Verschlüsseltes Sparsebundle mit zwei Rechnern gleichzeitig mounten

mausfang schrieb:
Nur, wenn man das nicht gerade in einem Safe auslagert könnte sich trotzdem jemand Zugang verschaffen.
Zum Vergrößern anklicken....
Da müsste der Safe schon so etwas ähnlich Gebautes wie Fort Knox sein, damit sich nicht auch dort jemand Zugang verschaffen kann. Die einen gewaltsam, andere mit Tricks, Dritte mit einem richterlichen Beschluß.

Und Passwörter kann man sich auch gewaltsam verschaffen oder per Beugehaft (letzteres derzeit bei uns meines Wissens noch nicht, in UK und US schon, von anderen Staaten gar nicht zu reden, und bei uns wird es auch kommen).

Es gibt keine wirkliche Sicherheit.
Drum lohnt es nicht, übertriebenen Aufwand an den Tag zu legen oder sich auf der Suche nach der perfekten Sicherung wochenlang schlaflos im Bett zu wälzen. Augenmaß reicht.

Vom Datenverlust durch kleinere Katastrophen wie etwa einem Meteoriteneinschlag von mäßigem Durchmesser gar nicht zu reden.
 
OmarDLittle schrieb:
Der wichtige Punkt ist, das NAS sollte ausschließlich dem Storage dienen, du kannst nicht auf dem gleichen System wo deine Daten liegen auch den Remotezugriff installieren.
Zum Vergrößern anklicken....

Gut, ist angekommen. So lange die Daten nicht verschlüsselt sind, bzw. das NAS selbst Zugriff auf die verschlüsselten Daten hat ist die Portweiterleitung ein No-Go.
  • Darum habe ich jetzt alle myQNAPcloud-Funktionen deaktiviert. Außerdem ist überprüft, dass das NAS tatsächlich über WAN nicht zu erreichen ist.
  • Auf der FRITZ!Box habe ich alle Portfreigaben (waren lediglich die für das QNAP-NAS) gelöscht
  • Die UPnP-Funktion habe ich abgeschaltet
  • Der Heise-Netzwerkcheck zeigt alles grün
 
Super, dann spiegel deine Daten vom NAS jetzt irgendwohin derweil, dreh cryptsetup (mind. so gut wie Veracrypt, eher besser, da öfter verwendet) auf (dazu müssen alle Platten im NAS wohl leider formatiert werden) und kopier sie zurück. Und dann können wir prüfen, ob die Verschlüsselung wirklich richtig eingerichtet ist. Lösch aber nicht die temporäre Kopie deiner Daten, bis du sicher bist dass es funktioniert, durch Verschlüsselung kann man sich leider auch am Anfang unabsichtlich aussperren, daher ist der Datenverlust auch eine Gefahr.
 
  • Gefällt mir
Reaktionen: mausfang
Ich habe über die GUI ein verschlüsseltes Volume angelegt.

Wenn ich mich mit SSH auf das NAS verbinde:
  • Das Volume ist wenn ich es über die GUI entsperre / entschlüssle im Verzeichnis share/ aufgelistet, und ich kann die Inhalte sehen. (Bei mir konkret /share/usbdisk1. Für den Test benutze ich erst einmal einen USB-Datenträger.)
  • Wenn ich das Volume wieder sperre / verschlüssle, dann sehe ich das Volume nicht gemountet unter /share/.
Was ich dann auf jeden Fall noch brauche ist eine zuverlässige Sicherung des verschlüsselten Volumes. Also wie komme ich wieder an die Daten, selbst ohne das NAS. Wahrscheinlich muss ich den Inhalt des Volumes wiederum in ein weiteres verschlüsseltes Volume spiegeln.
 
Wenn möglich bzw. unterstützt, würde ich die Festplatten selbst verschlüsseln und nicht verschlüsselte Volumes auf den nicht verschlüsselten Festplatten anlegen.

Zur Sicherung musst du zB eine externe Festplatte anhängen (natürlich auch verschlüsselt) und dann (nach Eingabe des Passworts und Zugriff auf die Daten) deine Dateien vom NAS auf die externe kopieren. So wie du es also schon vermutet hast.

Schau erstmal, ob du die Festplatten komplett verschlüsseln kannst. Ich hoffe, dass QNAP Infos dazu hat, habe nämlich selbst nie QNAP verwendet. Dazu musst du sie wie gesagt neu formatieren.

Ein Problem hast du jetzt noch: Falls du nicht mehr entschlüsseln kannst, zB das Passwort nicht mehr kennst (wenn man das nur alle paar Monate am NAS mal entsperrt, kann man sich beim Erinnern schon schwertun), sind deine Daten weg und vielleicht auch noch das ebenfalls verschlüsselte Backup.

Da gibt es jetzt ein paar best practices, zum Beispiel könntest du nicht mit einem Passwort verschlüsseln, sondern mit einer Schlüsseldatei. Da hast du dann am Schlüsselbund einen kleinen USB-Stick angehängt und auf dem ist die Schlüsseldatei gespeichert. Steckst du den USB-Stick an das NAS an, kommst du wieder an deine Daten (der Stick muss nur zur Entsperrung stecken, nicht jedoch permanent).

Damit du geschützt bist, falls jemand USB-Stick und NAS mitgehen lässt, kannst du noch ein eher simples Passwort für den USB-Stick vergeben. Stiehlt jemand beides, muss er dieses Passwort erst herausfinden. Stiehlt jemand nur das NAS, kann er nicht zugreifen, weil Schlüsseldateien (anders als Passwörter) nicht "crackbar" sind.

Dadurch ergeben sich natürlich weitere Dinge, zB dass du die Schlüsseldatei auch bei Freunden irgendwo in Form eines USB-Sticks ablegst, falls dir deiner verloren geht.

Zuletzt solltest du noch ein Notfall-Backup mit komplett anderen Technologien haben. Das heißt, einmal sicherst du von einem Mac aus auf eine externe Platte, die du mit Filevault vom Mac verschlüsselst. Geht irgendwas mit dem NAS schief und alle Daten sind im verschlüsselten Nirvana, hast du ein Backup das mit ganz anderen Programmen und Tools angelegt wurde und kommst doch noch an die Daten.

Das ist ganz wichtig, weil ich das immer wieder sehe, dass erstmal schnell alles verschlüsselt wird und danach merkt man, dass man nicht mehr an die Daten kommt. Weil aber auch das Backup verschlüsselt ist, sind alle Daten weg, null Chance mehr. Da musst du echt aufpassen und das langsam angehen.
 
  • Gefällt mir
Reaktionen: mausfang
OmarDLittle schrieb:
Wenn möglich bzw. unterstützt, würde ich die Festplatten selbst verschlüsseln und nicht verschlüsselte Volumes auf den nicht verschlüsselten Festplatten anlegen.
Zum Vergrößern anklicken....

Mit ist der Unterschied nicht klar, bzw. ich weiß nicht auf welche Art und Weise das QNAP das gemacht hat.

Ich weiß nur, dass ich auch nur den Freigabe-Ordner hätte verschlüsseln können. Das wollte ich logischerweise nicht.

Wie das NAS das jetzt gemacht, da muss ich erst recherchieren. Ich habe das Volume verschlüsselt:

https://www.qnap.com/de-de/how-to/tutorial/article/wie-verschlüssel-ich-daten-auf-einem-qnap-nas

Die Verschlüsselung bei QNAP ist Volume-basiert. Ich kann nirgends etwas darüber finden, dass QNAP eine Full Disk Encryption (FDE) unterstützen würde.
 
Zuletzt bearbeitet:
Das QNAP macht das schon richtig, denn da steht: Sie müssen bei der Erstellung eines Datenträger-Volume am NAS festlegen, ob Ihre Daten verschlüsselt werden sollen oder nicht. Sie können ein Volume nach der Erstellung nicht mehr verschlüsseln, sofern Sie das Datenträger-Volume nicht erneut initialisieren und alle darauf befindlichen Inhalte löschen.

Das heißt, wenn du die Verschlüsselung so wie im von dir verlinkten Tutorial aktivierst, verschlüsselt er das gesamte Volume von Anfang an und löscht dabei alles derzeit noch bestehende runter. Das passt schon so. Ob QNAP jetzt jede Festplatte einzeln verschlüsselt oder zuerst ein Volume bildet und dieses verschlüsselt, ist nicht so wichtig.

Ich dachte mir nämlich, dass du testweise eine Art verschlüsselten "Container" neben den bestehenden Daten angelegt hast, und das wäre schlecht. Es sollte bei der Einrichtung am Anfang schon verschlüsselt werden, wie eben im Tutorial beschrieben.

Das hast du aber eh so gemacht, sagst du. Wie lang hat denn die Erstellung des verschlüsselten Volumes gedauert? Die Sache ist nämlich, dass die vorher auf den Festplatten gespeicherten Daten noch drauf sind, bis die Festplatten alle einmal überschrieben wurden. Das sollte das QNAP selbst tun. Wenn die Erstellung des Volumes nur wenige Sekunden bis Minuten gedauert hat, dann hat QNAP den Schritt übersprungen. Hat die Erstellung aber eine Stunde oder länger gedauert, dann hat das NAS die Platten wohl gewiped.

Ganz am Anfang bei der Volume-Erstellung kann man übrigens zwischen Thick- und Thin-Provisioning auswählen. Es kann sein, dass das entscheidet, ob am Anfang einmal gewiped wird. Da sollte Thick ausgewählt sein. Bei Thin spart sich das NAS einige Schritte, dadurch wird auch die Performance möglicherweise schlechter.
 
OmarDLittle schrieb:
Das QNAP macht das schon richtig,
Zum Vergrößern anklicken....
Danke für die Tipps. Bislang hatte ich testweise nur einen 4GB USB-Stick mit der Volume-Verschlüsselung verschlüsselt. Ich werde dafür jetzt eine interne Platte bereit stellen, und diese auch so einrichten. Bei der Frage ob RAID1 oder nicht tendiere ich gerade zu Single Disk.
  • Ich werde ein ebenso verschlüsseltes externes Backup-Volume anlegen. Und einen Job für inkrementelle Sicherung auf ebendieses einrichten.
  • Außerdem plane ich dann, einen OSX-Client so einzurichten, dass auch er regelmäßig inkrementell in ein verschlüsseltes Diskimage sichert.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten