synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяОсновные Вопросы по Продукции › Функция шифрования даных

Функция шифрования даных

orlovnv · 17.06.2010

Каким образом реализована функция шифрования данных. Меня интересует если допустим кто-то стащит мой nas и подключит диски напрямую к компу удастся ли извлечь информацию или будут сложности.

Vlad · 09.08.2010

Судя по реакции, вся информация будет доступна!

Только после ввода вашего пароля... например 123456

Vlad · 09.08.2010

Защитите ваши данные с помощью технологии самошифрования жестких дисков - возможно такая функция Вам поможет. Сам не тестировал!

Doctor Synology · 09.08.2010

Если диски были не зашифрованы - вытащить с них информацию получится при подключении дисков к другому устройству. Если зашифрованы - то подключения будет недостаточно. Причем, если включено автомонтирование зашифрованной папки - то доступ к папке можно получить, если запустить накопитель и зайти пользователем, у которого есть право доступа к папке. При этом при включении дисков в другом устройстве данные прочитать получится только после ввода ключа шифрования. Если автомонтирование не включено - то придется вводить ключ при каждом запуске накопителя, и без ключа доступ к данным получить будет невозможно.

Vlad · 10.08.2010

Т.е. это функция специальных жестких дисков, а не сетевого накопителя!?

Doctor Synology · 10.08.2010

Нет, именно сетевой накопитель шифрует диски, точнее их содержимое. То есть если диски зашифрованы - то без пароля (ключа шифрования или связки логин-пароль, см. предыдущий пост) до данных добраться не получится. А зашифровать можно любые SATA-накопители, установленные в Syno - HDD или SSD, и ничего поддерживать они не должны.

Vlad · 10.08.2010

Если не трудно подскажите кде эта ностройка в DiskStation Manager 2.3, где галочки поставить.

Или ссылку, если где то уже упоминалось...

Vlad · 10.08.2010

Общая папка, шифрование, ключ шифрования....

Doctor Synology · 10.08.2010

Как зашифровать раздел на накопителе Synology:

 

1. Management -> Права доступа -> Папка общего доступа

 

2. Выбираем нужную папку, Редактировать

 

3. Ставим галочку "Зашифровать папку общего доступа", два раза вводим ключ шифрования (не менее 8 символов). Если нужно, ставим галочку "Автоматически выполнять монтаж при запуске" - в этом случае не нужно будет вводить ключ при каждом запуске устройства.

 

4. Нажимаем OK, ждем окончания шифрования. Будет скачан файл .key, с помощью которого можно расшифровать содержимое раздела.

 

5. После этого в общем меню (сверху) станет доступным кнопка "Шифрование", а в списке разделов рядом с зашифрованным появится изображение замка. Если замок открыт, то папка доступна для использования; доступны функции "демонтаж" (папка шифруется, для доступа к ней будет нужен ключ или .key-файл) и "ключ экспорта" (для получения нового .key-файла, нужен ключ шифрования). Замок закрыт - папка зашифрована, доступа к данным в ней нет, доступна только функция "Создать", при помощи которой будет открыт доступ к разделу; нужен ключ шифрования или .key-файл.

Vlad · 10.08.2010

Я проделал данную операцию на своем DS и не совсем понятно в какой ситуации это применять:

 

Можно объяснить физику данного процесса, например я уезжаю в отпуск я её «демонтирую» (она зашифрована она не доступна и не видна), приезжаю «размонтирую» она не зашифрована и видна?

 

Или в любом случае после перезагрузки DS она "демонтируется", т.е. защита от кражи?

Doctor Synology · 10.08.2010

Защита не совсем от кражи, а от получения данных, то есть следующий уровень защиты после пароля - при физическом доступе к накопителю. И защитить можно только данные - отформатировать диски и использовать дальше проблемы не составит.

Демонтируется раздел не после перезагрузки, а при выключении накопителя, если папка зашифрована. Всегда. А галочка "Автоматически выполнять монтаж при запуске" означает, что папка будет автоматически смонтирована обратно при включении накопителя, и если злоумышленник включит накопитель, то для доступа к данным будет достаточно логин-пароля пользователя, имеющего права на папку, или ключа шифрования, если достать из накопителя диски. Если же автомонтирование отключено, то для доступа к данным обязательно нужен ключ шифрования.

Vlad · 10.08.2010

Ок! Спасибо все понятно.

mterekhov · 24.09.2010

А как насчёт версии DSM2.0 - там нету что ли шифрование данных, которые хранятся на дисках? Я вот что-то пошукал и нигде не нашёл этой фичи.

mad1982 · 11.11.2010

Чтобы не плодить походишь тем, напишу тут.

 

Не могу понять, чем отличается функция шифрования данных в DS110j от той что реализована в DS110+.

 

Инфу о том что на DS110j есть шифрование брал тут http://www.synology.com/enu/products/DS110j/spec.php (Hardware Encryption Engine), на русской версии сайта почему то про шифрование ни слова.

 

И можно ли как-нибудь использовать в этих моделях винты зашифрованные с пом. truecrypt?

 

Спасибо!

mowgli · 12.11.2010

там везде cryptfs

mad1982 · 12.11.2010
там везде cryptfs

 

Ясно. А в DS110+ ещё и стандарт AES применяется?

Предположим устройство выходит из строя. Каким образом получить данные с винта?

mowgli · 12.11.2010

аес это алгоритм а не движек. практики не имею но не думаю что будет проблемы если данные на винчестере будут полными.

avo · 18.11.2010

А не подскажет ли кто, как сильно будет тормозить чтение/запись при влюченной функции шифрования данных на DS420J ?

Mik · 18.11.2010
А не подскажет ли кто, как сильно будет тормозить чтение/запись при влюченной функции шифрования данных на DS420J ?
очень сильно. т.к. проц слабенький, а вся нагрузка за шифрование лежит на нем.
Chelo_vert · 23.11.2010
очень сильно. т.к. проц слабенький, а вся нагрузка за шифрование лежит на нем.

 

а ds1010+ или ds411 ?? в них вроде самые производительные процы...

Конкретно интересует если я общую папку пользователей зашившую... а в ней параллельно шерстят порядка 50 человек... в основном работают с документами, так-же почтовые все файлы аутлук находятся в этой папке

$ephiroth · 16.04.2012

Вопрос в следующем. Есть данные, они должны храниться в зашифрованном виде. К данным ежедневно обращается пользователь. Может пользователь сам, без участия администратора NAS, монтировать и демонтировать зашифрованную папку? Если да, то каким образом?

shveicar · 29.05.2012

Здравствуйте, приобрел себе модель DS712+ и очень жаль, что нет функции шифрования всего диска. Неужели нельзя создать утилиту хотя бы на базе программы TrueCrypt - Благо она бесплатна. Еще раз подчеркну, что речь идет о шифровании всего раздела или целого диска - именно на случай несанкционированного физического доступа. Надеюсь что в будущих версиях - это станет возможным. Спасибо.

pavelb73 · 28.12.2012
Как зашифровать раздел на накопителе Synology:

 

1. Management -> Права доступа -> Папка общего доступа

 

2. Выбираем нужную папку, Редактировать

 

3. Ставим галочку "Зашифровать папку общего доступа", два раза вводим ключ шифрования (не менее 8 символов). Если нужно, ставим галочку "Автоматически выполнять монтаж при запуске" - в этом случае не нужно будет вводить ключ при каждом запуске устройства.

 

4. Нажимаем OK, ждем окончания шифрования. Будет скачан файл .key, с помощью которого можно расшифровать содержимое раздела.

 

5. После этого в общем меню (сверху) станет доступным кнопка "Шифрование", а в списке разделов рядом с зашифрованным появится изображение замка. Если замок открыт, то папка доступна для использования; доступны функции "демонтаж" (папка шифруется, для доступа к ней будет нужен ключ или .key-файл) и "ключ экспорта" (для получения нового .key-файла, нужен ключ шифрования). Замок закрыт - папка зашифрована, доступа к данным в ней нет, доступна только функция "Создать", при помощи которой будет открыт доступ к разделу; нужен ключ шифрования или .key-файл.

 

Если случилось аварийное выключение Synology, что произойдет с папками? Они будут нормально читаться после перезапуска? Если отключено автомонтирование, то папки в случае аварийного выключения демонитируются?

samserv · 29.12.2012
Если отключено автомонтирование, то папки в случае аварийного выключения демонитируются?

 

Какая разница какое было отключение, аварийное или штатное. Автомонтирование, это автоматическое монтирование после включения. Если оно отключено - папки останутся демонтированими.

yelloff · 21.01.2015

Здравствуйте. Интересен такой момент, NAS 414j используется для дома, но на него бекапятся рабочие фотографии, часть из которых строго конфиденциальна. Вопрос в том, имеет ли смысл мне шифровать папки бекапа с фотографиями, если не предполагается физического воздействия на NAS? Т.е. нет необходимости переживать за то, что его могут украсть или подключиться физически. И насколько вообще безопасен NAS с точки зрения хранения персональных данных?

Siroc-co · 22.01.2015
Здравствуйте. Интересен такой момент, NAS 414j используется для дома, но на него бекапятся рабочие фотографии, часть из которых строго конфиденциальна. Вопрос в том, имеет ли смысл мне шифровать папки бекапа с фотографиями, если не предполагается физического воздействия на NAS? Т.е. нет необходимости переживать за то, что его могут украсть или подключиться физически. И насколько вообще безопасен NAS с точки зрения хранения персональных данных?

Ну так если нет физического доступа и вы не переживаете за его пропажу - то смысла что-то шифровать нет. Так же как и нет смысла ставить пароли.

Шифровать нужно тогда, когда нужно что-то от кого-то скрыть.

Например первый раз на компе к шифрованию файлов я пришёл тогда, когда вирусы, да и антивирусы тоже, беспощадно портили файлы встраивая свой вредоносный код в них, или антивирусник просто мог удалить. Я прятал ценные файлы в архив с паролем 0000. Так и файлы не портились, и когда антивирь пытался проверить в тысячный раз какой-нибудь дистрибутив не тратилось долгое время на проверку. Он просто не мог проверить содержимое архива, так как архив запаролен. Кстати последняя причина актуальна мне и сейчас.

На Syno первый раз прибег к шифрованию когда понадобилось предоставить полные права на доступ тех поддержке, тогда я шифранул важные папки.

yelloff · 22.01.2015
Ну так если нет физического доступа и вы не переживаете за его пропажу - то смысла что-то шифровать нет. Так же как и нет смысла ставить пароли.

Шифровать нужно тогда, когда нужно что-то от кого-то скрыть.

Например первый раз на компе к шифрованию файлов я пришёл тогда, когда вирусы, да и антивирусы тоже, беспощадно портили файлы встраивая свой вредоносный код в них, или антивирусник просто мог удалить. Я прятал ценные файлы в архив с паролем 0000. Так и файлы не портились, и когда антивирь пытался проверить в тысячный раз какой-нибудь дистрибутив не тратилось долгое время на проверку. Он просто не мог проверить содержимое архива, так как архив запаролен. Кстати последняя причина актуальна мне и сейчас.

На Syno первый раз прибег к шифрованию когда понадобилось предоставить полные права на доступ тех поддержке, тогда я шифранул важные папки.

 

Я скорее опасаюсь не за физическое воздействие, а в случае дистанционного воздействия, взлома там и т. д. Т.е если злоумышленник получит доступ к NAS то шифрование все равно не поможет? Особенно при автомонтаже шифрованных папок? Или как? У меня в шифрованной папке должно лежать 2tb, вот и думаю стоит ли так париться или нет. Сложно ли взломать DSM и получить доступ к файлам? На входе еще роутер ASUS N66U с включенным файрволом. Сам первый раз думаю так заморочиться, но не дает покоя то, что получается весь фотоархив в виде бекапа в онлайне как бы.

Siroc-co · 23.01.2015
Я скорее опасаюсь не за физическое воздействие, а в случае дистанционного воздействия, взлома там и т. д.

Я сказал "физический доступ". Подразумевал под этим отсутствие, физическое, каких либо способов доступа вообще. Не программный доступ, не административный, не технический, а физический. То есть нет кабелй, нет беспроводной связи, нет никакой связи, и никак нельзя получить доступ, это когда NAS стоит на полке и нет сетевых кабелей.

А уж если он у Вас к интернету подключен, то конечно же нужно чувствительные данные хорошенько шифровать! Только пароль рядом в соседней папке в .txt не оставляйте. А особо секретные данные вообще в офлайн хранить советую.

yelloff · 23.01.2015
Я сказал "физический доступ". Подразумевал под этим отсутствие, физическое, каких либо способов доступа вообще. Не программный доступ, не административный, не технический, а физический. То есть нет кабелй, нет беспроводной связи, нет никакой связи, и никак нельзя получить доступ, это когда NAS стоит на полке и нет сетевых кабелей.

А уж если он у Вас к интернету подключен, то конечно же нужно чувствительные данные хорошенько шифровать! Только пароль рядом в соседней папке в .txt не оставляйте. А особо секретные данные вообще в офлайн хранить советую.

 

Вот, теперь ясно. Ну особо секретные данные я как раз вынес на отдельный жесткий диск недавно, зашифровал резервные копии timemachine и стало быть не зря заморочился с шифром бекапа фотоархива. Спасибо, именно это я и хотел узнать.

polanat · 06.06.2015

Недавно обсуждалась тема отправки шифрованных данных в облако а также последующее их восстановление в случае кражи/поломки НАС-ува. В базе знаний Синолоджи есть неплохая статья - "Шифрование и расшифрование папок общего доступа на NAS-устройстве Synology". Добавил сюда, освежив тему ...

 

"Шифрование стало важнейшим методом обеспечения безопасности данных, передаваемых по сети. Оно предотвращает несанкционированный доступ к конфиденциальной информации и ее использование в незаконных целях, а также защищает компьютер от вирусов и сопутствующих уязвимостей системы.

Чтобы хранить личные данные в безопасности и сделать их недоступными для злоумышленников, DiskStation Manager (DSM) использует технологию Advanced Encryption Standard (AES) для хранения данных в защищенном формате с помощью набора ключей защиты. Кроме того, DSM обеспечивает 256-разрядную защиту AES на уровне общего доступа во избежание попыток несанкционированного доступа.

В данной статье рассказывается о создании зашифрованных папок общего доступа на NAS-устройстве Synology и об основных проблемах, возникающих при шифровании данных."

 

Шифрование и расшифрование папок общего доступа на NAS-устройстве Synology

sinologika · 28.05.2020

Моделирую ситуацию из жизни.

Есть NAS и внешний HDD на который я делаю бекап с NAS раз в неделю автоматом.

Естественно, внешний HDD всегда подключен к NAS.

 

Для избежания потери данных - вирус, шифровальщик, утечка по сети, .... логично, что бы внешний HDD был закрыт методом шифрования, и без ключа доступа к данным не было бы. Делать бекабы можно было бы при открытии замка.

 

Внимание вопрос!

На папке внешнего HDD отсутствует возможность поставить галочку шифрования :(

Что нужно сделать, что бы я мог все же поставить пароль\шифрование на внешний HDD ?

 

image.jpg

freewind · 30.05.2020
Моделирую ситуацию из жизни.

Есть NAS и внешний HDD на который я делаю бекап с NAS раз в неделю автоматом.

Естественно, внешний HDD всегда подключен к NAS.

 

Для избежания потери данных - вирус, шифровальщик, утечка по сети, .... логично, что бы внешний HDD был закрыт методом шифрования, и без ключа доступа к данным не было бы. Делать бекабы можно было бы при открытии замка.

 

Внимание вопрос!

На папке внешнего HDD отсутствует возможность поставить галочку шифрования :(

Что нужно сделать, что бы я мог все же поставить пароль\шифрование на внешний HDD ?

 

image.jpg

А в чем смысл шифрования внешнего устройства??? Тем более с бэкапами. Тот же гипербекап поддерживает шифрование.

sinologika · 30.05.2020
А в чем смысл шифрования внешнего устройства??? Тем более с бэкапами. Тот же гипербекап поддерживает шифрование.

 

Что бы можно было закрыть доступ.

Если попадает шифровальщик, вирус, рубает все сетевые\подключенные папки\файлы.

+ доступ закрыть из сети.

freewind · 31.05.2020
Что бы можно было закрыть доступ.

Если попадает шифровальщик, вирус, рубает все сетевые\подключенные папки\файлы.

+ доступ закрыть из сети.

 

Эм... У вапс проблема с моделью нарушителя. Если шифровальщик попадет в систему, то он зашифрует и ваш диск, который при монтирован в открытом виде ))) разнице с шифрованием бэкапов - не вижу.

Доступ из сети закрыывается не шифрованием некоего диска, а именно закрытием доступа. по сети firewall, NAT и т.д.

sinologika · 31.05.2020
Эм... У вапс проблема с моделью нарушителя. Если шифровальщик попадет в систему, то он зашифрует и ваш диск, который при монтирован в открытом виде ))) разнице с шифрованием бэкапов - не вижу.

Доступ из сети закрыывается не шифрованием некоего диска, а именно закрытием доступа. по сети firewall, NAT и т.д.

Если диск/папка под замком, то к ней нет доступа.

Как итог, решение актуальное

freewind · 31.05.2020
Если диск/папка под замком, то к ней нет доступа.

Как итог, решение актуальное

 

Еще раз.

Если в системе есть шифровальщик, то зашифрованный диск вас ни как не спасет. Монтирование диска = снятие парольной защиты = доступ к содержимому шифровальщиком.

Если ваш диск не при монтирован = отключен и вы с ним не работаете => вы не можете на него делать бэкап, снимать с него бэкап и т.д, диск по сути отключен от системы.

 

Далее если шифровальщик попал в синолоджи о дисках забыли и шифрование вас не спасет )).

Если шифровальщик на внешних по отношению к сино системах, то содержимое сино защищается правильной раздачей прав, а бэкапирование внешних систем осуществляется специальными продуктами без состания share ресурсов доступных по распространенным протоколам smb/ftp/nfs/ и т.д. А доступ если и идет, то только на чтение.

 

Еще раз повторюсь, начинайте с правльного формирования модели нарушителя, а не придумывайте бессмысленной защиты. (шифрование дисков нужно лишь для того, чтобы в случае их изъятия не было возможности получить к данным на них.

Siroc-co · 31.05.2020

Ну дополню... В Syno зашифрованные данные хранятся в свободном доступе. Выглядит это как куча файлов и папок с непонятными именами в hex виде. Ну для примера, возьмите обычный архиватор zip, заархивируёте кучу файлов с паролем и с опцией шифрования имён файлов. Вот у вас есть зашифрованные файлы, никто не прочтёт их содержимое и даже имени. И чё? Вирусу шифровальщику абсолютно пофиг, что там у вас за файлы, каково их расширение, каково их содержание. Он зашифрует их по своему. И вы не сможете ими воспользоваться.

От шифровальщика помогают только бекапы. Бекапы, холодные, те которые после сохранения и проверки лежат на полке.

P.S. Мой кейс использования,я о нём ранее говорил - два NAS, один рабочий, другой для бекапов. Громко сказано "NAS для бекапов", на самом деле это одноплатник с SSD диском на Armbian, который может только расшарить простарнство SSD по SMB. Так вот, основной nas каждую ночь отключается от интернета физически (отрубается свитч и изернет до роутера с интернетом падает) и подключается этот самопальный сетевой диск. В условиях отсутствия интернета (управление из вне невозможно) делается бекап на одноплатник. Проверяется бекап. После успешной проверки одноплатник засыпает, а основной NAS подрубается к инету и работает в штатном режиме. Когда много критичных данных накапливается, то в ручную с одноплатника делаю бекап на hdd, место которого на полке.

P.P.S. Так как Synology не шифрует весь диск и абсолютно все данные, так как он всегда находится в сети и имеет выход в интернет, так как всегда есть разнообразные дыры и полюбому оставлены бэкдоры, то особо ответственную личную инфу я хранить на NAS не рекомендую. Да, я параноик. Я дубликат данной инфы храню на флешке, которая через USB хаб подключена в NAS. Когда мне нужен доступ к к этой информации, я просто удалённо включаю USB хаб и получаю доступ к данным, после чего отключаю обратно. Вместо флешки может быть любое оффлайн хранилище.

sinologika · 31.05.2020
Ну дополню... В Syno зашифрованные данные хранятся в свободном доступе. Выглядит это как куча файлов и папок с непонятными именами в hex виде. Ну для примера, возьмите обычный архиватор zip, заархивируёте кучу файлов с паролем и с опцией шифрования имён файлов. Вот у вас есть зашифрованные файлы, никто не прочтёт их содержимое и даже имени. И чё? Вирусу шифровальщику абсолютно пофиг, что там у вас за файлы, каково их расширение, каково их содержание. Он зашифрует их по своему. И вы не сможете ими воспользоваться.

От шифровальщика помогают только бекапы. Бекапы, холодные, те которые после сохранения и проверки лежат на полке.

P.S. Мой кейс использования,я о нём ранее говорил - два NAS, один рабочий, другой для бекапов. Громко сказано "NAS для бекапов", на самом деле это одноплатник с SSD диском на Armbian, который может только расшарить простарнство SSD по SMB. Так вот, основной nas каждую ночь отключается от интернета физически (отрубается свитч и изернет до роутера с интернетом падает) и подключается этот самопальный сетевой диск. В условиях отсутствия интернета (управление из вне невозможно) делается бекап на одноплатник. Проверяется бекап. После успешной проверки одноплатник засыпает, а основной NAS подрубается к инету и работает в штатном режиме. Когда много критичных данных накапливается, то в ручную с одноплатника делаю бекап на hdd, место которого на полке.

P.P.S. Так как Synology не шифрует весь диск и абсолютно все данные, так как он всегда находится в сети и имеет выход в интернет, так как всегда есть разнообразные дыры и полюбому оставлены бэкдоры, то особо ответственную личную инфу я хранить на NAS не рекомендую. Да, я параноик. Я дубликат данной инфы храню на флешке, которая через USB хаб подключена в NAS. Когда мне нужен доступ к к этой информации, я просто удалённо включаю USB хаб и получаю доступ к данным, после чего отключаю обратно. Вместо флешки может быть любое оффлайн хранилище.

 

Как вы подключаете удаленно юсб хаб?

 

Siroc-co · 01.06.2020
Как вы подключаете удаленно юсб хаб?

Вообще у меня самопальный умный дом и дофига всяких модулей, я их сам делаю из ардуин и ESP32/8266. Но Вам могу предложить любую "Умную розетку" с WiFi и удалённым управлением. Выберите себе USB хаб с внешним питанием. На кабеле от NAS до хаба отрежте плюсовой провод питания, или проще разобрать хаб и перерезать дорожку на плате. Всё, хаб будет питаться только от сети. Без питания ни одна флешка\диск работать не будут. Появится питание - Synology увидит их.

Вставляете хаб в управляемую розетку, когда надо подаёте питание, когда не надо снимаете.

Tirex · 01.06.2020
Вообще у меня самопальный умный дом и дофига всяких модулей, я их сам делаю из ардуин и ESP32/8266.

Извиняюсь, что не в тему, может знаете какие нибудь интересные сайты про умный дом на таких модулях?

Спасибо.

P.S. Можно прямо в личку.

freewind · 01.06.2020
Извиняюсь, что не в тему, может знаете какие нибудь интересные сайты про умный дом на таких модулях?

Спасибо.

P.S. Можно прямо в личку.

 

Рекомендую начать играться самостоятельно и с готовых решений... Читать бессмысленно, нужно брать и щупать руками. Учитывая что на 218+ можно развернуть любую управляющую платформу...

 

 

apps · 01.06.2020
Вставляете хаб в управляемую розетку, когда надо подаёте питание, когда не надо снимаете.

 

а если отключить от питания, то получается уведомление - неправильно извлечён ....... Скриптом ?

Siroc-co · 22.06.2020
а если отключить от питания, то получается уведомление - неправильно извлечён ....... Скриптом ?

Да. И фиг с ним. Жить не мешает.

Tirex · 22.06.2020
а если отключить от питания, то получается уведомление - неправильно извлечён ....... Скриптом ?

Зачем каким то скриптом, если можно его сначала извлечь, а потом отрубить питание. А если взять диск в коробке с внешним питанием то и резать ничего не надо будет.

Siroc-co · 23.06.2020
Зачем каким то скриптом, если можно его сначала извлечь, а потом отрубить питание.

Процесс в автомате работает, глубокой ночью, когда активность юзеров нулевая. Никто не будет просыпаться и делать это вручную.

Ошибка не верного извлечения? Да и фиг с ней. А вот скрипт, который бы смог отследить пользователей, и если они онлайн на каком-либо сервисе, то слать им уведомлялку, типа сейчас всё отрубится.., извиняйте.., это бы не помешало. Но юзеров у меня мало, и ночами они не сидят.