Toggle sidebar

DSM 7.3 Volumeverschlüsselung in DSM 7.3.2-86009

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

laurooon schrieb:
Das hängt ganz davon ab, was für ein Sicherheitsbedürfnis man hat. Ich unterscheide da 3 "Eskalationsstufen".

...
Zum Vergrößern anklicken....

Genau, wobei ich Stufe 3 für mich persönlich vernachlässigen kann :)

Weiter unten schreibt dann Steven: "Automatische Entschlüsselung beim Booten (Key liegt auf dem NAS)"

Das liest sich halt für einen "Laien" so, das es hier keinerlei Sicherheit gibt. Der "Key" öffnet den Zugang zu den sensiblen Daten. Aber so ist es ja eben nicht. Beim Booten muss man doch erst sein PW eingeben, erst dann werden die verschlüsselten Daten entsperrt.

LG
 
Nein, genau das stimmt nicht. Die Festplatten werden bereits beim Bootvorgang entsperrt noch lange bevor du dein Passwort eingeben musst. Damit die DSM Oberfläche dein Passwort als solches registriert und freischaltet müssen die volumes ja bereits gemountet sein.
 
Nein, verschlüsselt werden nur die Datenvolumen. DSM bleibt unverschlüsselt. Anmeldung am DSM ist auch dann möglich, wenn die Volumen nicht entschlüsselt werden.
 
Zuletzt bearbeitet von einem Moderator:
Du meinst das hier:
(oder?)

Neben Auto-Unlock (Key liegt auf dem NAS) und KMIP gibt es faktisch noch eine dritte Variante, die von Synology als Notfallmaßnahme vorgesehen ist:
Kein Key im Schlüsselmanager, kein KMIP.
Dann bleiben die Volumes nach jedem Reboot gesperrt und müssen manuell per Passphrase bzw. Recovery-Key im DSM entsperrt werden.
Im Ergebnis ist das ein bewusst in Kauf genommenes, etwas umständliches manuelles Entsperren nach jedem Neustart.
 
Zuletzt bearbeitet:
synfor schrieb:
Nein, verschlüsselt werden nur die Datenvolumen. DSM bleibt unverschlüsselt. Anmeldung am DSM ist auch dann möglich, wenn die Volumen nicht entschlüsselt werden.
Zum Vergrößern anklicken....
Es ist richtig, dass das DSM auf dem unverschlüsselten Teil der HDD liegt und außerdem auf allen Festplatten gespiegelt vorliegt, was auch nötig ist, sonst würdest du gar keine Eingabemaske für dein Passwort sehen.

Allerdings ist es so, dass die verschlüsselten Volumes sofort nach dem Boot im Hintergrund schonmal angehangen werden. Das hat Komfortgründe, die leider der Sicherheit zuwider laufen. Das erkennst du auch daran, dass nach der Eingabe des Passworts sofort alles da ist. Filestation bereits geladen, Docker, Surveillance Station läuft...etc. Es gibt quasi keine Gedenksekunde mehr, das System rennt sofort nach dem du dich angemeldet hast.
 
Was du beschreibst findet - wie ich es verstehe- so nur statt, wenn zuvor direkt nach dem Booten bereits entschlüsselt wurde durch

1. Key auf dem NAS
oder
2. KMIP Server

Sofern das nicht stattgefunden hat, gibt's nämlich noch keine Docker Dienste, weil alle Volumen ja noch verschlüsselt sind.
Dann musst/kannst du als Admin manuell in der DSM Oberfläche entschlüsseln.
Das sieht Synology für den Notfall vor und ich hatte das oben als "dritte Methode" aufgeführt.
=
3. (umständliches) "manuelles Entschlüsseln".
 
Ja, du hattest geschrieben:

1769410849202.png

Und ich wusste nicht, was du mit "das hier" meinst. Fehlt da ein Screenshot oder sowas? Wo steht denn das manuelle Entsperren? Ich habe beim Versuch den Schlüsseltresor zurückzusetzen in der Tat nur zwei Optionen:

1769410957244.png
Eine manuelle Passworteingabe habe ich nirgends gefunden. Da ich ich keinen KMIP Server habe, wird mir zwangläufig "Lokal" aufgezwungen und Lokal bedeutet Automount der Laufwerke beim booten.
 
So wie ich das verstanden habe, ist das die Notfallmethode, wenn der KMIP nicht verfügbar ist.

KMIP sehe ich als Enterprise Lösung, mir persönlich zu komplex (evtl. aber einfach mit zweiten NAS?!).
KMIP erschien mir damals zu umständlich, und bei jedem Reboot manuell jedes Mal quasi Recovery durchzuführen auch; deswegen hatte ich aus Bequemlichkeit damals Auto Boot gewählt.
 
OK, also um das Passwort einzugeben muss ich zuerst einen KMIP konfigurieren, den ich nicht habe und dann den KMIP abschalten um die Passwortabfrage als Notlösung zu erzwingen. Das ist leider nicht so ideal. :)
 
  • Haha
Reaktionen: stevenfreiburg
OK, also da es keine Lösung gibt die irgendwie gangbar ist, habe ich mir nun etwas gebastelt, was imho noch besser ist! Ich sage direkt, das ist nichts für Jedermann und wahrscheinlich für 99,9% Overkill. Also steinigt mich nicht gleich! :giggle:

ABSOLUTER PARANOID MODUS: ON!

Um das System gehen physischen Diebstahl/Mitnahme abzusichern habe ich nun sog. "Totmannschalter" definiert. Ich habe mir 8 Netzwerkteilnehmer ausgesucht, welche allesamt PING-fähig sein müssen. Dann habe ich mir ein Skript geschrieben, welches einmal pro Minute diese 8 Netzwerkteilnehmer anpingt. Antworten die brav, ist alles OK, die Diskstation schnurrt.

Beim Ausfall von mehr als 4 Netzwerkteilnehmern gleichzeitig - was sofort der Fall wäre, wenn jemand die Netzwerkkabel aus der Diskstation zieht um sie mitzunehmen - beißt das Skript zu und die Diskstation igelt sich ein. Volumes werden ausgeworfen und die Diskstation fährt herunter. Da die Volumes nun verschlüsselt sind ist so erstmal der Ofen aus!

Wenn der Dieb die Diskstation dann starten will wird es noch ekliger. Ich habe eine Verzögerung von 120 Sekunden nach Boot eingestellt, dann stellt sich das Skript sofort wieder scharf, stellt fest, dass die Netzwerkteilnehmer fehlen und fährt direkt wieder herunter. Der Dieb kann vielleicht eine handvoll Passwörter versuchen, dann wars das. Das Ziel des Diebs muss es sein, sich nach dem Hochfahren blitzschnell einzuloggen und meine Skripts im Aufgabenplaner zu stoppen bevor sie online gehen. Dazu bräuchte er das DSM Passwort plus mein (entsperrtes) Handy.

Ich habe es getestet und es funktioniert super! Aber es ist noch nicht perfekt.

Damit ich mir nicht selbst in Knie schieße, was beim Paranoid Modus schnell passiert, brauche ich eine Rückfallebene. Es könnte ja sein, dass mein Switch, an dem auch die betreffenden Netzwerkteilnehmer hängen mal einen Ausfall hat oder kaputt geht. Dann würde ich mich sofort selbst aussperren. Ich werde als nächstes einen USB Stick erstellen, auf dem eine *.txt Datei mit einem Passwort ist. Wird dieser USB Stick beim Booten erkannt (USB Treiber werden beim Bootvorgang sehr früh geladen), wird der Wachhund deaktiviert, das System ist dann nicht scharfgestellt und das Skript muss in diesem Fall von Hand gestartet werden.

ABSOLUTER PARANOID MODUS: OFF!
 
  • Like
Reaktionen: stevenfreiburg und BulldogMG
wow

SPAß Modus: ON
bei so viel Einsatz weiß ich nun nicht, ob ich dir wünschen soll, dass dein NAS mal gestohlen wird, um den verdutzten Dieb zu sehen oder nicht
SPAß Modus: OFF

alles in allem Fort Knox-tauglich (y)
 
  • Like
Reaktionen: laurooon
Bin gespannt auf das Thema: „Hilfe, komme nicht mehr an meine Daten!“. 😁
 
  • Haha
  • Like
Reaktionen: Mahoessen, Rotbart und laurooon
maxblank schrieb:
Bin gespannt auf das Thema: „Hilfe, komme nicht mehr an meine Daten!“. 😁
Zum Vergrößern anklicken....

In der Tat. Wenn im Skript ein Bock drin ist, hängt man in einem Boot-Loop fest, weshalb für den Notnagel (USB-Stick) erst einige Trockenläufe durchgeführt werden um zu checken, ob er so arbeitet, wie er soll. Andererseits sollten mir selbst die 120 Sekunden in der Regel reichen, um mich einzuloggen und meine Skripts anzuhalten. Trotzdem baue ich den Stick noch ein, damit es nicht zum von Dir prophezeiten Thema kommt. 😇
 
Für die automatische Entschlüsselung von Ordnern gibt es hier im Forum einige pfiffige Lösungen.
Das geht von einbetonierten USB-Sticks oder mit Komponentenkleber fixierten Sticks, auf denen ein Passwort liegt, bis hin zu zusammengesetzten Passwörtern – ein Teil auf dem Stick, ein anderer irgendwo im Internet, sodass man sogar per Remote den Zugriff steuern kann.

Mit deiner Idee ließe sich das grundsätzlich auch auf die Volume-Verschlüsselung übertragen.
Sehr cool 😎
👍
 
  • Like
Reaktionen: laurooon
Um deine Paranoia etwas zu füttern:
Dein Script muss ja im DSM liegen, also in der unverschlüsselten Rootpartition.Ich brauche also nur die Platten ausbauen, an ein Linux PC hängen und dein Script löschen.Wenn ich ein NAS o.ä. klauen würde wollen dann zuerst den Stecker ziehen, und nicht erst die Netzwerkverbindung und warten bis es heruntergefahren ist.Die Idee mit den Ping zum herunterfahren ist ja gut, hilft dann auch beim Stromausfall falls die anderen Geräte keine USV haben.Ansonsten bin ich der Meinung das selbe erreichst du mit einem KMIP-Server einfacher und sicherer.Übrigens gibt es hier im Forum ein Script um den Schlüssel auf mehrere Geräte aufzusplitten, schau dir das mal an.
Edit:
Da der Kmip-Server nur einmalig beim Starten abgefragt wird, wieso nimmst du da nicht ein Raspi den du sobald die Station läuft einfach abklemmst und in den Safe oder die Hosentaschen legst?
 
Zuletzt bearbeitet:
  • Like
Reaktionen: laurooon
Rotbart schrieb:
Um deine Paranoia etwas zu füttern:
Dein Script muss ja im DSM liegen, also in der unverschlüsselten Rootpartition.Ich brauche also nur die Platten ausbauen, an ein Linux PC hängen und dein Script löschen.Wenn ich ein NAS o.ä. klauen würde wollen dann zuerst den Stecker ziehen, und nicht erst die Netzwerkverbindung und warten bis es heruntergefahren ist.Die Idee mit den Ping zum herunterfahren ist ja gut, hilft dann auch beim Stromausfall falls die anderen Geräte keine USV haben.Ansonsten bin ich der Meinung das selbe erreichst du mit einem KMIP-Server einfacher und sicherer.Übrigens gibt es hier im Forum ein Script um den Schlüssel auf mehrere Geräte aufzusplitten, schau dir das mal an.
Edit:
Da der Kmip-Server nur einmalig beim Starten abgefragt wird, wieso nimmst du da nicht ein Raspi den du sobald die Station läuft einfach abklemmst und in den Safe oder die Hosentaschen legst?
Zum Vergrößern anklicken....

Das Ziel des Skripts ist es, die Diskstation herunterzufahren und die Volumeverschlüsselung zu gewährleisten. Gegen ein Ausbau/Löschung der Platten ist kein Kraut gewachsen. Aber aus Datensicht bin ich trotzdem sicher. Du kannst mein Skript löschen, was das Herunterfahren beim erneuten Einschalten stoppt, aber das Volume bleibt verschlüsselt. Du brauchst nach wie vor mein DSM Passwort und mein entsperrtes Handy, wenn du die Daten selbst willst.

Aber es stimmt schon, wenn ich so darüber nachdenke, bringt das Skript tatsächlich eher etwas bei behördlichem Zugriff/Beschlagnahmung, als bei Diebstahl. Ein Datenforensiker würde versuchen die Diskstation "warm" zu sichern also mit USV Überbrückung und entschlüsselten Platten, ABER er würde das Gerät vom Netzwerk trennen, da er sonst einen Kill-Switch Befehl befürchten müsste. Es reicht ja per Mobile DSM die Diskstation herunterzufahren, dann hätte er verloren. Also wird er die Diskstation im eingeschalteten Zustand vom Netzwerk trennen wollen und genau da schnappt die Falle zu.

Ist halt die Frage, ob man den Anwendungfall hat und diese zusätzliche Sicherheit braucht oder möchte. Ich sag ja, PARANOID MODUS! :ROFLMAO:
 

Additional post fields

NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten