Szyfrowanie woluminów - klucze kodowania

[sylwek]

Witam,

Właśnie szykuję QNAP-a pod różne potrzeby w firmie, a w związku ze zbliżającym się RODO zaszyfrowałem kilka przygotowanych woluminów - i tutaj zauważyłem pewną niedogodność związaną z przechowywaniem kluczy kodowania woluminów na (lub nie) QNAP-ie.

I tak:
- jeśli klucza kodowania nie zapiszemy na QNAP-ie - to jest bezpiecznie łącznie z sytuacją kradzieży całego QNAP-a z dyskami, tzn. nikt nie powinien się dostać do danych, jednak po restarcie QNAP-a niestety trzeba ręcznie odblokować każdy zaszyfrowany wolumin (osobno) - to jest dość uciążliwe,
- jeśli klucz kodowania zapiszemy na QNAP-ie - to niestety nie jesteśmy zabezpieczeni przy kradzieży całego QNAP-a z dyskami, zaleta - po uruchomieniu QNAP-a nie trzeba nic robić - woluminy są dostępne

Mam propozycję rozwiązania tego problemu - dobrze byłoby nie zapisywać klucza kodowania na QNAP-ie (zabezpieczenie przed kradzieżą), ale w konfiguracji odblokowywania dysków (tam gdzie można wprowadzić ścieżkę do odczytu klucza kodowania) podałoby się ścieżkę zdalną (np. osobnego zasobu sieciowego lub nawet do podpiętego USB - na długim kablu, zabezpieczony przed dostępem).
Dzięki powyższemu po włączeniu QNAP-a jeśli może on dotrzeć do kluczy kodowania dla woluminów (mogą być różne ścieżki dla różnych woluminów) odblokowuje samodzielnie poszczególne woluminy, a jeśli nie dotrze do kluczy - to nie odblokowuje.
W ostateczności uzyskujemy:
- i bezpieczeństwo danych przy kradzieży, bo nie zapisujemy kluczy na TYM QNAP-ie
- i wygodę, bo jeśli QNAP sam dotrze do udostępnionych kluczy, to nie będzie trzeba nic robić i woluminy odblokują się "same"

Co Wy na to? A co na to QNAP?

 

[Usunięty użytkownik pigers]

pisz do helpdesk.qnap.com

 

[sylwek]

zgłoszenie na helpdesk poszło

 

[Paweł Tołoczko]

Może wysłuchają ... od 2009 wisi ... [Request] Use USB device for encryption key - QNAP NAS Community Forum

 

[_Floyd]

- jeśli klucz kodowania zapiszemy na QNAP-ie - to niestety nie jesteśmy zabezpieczeni przy kradzieży całego QNAP-a z dyskami, zaleta - po uruchomieniu QNAP-a nie trzeba nic robić - woluminy są dostępne

Podepnę się pod temat. Rozumiem że w takiej konfiguracji dane na dysku są zaszyfrowane?

Podpowiesz jak to zrobić? Ponieważ jak przy pierwszej instalacji systemu wybierałem aby dyski były szyfrowane, to po każdym restarcie musiałem wejść do menedżera dysków i wprowadzić hasło na kłódce aby widzieć zasoby ręcznie. W takiej sytuacji miałbym dodatkowe zabezpieczenie na kradzież z zewnątrz a jednoczesne automatyczna autoryzację po restarcie.

 

[GoRo33]

Witam,

Właśnie szykuję QNAP-a pod różne potrzeby w firmie, a w związku ze zbliżającym się RODO zaszyfrowałem kilka przygotowanych woluminów - i tutaj zauważyłem pewną niedogodność związaną z przechowywaniem kluczy kodowania woluminów na (lub nie) QNAP-ie.

I tak:
- jeśli klucza kodowania nie zapiszemy na QNAP-ie - to jest bezpiecznie łącznie z sytuacją kradzieży całego QNAP-a z dyskami, tzn. nikt nie powinien się dostać do danych, jednak po restarcie QNAP-a niestety trzeba ręcznie odblokować każdy zaszyfrowany wolumin (osobno) - to jest dość uciążliwe,
- jeśli klucz kodowania zapiszemy na QNAP-ie - to niestety nie jesteśmy zabezpieczeni przy kradzieży całego QNAP-a z dyskami, zaleta - po uruchomieniu QNAP-a nie trzeba nic robić - woluminy są dostępne

Mam propozycję rozwiązania tego problemu - dobrze byłoby nie zapisywać klucza kodowania na QNAP-ie (zabezpieczenie przed kradzieżą), ale w konfiguracji odblokowywania dysków (tam gdzie można wprowadzić ścieżkę do odczytu klucza kodowania) podałoby się ścieżkę zdalną (np. osobnego zasobu sieciowego lub nawet do podpiętego USB - na długim kablu, zabezpieczony przed dostępem).
Dzięki powyższemu po włączeniu QNAP-a jeśli może on dotrzeć do kluczy kodowania dla woluminów (mogą być różne ścieżki dla różnych woluminów) odblokowuje samodzielnie poszczególne woluminy, a jeśli nie dotrze do kluczy - to nie odblokowuje.
W ostateczności uzyskujemy:
- i bezpieczeństwo danych przy kradzieży, bo nie zapisujemy kluczy na TYM QNAP-ie
- i wygodę, bo jeśli QNAP sam dotrze do udostępnionych kluczy, to nie będzie trzeba nic robić i woluminy odblokują się "same"

Co Wy na to? A co na to QNAP?

Wywołując dyskusję Mam dwa zastrzeżenia przed takim zastosowaniem:

1. Nigdy nie szyfrowałem jeszcze mojego Qnapa ale pytanie kiedy jest inicjowane odszyfrowanie woluminu? Jeśli chcesz mapować jakiś zasób sieciowy potrzebne jest użycie jednego z kilku protokołów przesyłu danych po LAN. Zakładając użycia najprostszego SMB(dla mnie), w systemie Linux musi zostać uruchomiony demon, który obsługuje taką transmisję danych a to z kolei odbywa się po inicjalizacji kernela i odpalaniu usług - zapewne do tego czasu wolumin musiał by być już odszyfrowany a przynajmniej ten systemowy.
2. Przesyłanie klucza niezabezpieczonym połączeniem - bez SSL - prosta sprawa do wycieku kluczy

To tak na mój chłopski amatorski rozum.

pozdr.


Jeszcze jedno przemyślenie.

Nawet jak Qnap rozszyfruje wolumeny, to bez znajomości hasła użytkownika nie dostaniesz się na urządzenie przez system logowania QTS, SMB lub AFP. A jak będziesz chciał wyciągnąć dyski to i tak będą zaszyfrowane - więc dostęp fizyczny do urządzenia bez wiedzy specjalistycznej lub odpowiednich narzędzi nic złodziejowi nieda.

 

[_Floyd]

Jeszcze jedno przemyślenie.

Nawet jak Qnap rozszyfruje wolumeny, to bez znajomości hasła użytkownika nie dostaniesz się na urządzenie przez system logowania QTS, SMB lub AFP. A jak będziesz chciał wyciągnąć dyski to i tak będą zaszyfrowane - więc dostęp fizyczny do urządzenia bez wiedzy specjalistycznej lub odpowiednich narzędzi nic złodziejowi nieda.

Hm... Czyli mam rozumieć ze nawet jak nie mam teraz zaszyfrowanych dysków to i tak są bezpieczne bo trzeba podać hasło?

Szyfryzacja wydawała mi się dodatkowym zabezpieczeniem. Zrezygnowałem z niej bo po każdym restarcie, musiałem wejść w ustawienia dysków i podać dodatkowe hasło dla szyfryzacji, a chciałbym zęby to się robiło automatycznie.

Zaszyfrowany dysk to w moim mniemaniu dodatkowe zabezpieczenie jak ktoś pozna twoje hasło do QTS-a np. z zewnątrz ale nie widzi danych bo są zaszyfrowane. Wyprowadźcie mnie proszę z błędu.

 

[GoRo33]

Hm... Czyli mam rozumieć ze nawet jak nie mam teraz zaszyfrowanych dysków to i tak są bezpieczne bo trzeba podać hasło?

Szyfryzacja wydawała mi się dodatkowym zabezpieczeniem. Zrezygnowałem z niej bo po każdym restarcie, musiałem wejść w ustawienia dysków i podać dodatkowe hasło dla szyfryzacji, a chciałbym zęby to się robiło automatycznie.

Zaszyfrowany dysk to w moim mniemaniu dodatkowe zabezpieczenie jak ktoś pozna twoje hasło do QTS-a np. z zewnątrz ale nie widzi danych bo są zaszyfrowane. Wyprowadźcie mnie proszę z błędu.

Jak masz odpalonego Nasa i odszyfrowane wolumeny to nie jest to zabezpieczenie bo sprzętowo masz odszyfrowane dyski - jak ktoś zna Twój login i hasło do QTS to i jak odczyta dane. Dopiero jak ktoś wyciągnie dyski i będzie je podłączał do innego urządzenia to się zdziwi.

 

[_Floyd]

Dobrze zakładając ze ktoś kradnie mojego NAS ale nie zna hasła do QTS, to wyciąga dyski i podłącza je do koma i wyciąga dane. Jak je zaszyfruje to "nic" nie wyciągnie. Tak to rozumiem.

I teraz ponawiam pytanie:

- jeśli klucz kodowania zapiszemy na QNAP-ie - to niestety nie jesteśmy zabezpieczeni przy kradzieży całego QNAP-a z dyskami, zaleta - po uruchomieniu QNAP-a nie trzeba nic robić - woluminy są dostępne

Co trzeba zrobić by zaszyfrować dysk ale by nie trzeba było ręcznie każdego wolumenu odblokowywać po restarcie?

 

[Therion7777]

@_Floyd Błagam. Szukałeś w ogóle informacji na ten temat czy od razu tu przybiegłeś?
Jak szyfrować dane na serwerze QNAP NAS?

 

[_Floyd]

Nie od razu tu przybiegłem tylko przy okazji.

Dziękuję za linka i odpowiedź:

Automatyczne odblokowanie woluminu: Wybierz, czy klucz szyfrowania ma zostać zapisany i czy umożliwić automatyczne odblokowanie woluminu (później możesz zmienić tę opcję).

• Jeśli ta opcja zostanie zaznaczona: Serwer NAS po uruchomieniu będzie automatycznie odblokowywać zaszyfrowany wolumin dysku przy użyciu zapisanego hasła.

Już wiem tylko czemu nie mogłem tego znaleźć. Bo trzeba to zrobić przy inicjalizacji systemu.

 

[Therion7777]

Właśnie widzę, że tak "przy okazji" ogarnąłeś prawie 1k postów...

 

[sylwek]

Dostałem odpowiedź od supportu Qnap-a:

Dzień dobry, Pana pomysły/prośby zostały wpisane na listę do realizacji. Deweloperzy wyrazili aprobatę

Dopytam jeszcze jaki może być termin realizacji...

 

[PeterMac]

Mogliby tez dac mozliwość zrobienia przynajmniej jakieogś skrótu lub monitu do wpisania hasła do odblokowywania dysku po restarcie.