Welche Art des Zugriffes besteht auf die NAS Dateien (z.B. im Falle von physischem Diebstahl) ?

  • Hallo liebe Qnap Fans,

    ich bin mir sicher, daß meine Frage länglich irgendwo beantwortet ist, nur finde ich es nicht:


    Ich möchte sicherstellen, daß die Dateien (geschäftliche als auch private Dateien...) auf meinem NAS (4 10TB Platten im RAID6 Verbund) nicht lesbar sind, wenn man nicht den User + PW hat.

    Usecase ist ein physischer Diebstahl ODER ein virtueller Einbruch in mein Netzwerk (das Kapern eines PCs mit Zugriff mal ausgenommen).


    1) Public

    Werden die Dateien in irgendeiner Weise verschlüsselt, wenn man sie Public ablegt ?
    Klar ist, daß ein physischer Diebstahl des kompletten NAS vollen Zugang bietet. Ich denke mal, daß man die Festplatten aber nur in einem Qnap NAS lesen kann, oder ?


    2) non-Public / Freigabeordner

    Wenn man mittels Freigabeordner und Rechten ablegt - sind Dateien dann verschlüsselt ? Sprich - kommt man irgendwie an die Daten ohne PW ?
    Gibt es Optionen der Verschlüsselung ?

    Sind die Ordnerstrukturen sichtbar ?


    Danke im voraus für Euren Feedback, gerne auch die Schlagworte hierzu, damit ich mich da weiter einarbeiten kann...


    Viele Grüße

    ;-)

    2 Mal editiert, zuletzt von zac_df1 ()

  • 1)+2) egal welcher Sharename, wenn das Dateisystem nicht verschlüsselt ist, kann man ganz einfach den admin User und PW zurücksetzen.


    Verschlüsselung ist im Handbuch erklärt... NAS muss neu aufgesetzt werden.


    Bei virtuellem Einbruch ist alles egal, also das NAS NIEMALS dem Internet aussetzen.

  • "Public" hat nichts mit Verschlüsselung zu tun, das ist einfach ein Name.

    Du selbst kannst Volumes bei der Erstellung verschlüsseln, nachträglich geht es m.W. nicht.


    Ich selbst arbeite nicht mit Verschlüsselung.

    Andere Frage: hast Du die aktuellen QTS Manuals mal durchgelesen? ;)

    Da wirst Du bestimmt fündig.


    Gruss


    dolbyman war schneller ^^

  • Danke für die umgehende Antwort.

    Meint Ihr mit Verschlüsselung, das was hier beschrieben ist ?
    https://docs.qnap.com/nas-outd…encrypted_file_system.htm


    Müssen die Festplatten irgendeine besondere Voraussetzung haben ?

    Wieviel langsamer wird das NAS dadurch - circa ?

    Was hat man sonst noch für 'Nachteile', bitte ?

  • Was hat man sonst noch für 'Nachteile', bitte ?


    So eine Volumenverschlüsselung macht natürlich nur Sinn, wenn man den Key nicht speichert. Also muss denn manuell nach einem Neustart eingeben.

  • Müssen die Festplatten irgendeine besondere Voraussetzung haben ?

    Wieviel langsamer wird das NAS dadurch - circa ?

    -Nein

    -Unterschiedlich, wenn wir von 1GbE Anbindung reden, kein Merklicher

  • -Unterschiedlich, wenn wir von 1GbE Anbindung reden, kein Merklicher

    Aktuell hab ich 1GbE (+Internet 1GBit down/50MBit up), bald werde ich vermutlich eine 2GBit Internetanbindung haben und ich werde entsprechend hausintern aufrüsten ...


    Was meinst Du mit 'merklich' ?

  • Internetanbindung ist egal .. geht ja um das interne Netzwerk .


    Jeglicher Zugriff aufs NAS vom Internet darf hier eh nur via VPN gemacht werden .. sonst ist der Hacker im Zweifelsfall schon drauf.

  • Ich habe nicht vor das NAS in IRGENDEINER Weise vom Internet her zugänglich zu machen.


    -Unterschiedlich, wenn wir von 1GbE Anbindung reden, kein Merklicher

    Im internen Netzwerk werde ich auf mind. 2,5GbE als nächsten Schritt gehen. Hab ich hier dann irgend nen Bremsklotz durch die Verschlüsselung ?

  • Hallo,


    was die manuelle Eingabe des Schlüssels angeht habe ich mal ein PowerShell Skript geschrieben, das das elegant erledigt: Unlock-Skript


    Gruß

    Reinhold

  • Auch wenn man den Key speichert, wenn der Admin Account oder die anderen Accounts hart zu knacken sind, dann wird der Dieb das Teil über den Reset killen.

    Dann ist das Kennwort vom Admin zwar wieder Default aber die Volume Kennwörter sind mit weg.


    Dann kommt er also nicht an die Daten.


    Speicher man das nicht, hat man ein Problem, das die Kiste im Betrieb keine Snapshots mehr selber erzeugen kann, jedenfalls ist das vor kurzem der Fall gewesen.

    Wird eine HD zum Garantiefall und alles war verschlüsselt drauf, kannst die einfach einsenden, kann eh keiner Daten von lesen.


    Hier muss man halt schauen welchen Kompromiss man ggf. eingehen kann und will, denn Sicherheit muss verhältnismäßig sein.

    Absolute Sicherheit bedeutet, System runterfahren und in einen Tresor stellen, den zuschweißen, den Schlüssel einschmelzen und das Schloss mit Superkleber für immer unbrauchbar machen.

    100g C4 mit rein und bei einem Versuch den Tresor zu öffnen den Inhalt damit zu vernichten.


    Und selbst das würde die passende Truppe überlisten.


    Aber jeden normalen Einbrecher würdest du mit den Maßnahmen davon abhalten einfach so auf deine Daten zu zu greifen.


    Die größere Gefahr ist eher das die HDs bei eBay landen und hier der neue Besitzer mal nen Blick riskiert und was findet.

  • Absolute Sicherheit bedeutet, System runterfahren und in einen Tresor stellen, den zuschweißen, den Schlüssel einschmelzen und das Schloss mit Superkleber für immer unbrauchbar machen.

    100g C4 mit rein und bei einem Versuch den Tresor zu öffnen den Inhalt damit zu vernichten.

    Da widerspreche ich: absolute Sicherheit heißt das System sofort nach dem Speichern von Daten zu shreddern! :P


    Das wäre auch effektiver als die o.a. Maßnahmen.


    Gruss

  • Eine Frage hab ich noch - bitte ned auslachen, frage nur um 100% sicher zu sein:
    RAID (in meinem Fall 6) und Laufwerksverschlüsselung geht ohne Probleme, oder ?
    Ist da was zu beachten ?

    as die manuelle Eingabe des Schlüssels angeht habe ich mal ein PowerShell Skript geschrieben, das das elegant erledigt: Unlock-Skript

    Du hast mir den letzten Hinderungsgrund genommen. Tolle Arbeit. Dein Programmierstil gefällt mir :thumbup:


    Ich glaube ich mache das, will nochmals drüber schlafen, versuche mir grad Platten von nem Kumpel zu leihen, um die Daten zu parken ...

  • RAID (in meinem Fall 6) und Laufwerksverschlüsselung geht ohne Probleme, oder ?
    Ist da was zu beachten ?


    Das eine 'weiß' vom Anderen nix, hat keinen Einfluss aufeinander

  • versuche mir grad Platten von nem Kumpel zu leihen, um die Daten zu parken ...

    Kaufe dir welche, weil du noch kein Backup hast.

    Ansonsten sind die Daten nicht wichtig und u kannst gleich das Volume löschen und neu machen.

  • Kaufe dir welche, weil du noch kein Backup hast.

    Ansonsten sind die Daten nicht wichtig und u kannst gleich das Volume löschen und neu machen.

    Hab es auf OneDrive komplett automatisch gespiegelt.

  • Wollte das grad testen, nachdem ich ALLES nochmals gesichert habe ... um ja keine Daten zu verlieren...


    Verschlüsselte Freigabeordner sollen kein NFS unterstützen sagte mir mein NAS, wenn ich diese Option nutzen will.
    Ist das bei verschlüsselten Volumen auch der Fall ?
    Gibt es einen Performanceunterschied verschlüsseltes Volumen vs. Freigabeordner ?