TS 253D SED-Verschlüsseln oder Software-Verschlüsseln

    Hallo in die Runde,

    ich möchte Euch so als Erfahrene QNAP User was Fragen. Habe ein TS-253D gekauft mit 2 x Samsung SSD.

    Möchte an sich wenn es geht Daten auf dem QNAP schützen vor Diebstahl z. B. das QNAP steht nicht im Internet wird nur Intranet verwendet, ein Zugriff von aussen nur per VPN möglich ins Intranet!.

    Das QNAP startet Morgens um 7 Uhr und geht um 22 Uhr aus.
    An sich möchte ich nicht den Key immer wieder eingeben, aber glaube das geht bei beiden Varianten nicht ohne das dann kein Schutz bei Diebstahl da wäre oder?

    Was wäre auch die bessere Variante wenn einmal eine Platte defekt geht, ach ja wäre Raid 1 also beide spiegeln sich selber.

    Danke Euch für einen Tipp oder Vorschläge oder Erfahrungen.

    Das Automatische abschalten kommentiere ich mal nicht. ;) Ich habe nie verstanden, dass man sich ein NAS kauft um es abzuschalten, da kann ich auch beim PC und Laufwerksfreigabe bleiben.


    Das Speichern des Schlüssels auf dem NAS ist kontraproduktiv, wenn man die Daten gegen Diebstahl des NAS schützen will. Das sagt QNAP auch ganz klar, wenn man den Schlüssel auf dem NAS speichert, dann reicht der "physische Zugriff", um an die "verschlüsselten Daten" zu kommen... Stichwort: 3 Sekunden Reset und schon bin ich Admin.

    Zitat von QNAP Doc - Freigabeordner erstellen

    Warnung:

    • Das Speichern des Verschlüsselungsschlüssels auf dem NAS kann zu unbefugtem Zugriff auf die Daten führen, wenn unbefugte Personen physisch auf das NAS zugreifen können.
    • Wenn Sie das Verschlüsselungspasswort vergessen, ist der Zugriff auf die Daten nicht mehr möglich.

    Hallo Barungar,

    vielen Dank für die schnelle Antwort. Das mit dem abschlaten ist so eine Angewohnheit da ich das QNAP nicht in der Nacht brauche.
    Dazu hätte ich aber gleich noch eine kurze Frage, welche USV würde man bei 2 x TS-253D nehmen können, eine APC oder Online USV?

    Das mit dem Reset ist was warum macht man so etwas nur als Funktion, greift der Reset auch wenn man den 2FA nutzen würden als Admin, also der Admin ist ja sowieso inaktiv "neuer" Admin User wäre angelegt.

    Wenn ich das QNAP Starte muss ich mich dann immer um das PW einzugeben Anmelden in die QTS oder geht es auch per App?

    Hat sonst noch jemand Erfahrung oder eine Idee/Tipp.

    Weder eine APC (zu teuer) noch eine Online USV (zu aufwändig), die heißen heutzutage übrigens VFI-USV. Für ein TS-253D reicht eine VFD-USV (früher Offline USV) mit USB-HID. Das Netzteil von QNAP ist träge genug, um die Umschaltzeit der VFD-USV zu kompensieren und über USB-HID kannst Du das NAS automatisch runterfahren lassen, wenn der Strom weg ist und die USV schwächelt. Wenn Du besonders viel mit Spannungsschwankungen zu tun hast, könnte ggf. noch eine VI-USV in Frage kommen. Aber eine VFI ist mit Kanonen aus Spatzen für ein NAS.


    Ja, der 3 Sekunden Reset greift natürlich auch bei 2FA. Die Logik ist, wer "physisch Zugriff" hat, der soll auch "logisch Zugriff" bei Bedarf haben. Gerade im Umfeld mit Privatnutzern, wäre alles andere schlimm. Der durchschnittliche User vergisst drei im Jahr sein Passwort, daher ist so eine Funktion für SOHO schon gut. Und dann kauft er noch alle 12 Monate ein neues Handy ohne natürlich die 2FA zu migrieren. Ich habe schon seit über 25 Jahre mit Usern zu tun; daher habe ich alle Hoffnung verloren...

    Zitat von QNAP Docs - 2FA disable


    You can disable 2-step verification by performing a 3 second reset on your NAS. This reset will not delete the data from your device.


    Ob das Eingeben des Passworts über eine App geht weiß ich nicht. Ich gebe das Passwort ca. einmal im Monat über die WebUI ein und das auch nur wegen dem Update-Reboot. ;)

    Einmal editiert, zuletzt von Barungar ()

    Welche USV wäre denn so nett wenn APC nicht in Frage kommt. Spannungsschwankungen habe ich keine im Haus, wäre nur bei Stromausfall was oder wenn Gewitter kommt dann müsste ich das QNAP nicht vom Strom trennen, eine USV sollte doch Blitzschlag abfangen zumindest die großen machen das doch.

    Passwörter vergessen ist doch nicht wahr, zur Not einen PW dafür haben.

    Schade das es am Ende nicht über die App geht.

    Dann muss ich sehen was ich mache mit dem QNAP und einer Verschlüsselung oder lieber doch nicht Verschlüsseln.

    Ich tue mir schwer hier eine USV zu empfehlen... ist nicht so mein Ding. Ich würde sagen, schau doch einmal mal in diversen Online-Shops. Ich bin der Auffassung, dass eine VFD-USV ausreicht. Die sollte dann aber möglichst keinen Dauerlüfter haben, einen USB-HID und ansonst liegt es in Deinem Geschmack, was Du so von Preis-Leistung möchtest.


    Bei mir werkelt z.B. eine Eaton 5S 550 IEC - das ist allerdings schon eine VI-USV! Bei mir gibt es nur ganz selten die 230 Volt, daher habe ich den Bedarf Spannungen ausgleichen zu wollen.

    Gegen Blitzschlag gibt es aber auch spezielle Spannungsfilter, da würde ich ggf. sogar dann einen vor die USV schalten, wenn Du in einer Gewitterzone lebst. Ich selbst hatte in >45 Jahren noch nie einen Gewitterschaden und ich bin radikaler Geräteweiternutzer bei Gewitter.


    Ich bin ganz klar ein Verfechter von Verschlüsselung, aber auch ein ganz klarer Verfechter von NAS soll laufen, sonst brauch ich kein NAS. Wenn ich mein NAS abends so oder so ausmache, dann würde auch ein PC reichen. Wieso will man dann ein NAS? Einfach ein paar SSDs/HDDs mehr in den PC fertig, wenn der läuft könne alle an die Daten.


    Bei mir läuft das NAS 7/24 und der PC ca. 6:00 Uhr bis ca. 23:00 Uhr. Und gerade in der Nacht macht das NAS die ganzen großen Backups, weil mich dann der Performanceeinbruch nicht stört.

    Zitat von Barungar

    ...daher habe ich alle Hoffnung verloren...

    OT: Ich fand einmal diesen Spruch, der seitdem immer gerne von mir zitiert wird: "Wenn man etwas idiotensicher macht, dann erfindet die Natur bessere Idioten!" ^^


    Gruss

    Alles klar also NAS 24 Stunden, wenn ich ein Rack Ammount hätte hätte ich auch die 24 Std gewählt und dann noch eine PV auf das Dach ;) Irgendwann muss die Kirche im Dorf bleiben.

    Backups laufen direkt nebenbei vom LAN Port 2 auf Lan Port 1 des Backup QNAP, dann noch einmal die Woche ein RDX Laufwerk und dazu täglich in die Cloud zum testen mal.

    Bei Deiner USV hast dann Kaltstecker genommen die von dem QNAP Netzteil direkt in die USV gehen richtig und merkt dann das Strom ausfällt und fährt runter.
    Habe am Ende ja zwei TS 253D.

    Welche Methode aber setzt Du ein zum Verschlüsseln eher die SED oder die Software Geschichte von QNAP, welche wäre die bessere auch vielleicht einmal die M2 oder SSD so an einen PC an schliessen falls das QNAP mal defekt geht.

    Optisch machen die was her


    APC Smart-UPS C 1000VA LCD 230V Oder APC Back-UPS Pro 650VA BR650MI, USV

    Aber vielleicht hat noch jemand anderes Ideen vor allem das zwei daran passen und auch runterfahren im Falle.

    Wenn ich zwei NAS hätte, die immer ausschaltet würden, dann hätte ich den Glauben schon komplett verloren und bräuchte keine Kirche mehr. ;)


    Ich habe Kaltgeräte genommen, weil ich die praktischer als Schuko finde. Ich finde Schuko an einer USV seltsam.


    Für die Verschlüsselung nutze ich die Softwareverschlüsselung von QNAP, aus der WebUI, wie ich schon schrieb.


    Deine USV-Wahl ist Deine Sache... aber APC ist in meinen Augen völlig übertrieben. Die lassen sich den Namen vergolden. Die kosten einfach mal so das 2-fache wie andere USVen.

    Laut den technischen Daten sind beide auch Dauerlüfter... 41 bzw. 45 dBA... meine USV macht 21 dBA.

    Ok also die Software dann.

    Das mit dem glauben ist immer so eine Sache, ich weiß das ein NAS 24 Stunden laufen soll, aber ich mache es seit Jahren so mal sehen ob ich es ändere.

    Vielleicht auch der Gedanke das man hier und da Strom sparen kann für die Umwelt und das Netz.

    Ich bin nicht der Typ für Stromsparen. So lange ich es kann, lebe ich mein Leben, wie es mir gefällt. Seit der "Energie-Krise" ist mein Verbrauch an Strom und Kraftstoff sogar gestiegen... Autofahren macht einfach mehr Spaß, wenn die Straßen frei sind. :D Letztens konnte ich auf der A1 240 km/h für ca. 10 Minuten konstant halten, weil alle rechts geschlichen sind. :D :D

    Einmal editiert, zuletzt von Barungar ()

    Alles gut und jedem das seine, ich lebe es genau anders, es gibt auch mal das Fahrrad und den Nahverkehr ;) und beim Strom klar kann man immer mehr sparen wie beim Heizen etc..

    Ich hinterlasse aber niemand etwas daher müsste ich das aber nicht so machen.

    Danke Dir trotzdem für die Tipps hier und wünsche noch einen schönen Tag.

    Falls noch jemand etwas hat an Ideen bin weiterhin offen.

    Beim 3 Sekunden Reset ist das gespeicherte Volume Kennwort mit weg.

    Jedenfalls bei QTS.


    Und auto Snapshots funktionieren nur wenn das Kennwort gespeichert wurde.

    Ein wenig seltsam aber ok.


    Häufiger als Diebstahl ist jedoch ein HD Ausfall, kann man dann einfach einsenden weil dank AES kommt da niemand an die Daten.

    Zitat von Crazyhorse

    Häufiger als Diebstahl ist jedoch ein HD Ausfall, kann man dann einfach einsenden weil dank AES kommt da niemand an die Daten.

    Hallo Crazyhorse,

    bei dem AES speicherst Du aber den Schlüssel nicht auf dem QNAP sondern wenn einmal Firmware oder QTS etc ein Neustart möchte gibst Du es immer per Hand ein richtig?

    Warum nutzt Du nicht die SED Funktion?

    Denke einen Tausch von HDD mache ich mir weniger gedanken kommt in den Müll ist klar Zerstört mit Bohrer/Flex etc ;) oder beim Vor Ort entsorger einmal Schreddern.

    Zitat von Finn05

    bei dem AES speicherst Du aber den Schlüssel nicht auf dem QNAP sondern wenn einmal Firmware oder QTS etc ein Neustart möchte gibst Du es immer per Hand ein richtig?

    Man kann das Passwort auch im NAS hinterlegen, dann wird bei einem Neustart automatisch entsperrt. Falls die Festplatten ohne NAS geklaut werden, sind sie dann immernoch verschlüsselt.

    Schon richtig.... aber wenn es um Diebstahl geht und um ein 253D, dann würde ich nicht davon ausgehen, dass jemand einzelne HDD klaut, sondern das ganze NAS, da das viel schneller weggenommen ist als eine oder beide HDD :)

    Disk-Diebstahl würde ich eher bei den dicken 19" Storages sehen, die man erstmal mühevoll, am besten mit zwei Mann ausbauen muss um sie dann auf einen Bollerwagen zu laden :S

    Hatte schon aber echt überlegt mit ein 4 Bay Rack Ammount zu holen von Qnap muss aber halt ein kurzes in der tiefe sein.

    Mal sehen im nächsten Haus mal ;) dann auch mit PV und so aber nicht so.

    Ich habe den Key hier gespeichert weil sonst meine Backup Jobs und zeitgesteuerten Snapshots nicht funktionieren.


    Mir sind auch schon HDs ausgefallen und dank Verschlüsselung konnte ich die einfach auf Garantie einsenden und habe eine neue erhalten oder eine Gutschrift.

    Glaube nicht das es funktioniert hätte, wenn beim Gegenüber eine Tüte Metallspäne angekommen wäre.


    Und als Privatperson habe ich keinen Vertrag mit behalte doch einfach die alte HD wenn put...


    SED ist ja nett, aber das können bei mir nur die beiden SSDs und die nutzen das auch, so kann ich hier den ganzen Pool verschlüsseln und das Volume ist unverschlüsselt und daher als Systemvolume einsetzbar.