NAS Verschlüsselung sinnlos?

  • ...also back to the roots...

    Daher als Rechnerschlüssel anlegen, diese funktionieren nur auf Deiner spezifischen Synology, dann auf einem USB Stick ablegen. Selbst wenn Du den Stick nun immer drin und vom Schlüsselmanager automatisch un-mounten lässt, muss jemand erstmal noch über Deine sicheren Zugangspasswörter zur Synology reinkommen.

    Das wäre jetzt eine Variante, wo das NAS ohne weiteres Zutun nach einem reboot (autoupdate, Stromausfall) wieder mit entschlüsselten Ordnern hochkommt und ein Dritter dennoch nur über reguläre Accounts (Passwörter) an die Daten kommt?

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

  • Wenn Du einen USB Stick als Speicher für den Schlüsselmanager definierst ist zumindest eine Anforderung erfüllt. Die Keys liegen nicht mehr intern auf der Synology.


    Folgendes grobes Vorgehen:

    • USB Stick auswählen und in die Synology einstecken
    • Am besten frisch formatieren (Systemsteuerung/Externe Geräte/Formatieren). Dominik von iDomix formatiert den Stick ext4 in seinem Video ... ist aber Dir überlassen
    • USB Stick mit passenden Name versehen (Systemsteuerung/Gemeinsame Ordner/Bearbeiten)
    • Den Schlüssel-Manager entsprechend zu Speicherung auf diesen USB Stick definieren (Systemsteuerung/Gemeinsame Ordner/Aktion/Schlüssel-Manager)
      => Benötigt eine weitere einzigartige Passphrase für den "Tresor".
      => Die Migration bestehender Schlüssel in diesen neuen "Tresor" auswählen.
      => Anschliessend bestehende Ordner nach und nach in den "Tresor" übernehmen, man benötigt jeweils einmalig das verwendete Passphrase. Empfohlenes Chiffre "Rechnerschlüssel"
      => Die Schlüssel so definieren, das der entsprechende Ordner beim Hochfahren automatisch gemountet wird.
    • In der Konfiguration des Schlüsselspeichers nun definieren, dass der USB Stick nach dem Hochfahren und Mounten aller verschlüsselten Ordner ausgeworfen wird

    Der USB Stick taucht nun nachdem Neustart nimmer im DSM auf, bis zum einmaligen Abziehen und wieder Einstecken, oder eben nächsten Reboot. Wobei er beim Reboot dann wieder automatisch nach dem Mounten aller verschlüsselten Ordner (logisch) ausgeworfen wird. Es dauert aber nach Reboot ein paar Minuten bis alle verschlüsselten Ordner wieder montiert sind und der USB Stick ausgworfen wurde.


    Wenn Du nun kein Terminal Zugriff auf die Synology zulässt, http auf https umleitest und noch die Zwei-Faktor Authentifizierung aktiviert hast, wird es schon schwierig irgendwie an die ranzukommen. Aber selbst wenn, muss derjenige erstmal den USB Stick irgendwie wieder auf der Synology sichtbar bekommen. Und wenn er das auch noch schafft, muss er dann noch über die Verschlüsselung des "Tresors" auf dem USB Stick überwinden um an die Schlüssel zu kommen. Die ja wie definiert als Rechnerschlüssel nur an Deiner spezifischen DS funktionieren. Aber dann hat er immer noch nur die Schlüssel und noch nicht Deine Passphrase(s).


    Aber die abschließende Sicherheit bietet am Ende natürlich nur das Abziehen des USB Stick nach jedem Reboot, das ist aber nun Deine Entscheidung ...

    HowTo: APT pinning

  • Wenn Du einen USB Stick als Speicher für den Schlüsselmanager definierst ist zumindest eine Anforderung erfüllt. Die Keys liegen nicht mehr intern auf der Synology.


    Folgendes grobes Vorgehen:

    ...

    Ehlich gesagt: Ich versteh kein Wort. Wo ist der Unterschied, ob die Schlüssel nun auf dem USB-Stick liegen oder der Platte, wenn ich bzw. der Dieb beides haben?

    Mein NAS dient nur zur Bereitstellung von Shares, u.a. um unsere Bilder auf mehrere Laptops zu synchronisieren. Terminalzugriffe, aus dem Internet u.ä. sollte nicht möglich sein. Aber bei meiner Blickung….

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

  • Ich hätte übrigens auch noch ne FritzBox oder nen Raspbery (primär für FHEM bzw. Heizungssteuerung und Hausautomatisierung) als Schlüsselplatform zu bieten...

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

  • Wo ist der Unterschied, ob die Schlüssel nun auf dem USB-Stick liegen oder der Platte, wenn ich bzw. der Dieb beides haben?

    Ok, fangen wir mal mit den technischen Details an, läßt Du die Schlüssel auf der Systempartition ablegen, werde diese in einem unverschlüsselten Bereich abgelegt, siehe "schlüsselspeicher_systempartition.png". Läßt Du die Schlüssel auf dem USB Stick ablegen, werden diese dort in einem gesondert verschlüsselten Bereich abgelegt, nennen wir es mal "Tresor", siehe "schlüsselspeicher_usbstick.png".


    Liegen die Schlüssel auf der Systempartition, kannst Du die da ja nicht einfach mal eben entfernen. Liegen die auf einem USB Stick kannst Du diesen jederzeit abziehen und die Schlüssel sind dann weg von der Synology.


    Wenn Du den Schlüssel-Manager entsprechend konfigurierst, ist der USB Stick nach dem Reboot nicht im System eingebunden, während die Systempartition immer eingebunden sein wird.


    Du erhöhst Deine Sicherheit alleine schon wenn die Schlüssel nicht mehr auf der Systempartiton liegen, weil der Zugriff deutlich erschwert wird, selbst wenn Du diesen stecken läßt.


    Für die perfekte Sicherheit zieht man aber am Besten den USB Stick nach Reboot ab, aber das möchtest Du ja nicht ...

  • Hauptunterschied mit den Schlüsseln auf dem USB-Stick:

    Wenn die Platte mal den Geist aufgibt, ist sie verschlüsselt und die Schlüssel dazu sind extern, also nicht auf der Platte. D.h. wenn jemand die aus dem Müll holt, kann er nichts damit anfangen. Man kann sie also gefahrlos entsorgen.


    Das ist auch der Hauptanwendungszweck für ein TPM. Es geht nicht darum, dass die Platten geschützt sind, wenn jemand den ganzen Rechner klaut, sondern dass man die Platten bei einem Wechsel ohne große Mühe entsorgen kann.


    Der USB-Stick ist in diesem Fall eine Art günstiger TPM-Ersatz.

  • Naja, da hilft im Zweifelsfall auch absolut zuverlässig die Hammermethode. Ich rede hier von Otto-Normalverbraucher, für den ein NAS wie meines ja wohl primär gedacht ist. Da sollte die Sicherheit soweit als möglich ootb vorhanden sein, ohne kniefizlige Zusatzorgien. Nebenbei verringert Komplexität neben der Zuverlässigkeit auch die Sicherheit.

    Wie es ohne Zusatzbrimborium prinzipiell ginge habe ich ja schon geschrieben: Schlüssel über Hashes (+ Salt (+ Pepper)) der Passworte verschlüsselt ablegen. Dann noch über (Default) Passwortregeln sichere Passworte erzwingen. Fertig!

    Aber ist halt nicht so. Ich packe mein NAS jetzt entweder mit hinter die Kaminklappe in den Kaminschacht, den ich ohnehin für die Steigleitungen nutze, oder hänge einen Stick via USB im Nachbarraum daran. Da liegt noch eine USB-Verlängerung aus Zeiten, wo ich meine Heizungsanlage via USB-Karte und i386-Desktop aus dem Nachbarraum gesteuert habe...

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...