NAS-Central Blog

Lösungen für NAS Systeme

Verschlüsselte Ordner sicher automatisiert über Netzwerk einbinden

Zum automatischen Einbinden verschlüsselter Freigaben oder Volumen beim Systemstart bieten Synology NAS die Möglichkeit, Passworte zum Entschlüsseln von Freigaben im Schlüsselmanager zu speichern. Bei verschlüsselten Volumen werden die Schlüssel im Schlüsseltresor gespeichert.

 

Für einen wirksamen Schutz dürfen Passworte und Schlüssel niemals lokal gespeichert werden!

 

Schlüssel oder Passworte dürfen niemals lokal gespeichert werden. Sind diese Informationen im Schlüsselmanager oder Schlüsseltresor hinterlegt ist die Verschlüsselung mit physikalischem Zugriff auf das NAS, weil das NAS beispielsweise gestohlen wurde,  wirkungslos und kann aufgehoben werden.

 

In diesem Beitrag stellen wir Verfahren vor, wie verschlüsselte Freigaben sicher und automatisiert eingebunden werden können, ohne dass die entsprechenden Passworte lokal oder auf einem angesteckten USB Stick gespeichert sind.

Zielsetzung Verschlüsselter Ordner

Entscheidend für die Wahl des richtigen Verfahrens ist die Frage, was mit der Verschlüsselung erreicht werden soll. Meistens geht es darum, die eigenen Daten für den Fall zu schützen, dass die Hardware in falsche Hände gerät. Häufig soll auch die Möglichkeit erhalten werden, defekte Datenträger zur Reparatur oder zum Austausch einschicken zu können, ohne befürchten zu müssen, dass Fremde Zugriff auf Daten erlangen.

Automatische Entschlüsselung und Datensicherheit ist zunächst ein Widerspruch

Die Verschlüsselung darf nicht dazu führen, dass nach jedem Neustart oder Stromausfall die IT Landschaft nicht mehr funktioniert und jedes Mal Administratoren erst händisch eingreifen müssen.

Soll die Entschlüsselung automatisiert beim Neustart erfolgen und gleichzeitig die Datensicherheit erhalten werden, so müssen Bedingungen und Einschränkungen analysiert werden, unter denen eine automatische Entschlüsselung erfolgen darf. In allen anderen Fällen muss der Schlüssel strikt von den verschlüsselten Daten getrennt und unerreichbar sein.

Rahmenbedingungen können beispielsweise sein:

  • der Server befindet sich physikalisch im eigenen Netzwerk
  • ein externes Gerät ist über ein spezielles Firmen VPN zu erreichbar
  • die Entschlüsselung erfolgt ausschließlich bei Bedarf über ein externes Skript

Es sind viele andere Rahmenbedingungen denkbar. Der Kreativität sind keine Grenzen gesetzt. Im Folgenden geben wir Beispiele für ein Push und ein Pull Verfahren

 

Key Pull - Abruf eines extern gespeicherten Schlüssels unter bestimmten Bedingungen

Bei diesem Ansatz wird der Schlüssel außerhalb des Unternehmens gespeichert. Es besteht keine Gefahr, dass Server und Schlüssel gleichzeitig in falsche Hände geraten.

Der Schlüssel liegt auf einem Webserver. Das Verfahren ist mit jedem anderen Server und verschiedensten Protokollen zu realisieren. 

				
					/usr/syno/sbin/synoshare --enc_mount Test `wget -q --output-document - https://www.host.tld/key.txt`

Die zugehörige Apache Webserver Konfiguration

				
					<Files "key.txt">
    require ip <externe Firmen IP>
</Files>

In diesem Szenario kann der Schlüssel nur dann abgerufen werden, wenn das NAS sich im Firmennetzwerk befindet. Außerhalb des Firmennetzes können Daten ohne Kenntnis des Schlüssels nicht zugänglich gemacht werden.

Key Push - Entschlüsselung von Extern bei Bedarf

Um Skript gesteuert und automatisiert Befehle auf einem entfernten NAS auszuführen muss das Login automatisiert werden. Wie das funktioniert erklären wir im Beitrag „SSH Login auf ein NAS per Schlüssel Authentifizierung automatisieren.

Der folgende Aufruf entschlüsselt eine Freigabe aus der Ferne über SSH.

				
					ssh -l root -i ./id_rsa <NAS IP> /usr/syno/sbin/synoshare --enc_mount $SHARE $PWD

Mit diesem Aufruf wird die Entschlüsselung wieder entfernt.

				
					ssh -l root -i ./id_rsa <NAS IP> /usr/syno/sbin/synoshare --enc_unmount $SHARE

Fazit

Mit den beschriebenen Ansätzen können Freigaben automatisiert entschlüsselt werden, ohne Passworte lokal zu speichern. Wird das NAS aus dem Firmennetz entfernt oder werden Platten zur Garantieabwicklung eingeschickt, besteht keine Möglichkeit, Zugriff auf die Daten zu erhalten.

Wie eine ähnliche Funktionalität für verschlüsselte Volumen erreicht werden kann werden wir in einem anderen Beitrag beschreiben. In einem weiteren Beitrag werden wir ferner erklären, wie einfach es ist, Zugriff auf verschlüsselte Freigaben oder verschlüsselte Volumen zu erhalten, wenn Passworte im Schlüsselmanager oder Schlüssel im Schlüsseltresor gespeichert sind.

Sie benötigen diese Funktionalität in einem anderen Szenario?

Datensicherheit ist nur gewährleistet, wenn alle Aspekte und Nebeneffekte der eingesetzten Techniken bekannt sind und richtig bewertet werden. Eine sichere Umsetzung der beschriebenen Push und Pull-Verfahren erfordert stellenweise Kreativität und tiefgreifendere Linux Kenntnisse. Es gibt unzählige Möglichkeiten, Daten sicher und automatisiert zu entschlüsseln.

Sprechen Sie uns gerne an,  wir finden die richtige Lösung für ihre Umgebung.

Schreiben sie uns

Kontakt

für alle Anfragen

    Kontaktinformation

    Kategorien
    Schlagwörter
    Adressbuch Backup Datenrettung Kalender Mail Sicherheit System Zeretifikate

    NAS Lösungen für jede Anwendung

    Bitte kontaktieren sie uns

    Kontakt

    Über 25 Jahre IT Management mit dem Anspruch, die besten Lösungen anzubieten.

    • +49 (0) 651 9949 700
    • info@nas-central.de
    • Alzenachstr. 14, 54294 Trier, Deutschland

    NAVIGATION

    INFORMATION

    BLOG BEITRÄGE

    Nov 20, 2020

    NAS Server als Exchange Ersatz
    Mrz 10, 2021

    Single Point of Failure bei Backups vermeiden

    Copyright © NAS-Central 2021

    * Alle Preise inkl. Mwst. zzgl .Versandkosten

    Telefon: 0651 9949 700

    Was suchen sie?