Szyfrowanie woluminów - klucze kodowania

sylwek

sylwek

Passing Basics
Beginner
Mar 23, 2016
11
3
3
50
QNAP
null
Ethernet
null
Witam,

Właśnie szykuję QNAP-a pod różne potrzeby w firmie, a w związku ze zbliżającym się RODO zaszyfrowałem kilka przygotowanych woluminów - i tutaj zauważyłem pewną niedogodność związaną z przechowywaniem kluczy kodowania woluminów na (lub nie) QNAP-ie.

I tak:
- jeśli klucza kodowania nie zapiszemy na QNAP-ie - to jest bezpiecznie łącznie z sytuacją kradzieży całego QNAP-a z dyskami, tzn. nikt nie powinien się dostać do danych, jednak po restarcie QNAP-a niestety trzeba ręcznie odblokować każdy zaszyfrowany wolumin (osobno) - to jest dość uciążliwe,
- jeśli klucz kodowania zapiszemy na QNAP-ie - to niestety nie jesteśmy zabezpieczeni przy kradzieży całego QNAP-a z dyskami, zaleta - po uruchomieniu QNAP-a nie trzeba nic robić - woluminy są dostępne

Mam propozycję rozwiązania tego problemu - dobrze byłoby nie zapisywać klucza kodowania na QNAP-ie (zabezpieczenie przed kradzieżą), ale w konfiguracji odblokowywania dysków (tam gdzie można wprowadzić ścieżkę do odczytu klucza kodowania) podałoby się ścieżkę zdalną (np. osobnego zasobu sieciowego lub nawet do podpiętego USB - na długim kablu, zabezpieczony przed dostępem).
Dzięki powyższemu po włączeniu QNAP-a jeśli może on dotrzeć do kluczy kodowania dla woluminów (mogą być różne ścieżki dla różnych woluminów) odblokowuje samodzielnie poszczególne woluminy, a jeśli nie dotrze do kluczy - to nie odblokowuje.
W ostateczności uzyskujemy:
- i bezpieczeństwo danych przy kradzieży, bo nie zapisujemy kluczy na TYM QNAP-ie
- i wygodę, bo jeśli QNAP sam dotrze do udostępnionych kluczy, to nie będzie trzeba nic robić i woluminy odblokują się "same"

Co Wy na to? A co na to QNAP? ;)
 
_Floyd

_Floyd

Master+ Architect
Q's Excellence
Feb 6, 2011
1,957
248
113
36
Warszawa/Żyrardów
www.wladcypolabitwy.pl
QNAP
TS-x53A
Ethernet
802.11ac
- jeśli klucz kodowania zapiszemy na QNAP-ie - to niestety nie jesteśmy zabezpieczeni przy kradzieży całego QNAP-a z dyskami, zaleta - po uruchomieniu QNAP-a nie trzeba nic robić - woluminy są dostępne
Podepnę się pod temat. Rozumiem że w takiej konfiguracji dane na dysku są zaszyfrowane?

Podpowiesz jak to zrobić? Ponieważ jak przy pierwszej instalacji systemu wybierałem aby dyski były szyfrowane, to po każdym restarcie musiałem wejść do menedżera dysków i wprowadzić hasło na kłódce aby widzieć zasoby ręcznie. W takiej sytuacji miałbym dodatkowe zabezpieczenie na kradzież z zewnątrz a jednoczesne automatyczna autoryzację po restarcie.
 
GoRo33

GoRo33

System Engineer
Q Specialist
Aug 24, 2016
163
17
18
36
Szczecin
QNAP
TS-x53
Ethernet
1 GbE
Witam,

Właśnie szykuję QNAP-a pod różne potrzeby w firmie, a w związku ze zbliżającym się RODO zaszyfrowałem kilka przygotowanych woluminów - i tutaj zauważyłem pewną niedogodność związaną z przechowywaniem kluczy kodowania woluminów na (lub nie) QNAP-ie.

I tak:
- jeśli klucza kodowania nie zapiszemy na QNAP-ie - to jest bezpiecznie łącznie z sytuacją kradzieży całego QNAP-a z dyskami, tzn. nikt nie powinien się dostać do danych, jednak po restarcie QNAP-a niestety trzeba ręcznie odblokować każdy zaszyfrowany wolumin (osobno) - to jest dość uciążliwe,
- jeśli klucz kodowania zapiszemy na QNAP-ie - to niestety nie jesteśmy zabezpieczeni przy kradzieży całego QNAP-a z dyskami, zaleta - po uruchomieniu QNAP-a nie trzeba nic robić - woluminy są dostępne

Mam propozycję rozwiązania tego problemu - dobrze byłoby nie zapisywać klucza kodowania na QNAP-ie (zabezpieczenie przed kradzieżą), ale w konfiguracji odblokowywania dysków (tam gdzie można wprowadzić ścieżkę do odczytu klucza kodowania) podałoby się ścieżkę zdalną (np. osobnego zasobu sieciowego lub nawet do podpiętego USB - na długim kablu, zabezpieczony przed dostępem).
Dzięki powyższemu po włączeniu QNAP-a jeśli może on dotrzeć do kluczy kodowania dla woluminów (mogą być różne ścieżki dla różnych woluminów) odblokowuje samodzielnie poszczególne woluminy, a jeśli nie dotrze do kluczy - to nie odblokowuje.
W ostateczności uzyskujemy:
- i bezpieczeństwo danych przy kradzieży, bo nie zapisujemy kluczy na TYM QNAP-ie
- i wygodę, bo jeśli QNAP sam dotrze do udostępnionych kluczy, to nie będzie trzeba nic robić i woluminy odblokują się "same"

Co Wy na to? A co na to QNAP? ;)

Wywołując dyskusję ;) Mam dwa zastrzeżenia przed takim zastosowaniem:

1. Nigdy nie szyfrowałem jeszcze mojego Qnapa ale pytanie kiedy jest inicjowane odszyfrowanie woluminu? Jeśli chcesz mapować jakiś zasób sieciowy potrzebne jest użycie jednego z kilku protokołów przesyłu danych po LAN. Zakładając użycia najprostszego SMB(dla mnie), w systemie Linux musi zostać uruchomiony demon, który obsługuje taką transmisję danych a to z kolei odbywa się po inicjalizacji kernela i odpalaniu usług - zapewne do tego czasu wolumin musiał by być już odszyfrowany a przynajmniej ten systemowy.
2. Przesyłanie klucza niezabezpieczonym połączeniem - bez SSL - prosta sprawa do wycieku kluczy ;)

To tak na mój chłopski amatorski rozum.

pozdr.


Jeszcze jedno przemyślenie.

Nawet jak Qnap rozszyfruje wolumeny, to bez znajomości hasła użytkownika nie dostaniesz się na urządzenie przez system logowania QTS, SMB lub AFP. A jak będziesz chciał wyciągnąć dyski to i tak będą zaszyfrowane - więc dostęp fizyczny do urządzenia bez wiedzy specjalistycznej lub odpowiednich narzędzi nic złodziejowi nieda.
 
_Floyd

_Floyd

Master+ Architect
Q's Excellence
Feb 6, 2011
1,957
248
113
36
Warszawa/Żyrardów
www.wladcypolabitwy.pl
QNAP
TS-x53A
Ethernet
802.11ac
Jeszcze jedno przemyślenie.

Nawet jak Qnap rozszyfruje wolumeny, to bez znajomości hasła użytkownika nie dostaniesz się na urządzenie przez system logowania QTS, SMB lub AFP. A jak będziesz chciał wyciągnąć dyski to i tak będą zaszyfrowane - więc dostęp fizyczny do urządzenia bez wiedzy specjalistycznej lub odpowiednich narzędzi nic złodziejowi nieda.

Hm... Czyli mam rozumieć ze nawet jak nie mam teraz zaszyfrowanych dysków to i tak są bezpieczne bo trzeba podać hasło?

Szyfryzacja wydawała mi się dodatkowym zabezpieczeniem. Zrezygnowałem z niej bo po każdym restarcie, musiałem wejść w ustawienia dysków i podać dodatkowe hasło dla szyfryzacji, a chciałbym zęby to się robiło automatycznie.

Zaszyfrowany dysk to w moim mniemaniu dodatkowe zabezpieczenie jak ktoś pozna twoje hasło do QTS-a np. z zewnątrz ale nie widzi danych bo są zaszyfrowane. Wyprowadźcie mnie proszę z błędu.
 
GoRo33

GoRo33

System Engineer
Q Specialist
Aug 24, 2016
163
17
18
36
Szczecin
QNAP
TS-x53
Ethernet
1 GbE
Hm... Czyli mam rozumieć ze nawet jak nie mam teraz zaszyfrowanych dysków to i tak są bezpieczne bo trzeba podać hasło?

Szyfryzacja wydawała mi się dodatkowym zabezpieczeniem. Zrezygnowałem z niej bo po każdym restarcie, musiałem wejść w ustawienia dysków i podać dodatkowe hasło dla szyfryzacji, a chciałbym zęby to się robiło automatycznie.

Zaszyfrowany dysk to w moim mniemaniu dodatkowe zabezpieczenie jak ktoś pozna twoje hasło do QTS-a np. z zewnątrz ale nie widzi danych bo są zaszyfrowane. Wyprowadźcie mnie proszę z błędu.

Jak masz odpalonego Nasa i odszyfrowane wolumeny to nie jest to zabezpieczenie bo sprzętowo masz odszyfrowane dyski - jak ktoś zna Twój login i hasło do QTS to i jak odczyta dane. Dopiero jak ktoś wyciągnie dyski i będzie je podłączał do innego urządzenia to się zdziwi.
 
_Floyd

_Floyd

Master+ Architect
Q's Excellence
Feb 6, 2011
1,957
248
113
36
Warszawa/Żyrardów
www.wladcypolabitwy.pl
QNAP
TS-x53A
Ethernet
802.11ac
Dobrze zakładając ze ktoś kradnie mojego NAS ale nie zna hasła do QTS, to wyciąga dyski i podłącza je do koma i wyciąga dane. Jak je zaszyfruje to "nic" nie wyciągnie. Tak to rozumiem.

I teraz ponawiam pytanie:
- jeśli klucz kodowania zapiszemy na QNAP-ie - to niestety nie jesteśmy zabezpieczeni przy kradzieży całego QNAP-a z dyskami, zaleta - po uruchomieniu QNAP-a nie trzeba nic robić - woluminy są dostępne
Co trzeba zrobić by zaszyfrować dysk ale by nie trzeba było ręcznie każdego wolumenu odblokowywać po restarcie?
 
_Floyd

_Floyd

Master+ Architect
Q's Excellence
Feb 6, 2011
1,957
248
113
36
Warszawa/Żyrardów
www.wladcypolabitwy.pl
QNAP
TS-x53A
Ethernet
802.11ac
Nie od razu tu przybiegłem tylko przy okazji.

Dziękuję za linka i odpowiedź:
Automatyczne odblokowanie woluminu: Wybierz, czy klucz szyfrowania ma zostać zapisany i czy umożliwić automatyczne odblokowanie woluminu (później możesz zmienić tę opcję).

  • Jeśli ta opcja zostanie zaznaczona: Serwer NAS po uruchomieniu będzie automatycznie odblokowywać zaszyfrowany wolumin dysku przy użyciu zapisanego hasła.
Już wiem tylko czemu nie mogłem tego znaleźć. Bo trzeba to zrobić przy inicjalizacji systemu.
 
Therion7777

Therion7777

Entry Technician
Q Associate
Mar 1, 2011
73
15
18
Wrocław
QNAP
TS-x53
Ethernet
1 GbE
Właśnie widzę, że tak "przy okazji" ogarnąłeś prawie 1k postów...
 
sylwek

sylwek

Passing Basics
Beginner
Mar 23, 2016
11
3
3
50
QNAP
null
Ethernet
null
Dostałem odpowiedź od supportu Qnap-a:

Dzień dobry, Pana pomysły/prośby zostały wpisane na listę do realizacji. Deweloperzy wyrazili aprobatę

Dopytam jeszcze jaki może być termin realizacji...
 
  • Like
Reactions: Paweł Tołoczko
PeterMac

PeterMac

Entry Technician
Q Associate
Jun 13, 2018
62
6
8
40
QNAP
TS-x31
Ethernet
1 GbE
Mogliby tez dac mozliwość zrobienia przynajmniej jakieogś skrótu lub monitu do wpisania hasła do odblokowywania dysku po restarcie.