Festplatte verschlüsseln nach fehlerhafter SMB-Authentifizierung

    Hallo zusammen,


    ich habe seit einigen Wochen eine NAS (QNAP TS-231P) im Einsatz. Die beiden Platten sind gespiegelt und verschlüsselt. Weiterhin habe ich die Verzeichnisse im Windows-Netzwerk freigegeben mit Nutzer-Authorisierung.


    Ich habe mir nun überlegt, dass die Festplatten ja eigentlich im laufenden Betrieb nicht verschlüsselt sind. Damit wäre ein simpler Angriffsvektor ja einfach eine Attacke via SMB. Die jeweiligen SMB-Passwörter sind sehr viel leichter zu erraten als die eigentlichen Krypto-Keys der Verschlüsselungen. Solange die NAS also in Betrieb ist (was ja ihr primärer Sinn ist), ist sie eigentlich nicht oder nicht stark gesichert, richtig?


    Ich habe nun überlegt, ob man diesen Angriffsvektor zumindest soweit einschränken kann, dass man die Verschlüsselung automatisch aktiviert, wenn via SMB 3mal das falsche Passwort eingegeben wurde.


    Liege ich mit meinen Überlegungen generell überhaupt richtig bzgl. der Offenheit bei Betrieb? (Was bringt dann eigentlich die Krypto?) Gibt es eine Umsetzung meiner Idee oder etwas vergleichbares?


    Vielen Dank schon mal im Voraus!


    Gruß A.

    Der Schutz der Verschlüsselung dient eigentlich wohl in erster Linie gegen physischen Diebstahl / Entwendung oder unautorisierten Zugriff vor Ort, sowie sichere Entsorgung von alten und defekten Festplatten. Siehe dazu auch:

    [UMFRAGE] Verschlüsselung - Setzt Ihr Verschlüsselung bei Eurem NAS ein - wie und warum?


    Als Schutz gegen Malware ist die Verschlüsselung eher schwieriger einzusetzen. Da gibt es geeignetere Mittel dafür, Firewall, Virenschutz, UTM, etc. und vor allem der richtige Umgang mit dem Internet.


    Zitat von Angyrtis

    Ich habe mir nun überlegt, dass die Festplatten ja eigentlich im laufenden Betrieb nicht verschlüsselt sind.

    Verschlüsselt sind sie schon, aber lesbar, sprich geöffnet.


    Deine Überlegungen sind grundsätzlich richtig, aber in "geschlossenem" Zustand hat auch sonst niemand Zugriff auf die Daten. Bei jedem Zugriff die Verschlüsselung zu öffnen und danach wieder zu schließen wäre zwar sicherer, aber praktisch wird dies wohl niemand so machen, weil schlichtweg unpraktikabel, es sei denn Du hast nur sehr wenige Zugriffe. Wenn Du das NAS z.B. nur am Wochenende benötigst ist es noch sicherer, wenn Du das NAS die Woche hindurch ganz abstellst. Das ausgeschaltete NAS ist gegenüber von Malware die sicherste Methode.

    Ob und wie die Verschlüsselung bei einem möglichen Angriff zu schließen ist mir nicht bekannt.

    Danke schön für die Antwort. Hab das jetzt anders gelöst und die NAS doch nicht öffentlich gemacht. Ist mir nicht geheuer alles in allem. Arbeite jetzt mit einem VPN, das löst auch einige andere Probleme. :)

    VPN ist definitiv die bessere Wahl. Ein NAS ohne zusätzlichen Schutz offen ins Internet zu stellen würde ich nicht trauen. Wichtig: VPN Verbindung auf den Router oder Firewall machen und nicht auf das NAS.