verschlüsseln. Diese werden, sofern du das nicht anhakst, beim Start der DS nicht automatisch ins System gehangen (und damit entschlüsselt). Vielmehr musst du beim Start als admin die Ordner händisch einhängen.

Bei Diebstahl der DS wird diese ja vom Strom getrennt werden müssen, danach sind die Ordner nicht mehr eingehangen und damit verschlüsselt und vor Zugriff sicher.

Die Krux:
- du musst bei jedem Systemstart die Ordner händisch einhängen.
- manche Systemordner (Medienordner z.B.) können nicht verschlüsselt werden.
- Zugriff auf diese Ordner ist - je nach DS Modell - deutlich langsamer als der Zugriff auf einen unverschlüsselten Ordner.

 

[maxpd]

Ok danke. Kann ich das Einhängen nicht automatisch von einem Rechner aus initialisieren? Denn dann würden sie ja auch automatisch ausgehangen bei Stromverlust.

Die gemeinsamen, aber verschlüsselten Ordner werden dann quasi öffentlich im NAS aufgehangen, wohingegen ein Treucrypt Container nur für einen einzigen Rechner eingehangen werden?

Bei TC oder Diskcryptor merke ich keine Performanceverluste. Naja, ein Hardwareverschlüsselungsmodul ist ja mal integriert, vllt lässt die Performance nicht zu sehr nach.

 

[Frogman]

...Bei TC oder Diskcryptor merke ich keine Performanceverluste.

Bei Truecrypt findet die Verschlüsselung ja auch nicht auf der DS statt

Was meinst Du denn mit "automatisch ausgehangen bei Stromverlust"?

 

[Twinki]

Das NAS hängt die verschlüsselten Ordner auch aus wenn es ausgeschaltet wird.
Außer man legt das explizit fest das beim Start wieder eingehängt wird.

 

[maxpd]

Wenn ich in TC oder DC den Container öffne und ziehe den Stecker, bzw. starte neu, so ist normalerweise der Container wieder geschlossen.

Wenn ich einen entfernten Container öffne, z.b. auf der DS, dann wird dieser auch geschlossen, sobald der Rechner oder das DS ausgeht.

Jetzt dachte ich mir, wenn ich den verschlüsselten Ordner der DS öffne, schließt dieser sich automatisch wenn die DS ausgeht. Aber das initiale Öffnen geschieht nur automatisch durch authorisierte Endgeräte.

PS: Was ist denn der Medienordner? Denn dann hätte ich einen gemeinsamen 5TB großen Ordner gemacht, in dem einfach alles landet. Auch die "Medien"

 

[Frogman]

Indizierte Medien können nicht in verschlüsselten Ordnern liegen.
Und wenn der Strom ausfällt - klar ist der TC-Container dann nicht mehr zugänglich, aber sauber abgeschlossen wird er nicht. Gleiches gilt für geöffnete (d.h. gemountete) verschlüsselte DS-Ordner, wenn ihr der Strom weggezogen wird.

 

[Twinki]

Indizierte Medien können in verschlüsselten Ordnern liegen.
Das einzige das dann nicht funktioniert ist das Streaming über DLNA vom Medienserver.
Die Videostation erkennt die Filme aber ohne Probleme wenn der Ordner angehängt wurde.

 

[maxpd]

Mhh,

was bringt das automatische Einhängen des gemeinsam verschlüsselten Ordners? Kommt die DS weg und jdm anders bootet diese, dann bringt doch auch die Verschlüsselung nichts.
Ein Skript, dass automatisch einen Laptop oder Desktop authorisiert und mit dessen Anwesenheit den gemeinsamen Ordner öffnet und schließt gibt es nicht?

 

[Frogman]

Indizierte Medien können in verschlüsselten Ordnern liegen.
Das einzige das dann nicht funktioniert ist das Streaming über DLNA vom Medienserver.

Irrtum - das, was dann auch nicht sauber funktioniert, ist die Indexerstellung...
Die Videostation hat damit zunächst herzlich wenig zu tun.

 

[maxpd]

Benötige ich einen Index?

 

[g202e]

Ja, aber wozu brauchst du verschlüsselte Medien? Paranoia!?

 

[maxpd]

Ja, aber wozu brauchst du verschlüsselte Medien? Paranoia!?

Vielleicht.

Die Medien kann ich ja auch unverschlüsselt ablegen.

Gibts es nicht eine Art Masterpasswort welches beim Booten der DS verlangt wird? Wobei das wohl nur das OS der DS schützt und abseits der DS doch alle Daten Preis gibt.
Also bislang weiß ich noch nicht wie ich es umsetzen könnte

 

[Puppetmaster]

Das Konzept, das dir vorschwebt, gibt es so auf der DS nicht.

Ordner müssen manuell vom admin bei Start eingegangen werden und werden dann bis sie entweder manuell, oder bedingt durch Neustart det DS, wieder ausgehangen werden. Das kannst du nur auf der DS selbst machen.

Sind die Ordner eingehangen werden sie in the fly bei Zugriff entschlüsselt.

 

[ProphAn]

Hallo,

ich habe dazu auch mal ein paar Fragen und möchte deswegen kein neues Thema anfangen, da es ja um Verschlüsselung geht:

Wenn die DS in den Ruhezustand geht, wo sie über WOL gestartet werden kann, werden dann Ordner welche sich nicht automatisch wieder einhängen lesbar nach dem WOL? Oder muss ich dann auch in im DSM den Key eingeben?

Wenn ich einen verschlüsselten Ordner über die eingebaute Backup Funktion auf eine USB 3 Platte kopiere, kann ich den verschlüsselten Ordner auf dem Backup auch ohne DS auslesen?

Werden bei einem Backup verschlüsselter Ordner zu USB nur die geänderten Daten geschrieben oder wird jedes Mal ein Komplettbackup gemacht?

Mit den neuen DS (415+; 1115+; ect.) sollte es doch performancetechnisch möglich sein alle Multimedia-Funktionen auch für verschlüsselte Ordner zu bieten oder? Dort ist ja die Lese/Schreibrate fast genauso hoch wie unverschlüsselt.

 

[maxpd]

Gute Fragen

Weiterhin verstehe ich den Sinn der Funktion des automatischen Öffnens nicht.

Kann man den Zugriff auf Ordner auf bestimmte Mac Adressen und User beschränken? Dies käme einer Verschlüsselung doch nahe.

 

[ottosykora]

Wenn ich einen verschlüsselten Ordner über die eingebaute Backup Funktion auf eine USB 3 Platte kopiere, kann ich den verschlüsselten Ordner auf dem Backup auch ohne DS auslesen?

...ja, du musst die ROT13 Verschlüsselung konsequent 2x anwenden, dann geht es.

 

[Puppetmaster]

Wenn die DS per WOL erreichbar sein soll, ist sie ausgeschaltet. Beim Wecken per WOL startet die DS ganz normal und die Ordner sind nicht eingehangen, sofern dies nicht automatisch erfolgt (was i.d.R. keinen Sinn macht).

 

[ProphAn]

Wäre halt schön gewesen, wenn die Ordner solange entschlüsselt wären, wie die DS am Strom hängt und erst wenn der Netzstecker gezogen wird(was bei einem Diebstahl unvermeidlich ist), werden die Ordner ausgehängt.

@ottosykora: Was meinst du damit? Mit den Hausmitteln kann ich doch nur einstellen, ob der Ordner verschlüsselt ist, und wie er eingehangen wird.