Crosspost uit [Synology] Vraag en antwoord - deel 3 maar het leek mij handig om er even een apart topic voor te openen
die ik hier naar boven haal, maar gezien ik het een issue van alle tijden vind, wil ik hier toch nog eens met anderen over sparren. Data niet versleuteld op de NAS hebben staan is best een beveiligingsrisico namelijk, mocht je NAS gestolen worden: Inbreker neemt mijn NAS onder zijn arm mee, sluit hem thuis aan, drukt de RESET knop in en gaat op zijn gemak even door mijn data pluizen
Ik heb daarom de shares met privédata versleuteld. Tot zover prima zou je denken.
Ik zet de NAS overdag echter uit, gezien we dan toch niet thuis zijn. Hierdoor moet telkens bij het opstarten het wachtwoord van de betreffende share worden ingevoerd om deze te kunnen mounten. Dit gaat gauw vervelen.
Heb daarom gekeken naar een manier om automatisch te mounten. Maar de optie die Synology aanbied is, als ik het goed begrijp, zo lek als een mandje! Zie dit artikel. Elke Synology gebruikt dezelfde 'salt' om de keyfile mee te versleutelen namelijk
Je kunt wel een USB-stick gebruiken waardoor je de keys kunt laten versleutelen met een andere salt, maarja die USB-stick moet voor het automatisch mounten in de NAS blijven lijkt mij, een inbreker neemt die natuurlijk ook mee. Deze optie valt daardoor ook af?
Daarnaast geeft Synology wel aan dat na het indrukken van de RESET-knop de shares unmount worden en het automatisch mounten uitgezet wordt. Maar ik heb zojuist even handmatig getest, als ik auto-mount uitzet in de Key Manager en de share unmount, dan kan ik hem daarna door op 'Mount' te klikken alsnog zo weer laten mounten zonder een password te hoeven ingeven.
Tijd terug dit script wat aangepast en in gebruik genomen. Maar eigenlijk vind ik dat te complex en de externe afhankelijkheden (webserver) irritant. Kwam bij dat ik er in mijn geval alsnog niet goed over had nagedacht (het script draaide op een webserver op een machine in dezelfde ruimte als de NAS, die kunnen ze ook zo meenemen dus. Weg security
)
Hoe doen anderen dit? Ik zou nog op de client de data al versleuteld naar de NAS kunnen sturen, of een TrueCrypt volume ofzo erop kunnen zetten. Maar dit haalt het gebruiksgemak omlaag en ondertussen gaat de complexiteit (en dus kans op fouten = dataverlies) evenredig omhoog
TL;DR: Hoe shares op Synology versleutelen, maar wel makkelijk (en toch veilig!!!) makkelijk automatisch laten mounten?
Een beetje een oudeBananenplant schreef op donderdag 19 oktober 2017 @ 12:49:
[...]
Wat ik belangrijk vind is dat als mijn NAS gejat wordt mijn data niet gejat is, zeg maar. Maar verder wil ik wel graag dat het onmerkbaar aanwezig is bij het dagelijks gebruik en je bijvoorbeeld alleen bij het booten een key moet ingeven. Maar als de accounts gebruikt worden om te ontsleutelen, dan staat de sleutel toch op het systeem en heeft een eventuele dief die sleutel dus in bezit
?
[...]


Ik heb daarom de shares met privédata versleuteld. Tot zover prima zou je denken.
Ik zet de NAS overdag echter uit, gezien we dan toch niet thuis zijn. Hierdoor moet telkens bij het opstarten het wachtwoord van de betreffende share worden ingevoerd om deze te kunnen mounten. Dit gaat gauw vervelen.
Heb daarom gekeken naar een manier om automatisch te mounten. Maar de optie die Synology aanbied is, als ik het goed begrijp, zo lek als een mandje! Zie dit artikel. Elke Synology gebruikt dezelfde 'salt' om de keyfile mee te versleutelen namelijk

Daarnaast geeft Synology wel aan dat na het indrukken van de RESET-knop de shares unmount worden en het automatisch mounten uitgezet wordt. Maar ik heb zojuist even handmatig getest, als ik auto-mount uitzet in de Key Manager en de share unmount, dan kan ik hem daarna door op 'Mount' te klikken alsnog zo weer laten mounten zonder een password te hoeven ingeven.
Tijd terug dit script wat aangepast en in gebruik genomen. Maar eigenlijk vind ik dat te complex en de externe afhankelijkheden (webserver) irritant. Kwam bij dat ik er in mijn geval alsnog niet goed over had nagedacht (het script draaide op een webserver op een machine in dezelfde ruimte als de NAS, die kunnen ze ook zo meenemen dus. Weg security

Hoe doen anderen dit? Ik zou nog op de client de data al versleuteld naar de NAS kunnen sturen, of een TrueCrypt volume ofzo erop kunnen zetten. Maar dit haalt het gebruiksgemak omlaag en ondertussen gaat de complexiteit (en dus kans op fouten = dataverlies) evenredig omhoog

TL;DR: Hoe shares op Synology versleutelen, maar wel makkelijk (en toch veilig!!!) makkelijk automatisch laten mounten?
[Voor 5% gewijzigd door ThinkPad op 11-07-2020 22:55]
★ Gas besparen door CV-tuning | Elektriciteit besparen ★
Geen vragen via privébericht die ook via het forum kunnen a.u.b.