Reset Button deaktivieren möglich?

    Aber wie groß ist die Chance das dass jemand macht.
    Einbruch dann NAS vom Strom und mit richtig?
    Dann sind die Daten sicher ohne das Master PW.

    Bei "NAS klauen, Start beim Dieb daheim, 3s-Reset ohne Reboot beim Dieb daheim" käme die Lücke auch zum Tragen, so sie denn noch da ist.


    Ohne Test kommen wir hier nicht verlässlich weiter.

    Doofe Frage nun wie Testen am besten?

    Verschlüsseln dann ausmachen und beim starten die Reset taste drücken?


    Sofern dann das Master Login vom Werk wieder da ist sollten man aber nicht an die Daten kommen?

    Was ich nur nicht verstehe so ganz, sollte nicht seit dem QTS5 das default Login nicht die MAC Adresse vom Aufkleber sein am Gehäuse?


    Aber glaube selbst wenn man den Aufkleber abmacht sollte das möglich sein über qfinder oder so?

    Zitat von mawi-022

    sollte nicht seit dem QTS5 das default Login nicht die MAC Adresse vom Aufkleber sein am Gehäuse?

    Ist schon seit der 4er QTS-Version so. Weiß aber nicht mehr genau bei welcher, QTS 4.4, 4.5 oder so.

    Zitat von mawi-022

    Aber glaube selbst wenn man den Aufkleber abmacht sollte das möglich sein über qfinder oder so?

    Ja, das ist so.


    Bild_2022-05-28_114355749.pngGegen physischen Diebstahl des NAS gibt es das Kensington Schloss. Hilft aber wenig gegen den physischen Diebstahl der Festplatten, wobei es auch Modelle gibt, bei denen man das Tray abschließen kann. Viel Schutz würde ich mir davon aber nicht erhoffen.


    Was besser gegen Diebstahl hilft, ist ein Rackmount Modell zu kaufen und dieses in einem Rackschrank zu montieren. Wenn Du dann auch noch ein Modell über 4 bis 6 HE nimmst, kannst Du ziemlich sicher sein, dass dies niemand so schnell mal eben mitnimmt. Für den Ein- und auch Ausbau sind da 4 bis 6 Hände notwendig und dauert auch eine ziemliche Weile. Nichts für mal eben einen schnellen Bruch. :)



    Bildquelle: QNAP-Homepage

    Ein Rack Gerät ist auch schnell demontiert wenn es auf Schienen liegt was man immer machen sollte.


    Ich ziehe unsere Server auf der Arbeit alleine raus und trage die auch alleine Zeit dafür Max 3 Minuten alleine.

    Da musst du das Rack aber sicherlich auch nicht aufbrechen ;)


    Daheim würde ich mir auch wenig sorgen machen, wenn es hier nicht jemand auf deine Daten abgesehen hat, wird sich niemand für das NAS interessieren und erst recht keine Sekunde aufopfern um an das NAS dran zu kommen. Alles was nicht innerhalb von Sekunden eingesteckt werden kann bleibt stehen.

    Da ist was dran aber Rack kommt nicht in frage. Habe derzeit kein Platz in dem Wandnetzwerkschrank.


    Wollte damals eins haben das kurze Modell aber da wurde im Forum ein Kompakt empfohlen da der Preis und die Leistung bei den Kompakten besser sein sollte.


    Also habe ich es nun verstanden Volume per Software verschlüsseln und bei Diebstahl und dem Reset Knopf kommt man zwar ins das Backend QTS aber nicht an die Daten auf der Platte auch wenn das PW gespeichert wurde.

    So ich habe einmal den Test gemacht und weiß nicht ob es richtig war/ist.

    Im laufendem Betrieb den Reset Button gedrückt 3 Sekunden, das NAS hat neue IP bekommen und ich konnte mich mit dem Admin User und der MAC Adresse anmelden.
    Seltsam ist aber das mein "Admin" User noch da war und auch aktiv war und seltsam ist das ich mit dem admin User und der MAC Adresse auf das Verschlüsselte Volume zugreifen konnte.

    Dachte bei dem Reset ist auch das Volume Passwort weg und die Daten Sicher?

    Einmal editiert, zuletzt von mawi-022 ()

    Zitat von mawi-022

    Im laufendem Betrieb den Reset Button gedrückt 3 Sekunden, das NAS hat neue IP bekommen und ich konnte mich mit dem Admin User und der MAC Adresse anmelden.

    ...
    Dachte bei dem Reset ist auch das Volume Passwort weg und die Daten Sicher?

    Dein Test war richtig und erfolgreich im negativen Sinne.


    Er zeigte, dass die Sicherheitslücke noch da ist, da der 3s-Reset keinen Reboot erzwang.

    Somit war mit dem Adminzugang noch der Zugriff auf die entschlüsselten Laufwerke möglich. Die Daten wären erst nach einem folgenden Reboot sicher gewesen.


    Nicht schön! Anders, als ich erwartet hätte! Sorry, nun musst du schauen, wie du mit dem Resultat umgehst.

    Zitat von FRS3263

    Somit war mit dem Adminzugang noch der Zugriff auf die entschlüsselten Laufwerke möglich. Die Daten wären erst nach einem folgenden Reboot sicher gewesen.

    Genau das, was ich vermutet und geäußert habe.


    Wobei ich mich immer noch frage, ob der 3s Reset den gespeicherten Schlüssel eines verschlüsselten Laufwerks löscht.

    Auch da bin ich mir nicht wirklich sicher.

    Also ich habe es noch einmal gestet NAS komplett Neu aufgesetzt, dann beim einrichten einen neuen admin User angelegt.

    Dann das NVME Volume erstellt dabei Software verschlüsselt.
    Dann ein paar "Probe" Daten drauf, dann habe ich das NAS neustart machen lassen, also es wieder da war den 3 Sek Button gedrückt und noch einmal einen Nuestart gemacht.

    Das Ergebniss ist nicht wie hier geschrieben das man mit dem QTS Admin User nicht auf die Daten zugreifen kann, das NAS ist zwar verschlüsselt aber für den QTS Admin ist alles zugänglich.

    Ich dachte das beim 3 Sekunden Reset und Neustart dann alles weg ist.


    Habe ich einen Fehler gemacht?


    Habe einmal ein Ticket aufgemacht und ich überlege doch den 3 Sekunden Button inaktiv zu setzen. Irgendwie seltsam das Gesamte Ding derzeit.

    Einmal editiert, zuletzt von mawi-022 ()

    Mal ganz ehrlich gesagt: Wenn das SO wichtige Daten sind, das Du glaubst, das die im eigenen Haus nicht sicher sind (denn nur dann kommt das mit dem 3s Reset zum Tragen, alles andere erfordert ja den Reboot), dann ist evtl. ein QNAP das ganz falsche System!

    Auch ist offenbar der physische Zugriff nicht so, das nur mit erheblichen Aufwand das NAS erreicht werden kann?


    Da wäre sogar je nach Umfang ein PC mit Bitlocker oder ähnlichem besser geeignet?


    Meiner Meinung nach für eine private Nutzung eher "oversized" wie es im Neudeutsch heißt ^^.

    Bei geschäftlicher Nutzung habe ich sowieso eine besondere Meinung zu QNAP. :ziped:


    Gruss

    Das mit dem 3 Sekunden Ding und einem Reboot bringt doch keinen Effekt man kann doch weiterhin mit dem Master Admin User von Qnap selber auf die Verschlüsselten Daten zugreifen.


    Es gibt Privat schon Daten die man nicht unbedingt Preis geben möchte bei Diebstahl und wer in eine Wohnung oder Haus will kommt rein ;-).


    Finde es nach wie vor seltsam man macht eine Verschlüsselung und kann per Reset mit einem Admin User welche inaktiv ist wieder auf alles zugreifen. Wenn man eine Reset macht sollten die Daten die von einem User X Verschlüsselt wurden geschützt bleiben bis zur Eingabe des Passwortes.


    Sehe es doch richtig das dieses ein BUG ist im QNAP.

    Aber Grundsätzlich macht es keinen Sinn wenn jemand einen Reset macht das dieser an Daten auf Platten kommt.
    Das man auf das QTS kommt beim Reset ok das habe ich verstanden wenn wirklich bei einem Update mal was schief geht, aber nicht das wenn ein Master Admin mit einem anderen User Verschlüsselt hat da wieder dran kommt bei einem Reset.

    Naja, bei vielen IT Geräten hat man ungeahnt mehr Möglichkeiten, wenn man das Teil in Händen hält.

    Daher sagt die IT Security ja auch stets, dass auch der physische Schutz zum Schutzkonzept gehört.

    Nicht um sonst stehen Server- und Storage-Systeme in einem extra gesicherten Raum.

    Einmal editiert, zuletzt von Barungar ()

    Gefällt mir 2

    Ja da gebe ich Dir schon recht.


    Trotzdem sollte diese Lücke nicht sein.

    Reset sollte möglich sein aber nicht für den Bereich der geschützt wurde.

    Gibt eine einfache Lösung: Bevor Du das Haus verlässt die Daten sperren. Somit kann niemand ohne das Passwort zugreifen. Wenn Du wieder zuhause bist kannst Du die Daten wieder freigeben. Hat nie jemand behauptet, dass Sicherheit auch komfortable sei. Natürlich wäre es toll, wenn sich der Hersteller um 100%-ige Sicherheit und Zuverlässigkeit und der Benutzer sich um rein gar nichts kümmern müsste. Vielleicht in einem anderen Leben.

    Das ist eine gute Idee mal sehen.
    Danke Euch für die Abhilfe und Ansicht.

    Euch eine nicht so stressige Woche.