Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

[Synology] Encrypten van shares met het oog op diefstal NAS

Pagina: 1
Acties:

Acties:
  • +1Henk 'm!

  • ThinkPad
  • Registratie: juni 2005
  • Nu online

ThinkPad

Moderator Duurzame Energie & Domotica
Topicstarter
Crosspost uit [Synology] Vraag en antwoord - deel 3 maar het leek mij handig om er even een apart topic voor te openen
Bananenplant schreef op donderdag 19 oktober 2017 @ 12:49:
[...]


Wat ik belangrijk vind is dat als mijn NAS gejat wordt mijn data niet gejat is, zeg maar ;) . Maar verder wil ik wel graag dat het onmerkbaar aanwezig is bij het dagelijks gebruik en je bijvoorbeeld alleen bij het booten een key moet ingeven. Maar als de accounts gebruikt worden om te ontsleutelen, dan staat de sleutel toch op het systeem en heeft een eventuele dief die sleutel dus in bezit :? ?
[...]
Een beetje een oude }:O die ik hier naar boven haal, maar gezien ik het een issue van alle tijden vind, wil ik hier toch nog eens met anderen over sparren. Data niet versleuteld op de NAS hebben staan is best een beveiligingsrisico namelijk, mocht je NAS gestolen worden: Inbreker neemt mijn NAS onder zijn arm mee, sluit hem thuis aan, drukt de RESET knop in en gaat op zijn gemak even door mijn data pluizen :'(

Ik heb daarom de shares met privédata versleuteld. Tot zover prima zou je denken.
Ik zet de NAS overdag echter uit, gezien we dan toch niet thuis zijn. Hierdoor moet telkens bij het opstarten het wachtwoord van de betreffende share worden ingevoerd om deze te kunnen mounten. Dit gaat gauw vervelen.

Heb daarom gekeken naar een manier om automatisch te mounten. Maar de optie die Synology aanbied is, als ik het goed begrijp, zo lek als een mandje! Zie dit artikel. Elke Synology gebruikt dezelfde 'salt' om de keyfile mee te versleutelen namelijk 8)7 Je kunt wel een USB-stick gebruiken waardoor je de keys kunt laten versleutelen met een andere salt, maarja die USB-stick moet voor het automatisch mounten in de NAS blijven lijkt mij, een inbreker neemt die natuurlijk ook mee. Deze optie valt daardoor ook af?

Daarnaast geeft Synology wel aan dat na het indrukken van de RESET-knop de shares unmount worden en het automatisch mounten uitgezet wordt. Maar ik heb zojuist even handmatig getest, als ik auto-mount uitzet in de Key Manager en de share unmount, dan kan ik hem daarna door op 'Mount' te klikken alsnog zo weer laten mounten zonder een password te hoeven ingeven.

Tijd terug dit script wat aangepast en in gebruik genomen. Maar eigenlijk vind ik dat te complex en de externe afhankelijkheden (webserver) irritant. Kwam bij dat ik er in mijn geval alsnog niet goed over had nagedacht (het script draaide op een webserver op een machine in dezelfde ruimte als de NAS, die kunnen ze ook zo meenemen dus. Weg security :+ )

Hoe doen anderen dit? Ik zou nog op de client de data al versleuteld naar de NAS kunnen sturen, of een TrueCrypt volume ofzo erop kunnen zetten. Maar dit haalt het gebruiksgemak omlaag en ondertussen gaat de complexiteit (en dus kans op fouten = dataverlies) evenredig omhoog :|

TL;DR: Hoe shares op Synology versleutelen, maar wel makkelijk (en toch veilig!!!) makkelijk automatisch laten mounten?

[Voor 5% gewijzigd door ThinkPad op 11-07-2020 22:55]

Gas besparen door CV-tuning | Elektriciteit besparen
Geen vragen via privébericht die ook via het forum kunnen a.u.b.


  • ThinkPad
  • Registratie: juni 2005
  • Nu online

ThinkPad

Moderator Duurzame Energie & Domotica
Topicstarter
Hmm, het issue met de RESET-knop kun je oplossen met een vinkje in DSM waarbij je aangeeft dat het admin wachtwoord niet gereset moet worden bij het indrukken van die knop. Zoek op “keep current admin password unchanged” op Google. Zo kwam ik nog een beveiligingsissue tegen namelijk, als iemand in je NAS zit dan kan de data op een backuplocatie ook zo weggooien :X

Ik zit even te denken of met die optie ingeschakeld, het gebruik van de Key Manager wel veilig is? Die .key files die in het blog van ElcomSoft genoemd worden heb ik niet in gebruik, ik heb de passphrase voor de shares in m'n wachtwoordenkluis staan.

Gas besparen door CV-tuning | Elektriciteit besparen
Geen vragen via privébericht die ook via het forum kunnen a.u.b.


Acties:
  • 0Henk 'm!

  • maratropa
  • Registratie: maart 2000
  • Niet online
die van mij staat nooit uit dus ik heb er weinig last van, maar auto mount leek me ook geen slim plan idd toen ik er mee bezig was, het klinkt als fundamenteel tegenstrijdig met het beoogde doel..

pragmatisch; hang je usb stick aan een verlengkabel en metsel hem ergens in :p

specs


Acties:
  • 0Henk 'm!

  • Tsurany
  • Registratie: juni 2006
  • Niet online

Tsurany

⭐⭐⭐⭐⭐

@ThinkPad het niet uitzetten van de NAS lijkt me de beste oplossing. Stroomverbruik is zo minimaal dat je het amper gaat merken op de energierekening.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N


Acties:
  • +2Henk 'm!

  • SmiGueL
  • Registratie: september 2005
  • Laatst online: 23:06
ThinkPad schreef op zaterdag 11 juli 2020 @ 22:50:
Daarnaast geeft Synology wel aan dat na het indrukken van de RESET-knop de shares unmount worden en het automatisch mounten uitgezet wordt. Maar ik heb zojuist even handmatig getest, als ik auto-mount uitzet in de Key Manager en de share unmount, dan kan ik hem daarna door op 'Mount' te klikken alsnog zo weer laten mounten zonder een password te hoeven ingeven.
Opstartscript maken die bij elke boot je USB stick wist indien je public IP is gewijzigd. :+*
Opstartscript maken die bij elke boot de keyfile (die je gewoon lokaal opslaat in een onversteutelde map) wist/overschrijft indien je public IP is gewijzigd. :+

Als ik dit lees wordt de task scheduler niet gecleared bij een NAS reset.

*Gaat falen als de steeldief je NAS éérst laat booten, en láter pas die stick erin plugt.

[Voor 7% gewijzigd door SmiGueL op 12-07-2020 02:10]

Delidded 4770K 4.7GHz @ H220 || Gigabyte Z87X-UD4H || 16GB @ 2400MHz || Gigabyte GTX 760 || 2x128GB Samsung 830 @ RAID-0 & WD 3 TB || Iiyama XB2483HSU-B1 || Synology DS916+ 3x6TB + 120GB SSD Cache || Synology DS213+ 6TB backup


Acties:
  • +3Henk 'm!

  • Gé Brander
  • Registratie: september 2001
  • Laatst online: 22:10

Gé Brander

MS SQL Server

Voor Windows omgevingen:
Je kan toch een iscsi target maken met een lun op je synology. Deze via iscsi connecten aan je pc/server. Dmv bitlocker de data versleutelen. En als je op meerdere pc's de data moet benaderen dan op die pc/server de data sharen.

Het grote voordeel van deze methode is dat je zonder de pc/server (met de tpm chip) het vrijwel onmogelijk gaat zijn om de iscsi lun (wordt in de pc/server gezien als een disk) te decrypten.

Er is dus niets op de synology aanwezig dat de decryptie kan realiseren. Het is wel van belang dat je in geval van Windows de bitlocker key goed bewaard.

Hoe dat in Linux gaat heb ik geen idee van. Iets dergelijks zal ook wel op Linux mogelijk moeten zijn.

[Voor 64% gewijzigd door Gé Brander op 13-07-2020 07:38]

Vroeger was alles beter... Geniet dan maar van vandaag, morgen is alles nog slechter!


Acties:
  • +1Henk 'm!

  • Mijzelf
  • Registratie: september 2004
  • Niet online
Je wilt eigenlijk dat het filesysteem alleen gemount kan worden als die NAS nog op zijn oude plek staat. Je zou de key kunnen versleutelen met het MAC adres van de gateway en/of een ander 'altijd aan' apparaat in je netwerk. Natuurlijk kan de dief die ook hebben meegenomen, maar het wordt al minder waarschijnlijk.

  • ThinkPad
  • Registratie: juni 2005
  • Nu online

ThinkPad

Moderator Duurzame Energie & Domotica
Topicstarter
Ik kan de creatieve oplossingen wel waarderen! :D
Die van @Mijzelf is dan nog wel vrij laagdrempelig, zoiets zal het gaan worden denk ik. USB-stick inmetselen kon ik ook wel om lachen, maar is minder praktisch.

NAS aan laten staan vind ik zonde van de stroom en van de draaiuren op de disks (ze spinnen alsnog wel af en toe op heb ik gemerkt ondanks dat spindown staat ingesteld).

Gas besparen door CV-tuning | Elektriciteit besparen
Geen vragen via privébericht die ook via het forum kunnen a.u.b.


  • Gé Brander
  • Registratie: september 2001
  • Laatst online: 22:10

Gé Brander

MS SQL Server

Welk os heb je op de clients?

Vroeger was alles beter... Geniet dan maar van vandaag, morgen is alles nog slechter!


  • ThinkPad
  • Registratie: juni 2005
  • Nu online

ThinkPad

Moderator Duurzame Energie & Domotica
Topicstarter
Windows 10. Maar de eerdere optie met iSCSI die je aangaf zie ik niet echt zitten. Het liefste houd ik de encryptie voor de clients gewoon transparant, net als hoe het nu is.

Gas besparen door CV-tuning | Elektriciteit besparen
Geen vragen via privébericht die ook via het forum kunnen a.u.b.


  • Yucon
  • Registratie: december 2000
  • Laatst online: 21:49

Yucon

*broem*

ThinkPad schreef op maandag 13 juli 2020 @ 10:59:
USB-stick inmetselen kon ik ook wel om lachen, maar is minder praktisch.
Ik denk dat dat wel meevalt. Het idee is gewoon een flinke ketting eraan. Als hij in je meterkast staat kun je zelfs iets als een fietsslot om een ijzeren leiding hangen.

Als je NAS gejat wordt zal dat vrijwel altijd voor het apparaat zelf en niet voor de data zijn, dus een dief zal die stick er simpelweg uittrekken.

Acties:
  • +1Henk 'm!

  • Gé Brander
  • Registratie: september 2001
  • Laatst online: 22:10

Gé Brander

MS SQL Server

ThinkPad schreef op maandag 13 juli 2020 @ 16:11:
Windows 10. Maar de eerdere optie met iSCSI die je aangaf zie ik niet echt zitten. Het liefste houd ik de encryptie voor de clients gewoon transparant, net als hoe het nu is.
Het is in mijn ogen de meest makkelijke en transparante optie. Ik denk ook de meest veilige. Maar kies wat je het beste vind. Succes in ieder geval. 👍

Vroeger was alles beter... Geniet dan maar van vandaag, morgen is alles nog slechter!


Acties:
  • +2Henk 'm!

  • Wim-Bart
  • Registratie: mei 2004
  • Laatst online: 10-01 17:43

Wim-Bart

Zie signature voor een baan.

Ik heb mijn Synology op een UPS staan en deze gaat nooit uit. Alle shares zijn versleuteld en de keys staan op 3 USB sticks. 1 heb ik altijd bij me (maar niet op zak), 1 ligt ergens extern en 1 ergens verstopt in huis.

Gaat hij uit of herstart hij dan moet de USB geplaatst worden. Tevens loopt er een bash script iedere 15 Minuten die uit een Pool van 5 IP Adressen een ping doet. Wanneer er 2 van de 5 IP Adressen niet bereikbaar zijn doet de Syno een shutdown. Dit voorkomt dat een bijdehand denkt ik neem hem mee met UPS en al om te onderzoeken..

Call me paranoia... Mijn twee Pc's zijn TPM ge-bitlockerd. Backup van de Pc's staat op de Syno (in versleutelde share). Mijn VM's op mijn ESX zijn ook ge-bitlockerd. En backups staan op de Syno. En de backup van de Syno staat in de cloud, ook versleuteld.

[Voor 20% gewijzigd door Wim-Bart op 13-07-2020 20:51]

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.


Acties:
  • +1Henk 'm!

  • SmiGueL
  • Registratie: september 2005
  • Laatst online: 23:06
Wim-Bart schreef op maandag 13 juli 2020 @ 20:47:
Ik heb mijn Synology op een UPS staan en deze gaat nooit uit. Alle shares zijn versleuteld en de keys staan op 3 USB sticks. 1 heb ik altijd bij me (maar niet op zak), 1 ligt ergens extern en 1 ergens verstopt in huis.
Uiteraard 1000x veiliger dan die stick in de NAS laten zitten, maar ik snap ook best dat @ThinkPad de NAS elke dag uit zet. (scheelt na een paar jaar al snel €100+ aan stoom én slijtage van de HDD's.
maratropa schreef op zondag 12 juli 2020 @ 00:17:
pragmatisch; hang je usb stick aan een verlengkabel en metsel hem ergens in :p
Zo'n slecht idee is die verlengkabel nog niet. :P

Je koopt voor een euro een verlengkabeltje en steekt deze samen met de overige UTP kabels door de muur richting de kruipruimte oid.
Hier maak je die stick ergens aan vast (desnoods met tape aan een van de UTP kabels) dus als ze aan de kabel zouden trekken komt deze zonder stick naar boven. :P

De eerste inbreker die een kruipruimte/kabelbrei achter de muren uit gaat pluizen en weg roven moet nog geboren worden denk ik. :+

Delidded 4770K 4.7GHz @ H220 || Gigabyte Z87X-UD4H || 16GB @ 2400MHz || Gigabyte GTX 760 || 2x128GB Samsung 830 @ RAID-0 & WD 3 TB || Iiyama XB2483HSU-B1 || Synology DS916+ 3x6TB + 120GB SSD Cache || Synology DS213+ 6TB backup


  • Lrrr
  • Registratie: maart 2011
  • Laatst online: 18:20
ThinkPad schreef op zaterdag 11 juli 2020 @ 22:50:
Je kunt wel een USB-stick gebruiken waardoor je de keys kunt laten versleutelen met een andere salt, maarja die USB-stick moet voor het automatisch mounten in de NAS blijven lijkt mij, een inbreker neemt die natuurlijk ook mee. Deze optie valt daardoor ook af?
Heb je die USB-stick alleen bij het booten nodig of continu als de NAS aanstaat? In dat eerste geval kan je de stick in een lade leggen en die even tijdens het booten erin prikken en weer eruit halen. (Zo werkt het i.i.g. op een ReadyNAS, geen idee hoe het specifiek met Synology zit.)

I am Lrrr, ruler of the planet Omicron Persei 8!
Picnic €5 korting


  • ThinkPad
  • Registratie: juni 2005
  • Nu online

ThinkPad

Moderator Duurzame Energie & Domotica
Topicstarter
Lrrr schreef op woensdag 15 juli 2020 @ 13:54:
[...]


Heb je die USB-stick alleen bij het booten nodig of continu als de NAS aanstaat? In dat eerste geval kan je de stick in een lade leggen en die even tijdens het booten erin prikken en weer eruit halen. (Zo werkt het i.i.g. op een ReadyNAS, geen idee hoe het specifiek met Synology zit.)
Bij elke boot moet hij aanwezig zijn, daarna kan hij verwijderd worden als ik het goed begrijp.
Als de NAS maar één keer per maand aan/uit werd gezet zou dat een optie zijn, maar de NAS gaat eind van de middag aan en 's nachts weer uit. Ik wil niet elke dag een USB-stick aan moeten sluiten. In die zin heeft het geen toegevoegde waarde ten opzichte van alleen een password gebruiken.

De optie van @SmiGueL klinkt wel oké, ook omdat je dan gewoon een 'vanilla' oplossing gebruikt die door Synology zelf ondersteund wordt.

[Voor 5% gewijzigd door ThinkPad op 15-07-2020 13:57]

Gas besparen door CV-tuning | Elektriciteit besparen
Geen vragen via privébericht die ook via het forum kunnen a.u.b.


Acties:
  • +1Henk 'm!

  • SmiGueL
  • Registratie: september 2005
  • Laatst online: 23:06
Indien je je router op een andere plek in huis hebt staan zou je die keyfile-usb-stick ook altijd hierin kunnen steken, en deze vervolgens delen en auto-mounten op je NAS. (eventueel alsnog met verlengkabel ertussen en wegwerken)

Is wel iets omslachtiger, maar het haalt de 2 fysiek uit elkaar en het hoeft natuurlijk maar eenmalig ingesteld te worden. 8)

Delidded 4770K 4.7GHz @ H220 || Gigabyte Z87X-UD4H || 16GB @ 2400MHz || Gigabyte GTX 760 || 2x128GB Samsung 830 @ RAID-0 & WD 3 TB || Iiyama XB2483HSU-B1 || Synology DS916+ 3x6TB + 120GB SSD Cache || Synology DS213+ 6TB backup


Acties:
  • +12Henk 'm!
  • Pinned

  • ThinkPad
  • Registratie: juni 2005
  • Nu online

ThinkPad

Moderator Duurzame Energie & Domotica
Topicstarter
Members only:
Alleen zichtbaar voor ingelogde gebruikers. Inloggen

[Voor 32% gewijzigd door ThinkPad op 25-07-2020 15:44. Reden: mo-tags i.v.m 'security by obscurity']

Gas besparen door CV-tuning | Elektriciteit besparen
Geen vragen via privébericht die ook via het forum kunnen a.u.b.


Acties:
  • +5Henk 'm!

  • maratropa
  • Registratie: maart 2000
  • Niet online
nice. geen cement, maar toch:


:p

specs


  • SmiGueL
  • Registratie: september 2005
  • Laatst online: 23:06
Nice! 8)



Members only:
Alleen zichtbaar voor ingelogde gebruikers. Inloggen

[Voor 4% gewijzigd door SmiGueL op 27-07-2020 15:05]

Delidded 4770K 4.7GHz @ H220 || Gigabyte Z87X-UD4H || 16GB @ 2400MHz || Gigabyte GTX 760 || 2x128GB Samsung 830 @ RAID-0 & WD 3 TB || Iiyama XB2483HSU-B1 || Synology DS916+ 3x6TB + 120GB SSD Cache || Synology DS213+ 6TB backup

Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True