File encryptie i.c.m. back-up - Privacy en beveiliging

zaterdag 4 augustus 2012 13:16

Acties:

Topicstarter

Ik heb al enige tijd een mooie NAS tot mijn beschikking waar ik al mijn backups op heb staan.

Al mijn persoonlijke bestanden (docs, foto's etc ongeveer 200gb) heb ik voorzien van EFS file encryptie (standaard windows 7 security). Dit doe ik al jaren en gaat perfect (inclusief back-up naar een andere NTFS disk).

Nu loop ik tegen het probleem aan dat mijn Synology geen NTFS ondersteuning heeft waardoor ik geen back-up kan maken van mijn bestanden zonder dat de security verloren gaat. Kortom ik moet opzoek naar wat anders.

Ik ben wat gaan googlen en kom vooral veel topics tegen over Truecrypt, wat naar mijn inziens prima geschikt lijkt te zijn.. alleen niet voor mijn NAS (FAT.. 4gb max file containers).

Heeft iemand een suggestie hoe ik veilig mijn documenten kan back-uppen en kan voorzien van enige encryptie? Ben benieuwd hoe jullie dit doen.

Encryptie op de NAS zelf is geen optie omdat je handmatig een map moet mounten en ik geen scheduled back-up kan inregelen.

[ Voor 7% gewijzigd door Workaholic op 04-08-2012 13:18 ]

Mijn V&A

zaterdag 4 augustus 2012 14:10

Acties:

Ploink

Wat voor NAS met wat voor OS heb je?
Als ik het goed begrijp wil je de encryptie/decryptie op de client doen. Dat lijkt me onhandig en heb ik geen ervaring mee, maar je kan eens kijken naar FreeOTFE. Dit werkt op windows, maar ook met linux via LUKS of dm-crypt.

MAAR als je een file container maakt op een netwerk schijf dan mag je die NOOIT vanaf twee clients mounten (als file locking dat niet verhindert) of je riskeert ernstige data corruptie!
Bovendien riskeer je filesystem errors in je backup als je de backup doet terwijl het volume nog gemount is.

File based encryptie is veiliger dan een remote encrypted volume, maar ik weet niet of dit kan werken over een netwerk of welke software je zou moeten gebruiken.

Full disk encryption op je NAS lijkt me toch het handigst. Je moet bij opstarten/mounten 1x een password opgeven maar daarna werkt alles gewoon. Misschien kun je een keyfile op usb stick zetten als een hardware sleutel.

Voor windows gebruik ik Diskcryptor met full bootdisk encryption. Diskcryptor kan een keyfile embedden in de bootloader en die booten vanaf usb stick, PXE, cdrom etc, eventueel met extra password. DC is snel en ondersteunt ook de TRIM functie voor gebruik met een SSD.

zaterdag 4 augustus 2012 14:12

Acties:

Osiris

Workaholic schreef op zaterdag 04 augustus 2012 @ 13:16:
Encryptie op de NAS zelf is geen optie omdat je handmatig een map moet mounten en ik geen scheduled back-up kan inregelen.

Wat mij betreft mag je hier wat meer over vertellen.

TrueCrypt kan immers gewoon een hele partitie encrypten en vervolgens kun je die mounten als een normale schijf.

Wat je dan op je client doet, moet je zelf weten. Je encrypted data blijft dan "zoals normaal" beschikbaar, totdat je je NAS uitdoet.

zaterdag 4 augustus 2012 14:28

Acties:

Ploink

@Osiris
Volgens mij heeft TS een kant en klaar NAS systeempje (Synology) waar je geen truecrypt op kan installeren.
Als dat systeempje linux/freebsd draait of dat kan draaien met alternatieve firmware, dan kun je LUKS/Geli gebruiken voor full disk encryptie.
Maar het processortje in de NAS is daar waarschijnlijk een beetje traag voor en dan gaat het ten koste van je netwerk snelheid.

Edit:
Synologie ondersteunt gewoon encryptie. Wat is precies het probleem dan?
http://www.synology.com/t...hared_folder.php?lang=enu

Nu loop ik tegen het probleem aan dat mijn Synology geen NTFS ondersteuning heeft waardoor ik geen back-up kan maken van mijn bestanden zonder dat de security verloren gaat. Kortom ik moet opzoek naar wat anders.

Bedoel je soms de bestanden op je client PC die je wil backuppen naar de synology? Dat kan ook gewoon met winrar bijvoorbeelt, die kan alle attribute mee bewaren. Of je maakt een ghost image van je hele schijf of ....

[ Voor 45% gewijzigd door Ploink op 04-08-2012 14:38 ]

zaterdag 4 augustus 2012 15:19

Acties:

Workaholic

Topicstarter

Osiris schreef op zaterdag 04 augustus 2012 @ 14:12:
[...]

Wat mij betreft mag je hier wat meer over vertellen.

TrueCrypt kan immers gewoon een hele partitie encrypten en vervolgens kun je die mounten als een normale schijf.

Wat je dan op je client doet, moet je zelf weten. Je encrypted data blijft dan "zoals normaal" beschikbaar, totdat je je NAS uitdoet.

Gaat helaas niet lukken, is een synology met FAT. Kan dus niet meer dan 4gb mounten.

Ploink schreef op zaterdag 04 augustus 2012 @ 14:28:
@Osiris
Volgens mij heeft TS een kant en klaar NAS systeempje (Synology) waar je geen truecrypt op kan installeren.
Als dat systeempje linux/freebsd draait of dat kan draaien met alternatieve firmware, dan kun je LUKS/Geli gebruiken voor full disk encryptie.
Maar het processortje in de NAS is daar waarschijnlijk een beetje traag voor en dan gaat het ten koste van je netwerk snelheid.

Edit:
Synologie ondersteunt gewoon encryptie. Wat is precies het probleem dan?
http://www.synology.com/t...hared_folder.php?lang=enu

[...]

Bedoel je soms de bestanden op je client PC die je wil backuppen naar de synology? Dat kan ook gewoon met winrar bijvoorbeelt, die kan alle attribute mee bewaren. Of je maakt een ghost image van je hele schijf of ....

Nee geen attributen, kan geen EFS encryptie meenemen vanuit NTFS/Win7. Dus moet een andere file encryptie methode gaan toepassen.

[ Voor 49% gewijzigd door Workaholic op 04-08-2012 15:19 ]

Mijn V&A

zaterdag 4 augustus 2012 15:21

Acties:

Osiris

Workaholic schreef op zaterdag 04 augustus 2012 @ 15:19:
[...]

Gaat helaas niet lukken, is een synology met FAT. Kan dus niet meer dan 4gb mounten.

Zeg dan "De Synology draait geen Linux en ik kan niet rommelen met de partitie-indeling" want dát zou een argument zijn tegen TrueCrypt op dat ding zelf. Jij zegt nu weer wat over 't originele filesystem, wat compleet losstaat van eventuele andere partities. Maar dan moet dat natuurlijk wel kunnen. Dat weet ik verder niet.

Google gaf me wel aardig wat resultaten op 'synology+truecrypt'

[ Voor 5% gewijzigd door Osiris op 04-08-2012 15:28 ]

zaterdag 4 augustus 2012 15:37

Acties:

Workaholic

Topicstarter

Gaan rommelen op de het filesystem van een kant en klaar ding zie ik niet zo zitten.

Wat ik zoek is een file encryptie programma, wat bij voorkeur per folder of met een bat script folders/files kan voorzien van een encryptio algoritme welke naar een FAT locatie (Synology) kan worden gekopieerd.

Hiermee kan ik het schedulen en kan ik "veilig" back-uppen zonder het mounten van shares, folders etc.

Synology kent overigens ook wel encryptie, maar dan moet je de folder mounted laten wat is niet echt veilig is.

Mijn V&A

zaterdag 4 augustus 2012 15:41

Acties:

johnkeates

Wat je in principe zegt is dat je een NAS hebt, maar dat je er dingen mee wil doen waar het niet voor gemaakt is... En dan maar halve oplossingen zoeken.

Ten eerste: doe FAT weg. Gewoon niet gebruiken. Op z'n minst EXT3 doen.
Ten tweede: met je encryptie kan je gewoon never ever van 2 plekken bij je data, dus kan je naar echte oplossingen kijken, bijvoorbeeld iSCSI, waarbij je gewoon Microsoft's initiator kan gebruiken. Als je perse EFS wil gebruiken (wat ik niet zou aanraden), is dat je beste optie.

zaterdag 4 augustus 2012 15:44

Acties:

Workaholic

Topicstarter

Synology kan alleen FAT

Ik zoek dus een oplossing welke op file niveau (op mijn pc) file encryptie doet en daarna via scheduled jobs naar mijn FAT based NAS gekopieerd kan worden.

Zolang ik deze data later kan decrypten met een sleutel hoef ik maar vanaf 1 plek bij mijn data te kunnen.

johnkeates schreef op zaterdag 04 augustus 2012 @ 15:41:
Wat je in principe zegt is dat je een NAS hebt, maar dat je er dingen mee wil doen waar het niet voor gemaakt is... En dan maar halve oplossingen zoeken.

Ten eerste: doe FAT weg. Gewoon niet gebruiken. Op z'n minst EXT3 doen.
Ten tweede: met je encryptie kan je gewoon never ever van 2 plekken bij je data, dus kan je naar echte oplossingen kijken, bijvoorbeeld iSCSI, waarbij je gewoon Microsoft's initiator kan gebruiken. Als je perse EFS wil gebruiken (wat ik niet zou aanraden), is dat je beste optie.

ISCSI kan mijn synology, ik zal me is inlezen of dit een optie is.. dan kan ik efs blijven gebruiken. Dank.

[ Voor 77% gewijzigd door Workaholic op 04-08-2012 16:17 ]

Mijn V&A

zaterdag 4 augustus 2012 15:46

Acties:

Shakespeare2000

us?!

Welke Synology heb je dan? Die van mij kan toch zeker andere filesystems dan FAT aan...

The whole thing is based on respect, respect to the music, respect to the DJ's,
respect to the crowd and respect to one another!

zaterdag 4 augustus 2012 18:01

Acties:

Workaholic

Topicstarter

Opgelost dankzij de tip van Johnkeates. Thanks.

Heb nu een ISCSI lun aangemaakt, deze gemapped aan mijn werkstation en kan nu gewoon mijn EFS bestanden hier naartoe copy en pasten (of scheduled backup) zonder verlies van EFS certificaat.

Als ik de ISCSI mapping vanaf een andere machine vervolgens open, dan zijn de bestanden onleesbaar.
Kortom missie geslaagd! Thnx! Moet me alleen nog even verder verdiepen in iscsi.

Heb nu een File based ISCSI LUN (geen block), als ik hier met meerdere machines naar connect en als drive letter map.. krijg ik dan een problemen? Het doet zich namelijk als "schijf" voor en niet als share.

[ Voor 29% gewijzigd door Workaholic op 04-08-2012 18:02 ]

Mijn V&A

zaterdag 4 augustus 2012 19:19

Acties:

Ploink

Shakespeare2000 schreef op zaterdag 04 augustus 2012 @ 15:46:
Welke Synology heb je dan? Die van mij kan toch zeker andere filesystems dan FAT aan...

Ja ze kunnen op zijn minst ext3 aan.
http://www.synology.com/s...how.php?q_id=309&lang=enu

Workaholic schreef op zaterdag 04 augustus 2012 @ 18:01:
Heb nu een File based ISCSI LUN (geen block), als ik hier met meerdere machines naar connect en als drive letter map.. krijg ik dan een problemen? Het doet zich namelijk als "schijf" voor en niet als share.

Ja, iSCSI werkt op disk nivo en kent geen file locking. Het is dus niet geschikt voor file sharing.

Jammer dat ik nog steeds niet begrijp wat nou precies de bedoeling is. Formatteer de synology op EXT3 en encrypt de hele share, dan ben je toch klaar?