Каким образом реализована функция шифрования данных. Меня интересует если допустим кто-то стащит мой nas и подключит диски напрямую к компу удастся ли извлечь информацию или будут сложности.
Каким образом реализована функция шифрования данных. Меня интересует если допустим кто-то стащит мой nas и подключит диски напрямую к компу удастся ли извлечь информацию или будут сложности.
Судя по реакции, вся информация будет доступна!
Только после ввода вашего пароля... например 123456
Защитите ваши данные с помощью технологии самошифрования жестких дисков - возможно такая функция Вам поможет. Сам не тестировал!
Если диски были не зашифрованы - вытащить с них информацию получится при подключении дисков к другому устройству. Если зашифрованы - то подключения будет недостаточно. Причем, если включено автомонтирование зашифрованной папки - то доступ к папке можно получить, если запустить накопитель и зайти пользователем, у которого есть право доступа к папке. При этом при включении дисков в другом устройстве данные прочитать получится только после ввода ключа шифрования. Если автомонтирование не включено - то придется вводить ключ при каждом запуске накопителя, и без ключа доступ к данным получить будет невозможно.
Т.е. это функция специальных жестких дисков, а не сетевого накопителя!?
Нет, именно сетевой накопитель шифрует диски, точнее их содержимое. То есть если диски зашифрованы - то без пароля (ключа шифрования или связки логин-пароль, см. предыдущий пост) до данных добраться не получится. А зашифровать можно любые SATA-накопители, установленные в Syno - HDD или SSD, и ничего поддерживать они не должны.
Если не трудно подскажите кде эта ностройка в DiskStation Manager 2.3, где галочки поставить.
Или ссылку, если где то уже упоминалось...
Общая папка, шифрование, ключ шифрования....
Как зашифровать раздел на накопителе Synology:
1. Management -> Права доступа -> Папка общего доступа
2. Выбираем нужную папку, Редактировать
3. Ставим галочку "Зашифровать папку общего доступа", два раза вводим ключ шифрования (не менее 8 символов). Если нужно, ставим галочку "Автоматически выполнять монтаж при запуске" - в этом случае не нужно будет вводить ключ при каждом запуске устройства.
4. Нажимаем OK, ждем окончания шифрования. Будет скачан файл .key, с помощью которого можно расшифровать содержимое раздела.
5. После этого в общем меню (сверху) станет доступным кнопка "Шифрование", а в списке разделов рядом с зашифрованным появится изображение замка. Если замок открыт, то папка доступна для использования; доступны функции "демонтаж" (папка шифруется, для доступа к ней будет нужен ключ или .key-файл) и "ключ экспорта" (для получения нового .key-файла, нужен ключ шифрования). Замок закрыт - папка зашифрована, доступа к данным в ней нет, доступна только функция "Создать", при помощи которой будет открыт доступ к разделу; нужен ключ шифрования или .key-файл.
Я проделал данную операцию на своем DS и не совсем понятно в какой ситуации это применять:
Можно объяснить физику данного процесса, например я уезжаю в отпуск я её «демонтирую» (она зашифрована она не доступна и не видна), приезжаю «размонтирую» она не зашифрована и видна?
Или в любом случае после перезагрузки DS она "демонтируется", т.е. защита от кражи?
Защита не совсем от кражи, а от получения данных, то есть следующий уровень защиты после пароля - при физическом доступе к накопителю. И защитить можно только данные - отформатировать диски и использовать дальше проблемы не составит.
Демонтируется раздел не после перезагрузки, а при выключении накопителя, если папка зашифрована. Всегда. А галочка "Автоматически выполнять монтаж при запуске" означает, что папка будет автоматически смонтирована обратно при включении накопителя, и если злоумышленник включит накопитель, то для доступа к данным будет достаточно логин-пароля пользователя, имеющего права на папку, или ключа шифрования, если достать из накопителя диски. Если же автомонтирование отключено, то для доступа к данным обязательно нужен ключ шифрования.
Ок! Спасибо все понятно.
А как насчёт версии DSM2.0 - там нету что ли шифрование данных, которые хранятся на дисках? Я вот что-то пошукал и нигде не нашёл этой фичи.
Чтобы не плодить походишь тем, напишу тут.
Не могу понять, чем отличается функция шифрования данных в DS110j от той что реализована в DS110+.
Инфу о том что на DS110j есть шифрование брал тут http://www.synology.com/enu/products/DS110j/spec.php (Hardware Encryption Engine), на русской версии сайта почему то про шифрование ни слова.
И можно ли как-нибудь использовать в этих моделях винты зашифрованные с пом. truecrypt?
Спасибо!
там везде cryptfs
там везде cryptfs
Ясно. А в DS110+ ещё и стандарт AES применяется?
Предположим устройство выходит из строя. Каким образом получить данные с винта?
аес это алгоритм а не движек. практики не имею но не думаю что будет проблемы если данные на винчестере будут полными.
А не подскажет ли кто, как сильно будет тормозить чтение/запись при влюченной функции шифрования данных на DS420J ?
очень сильно. т.к. проц слабенький, а вся нагрузка за шифрование лежит на нем.А не подскажет ли кто, как сильно будет тормозить чтение/запись при влюченной функции шифрования данных на DS420J ?
очень сильно. т.к. проц слабенький, а вся нагрузка за шифрование лежит на нем.
а ds1010+ или ds411 ?? в них вроде самые производительные процы...
Конкретно интересует если я общую папку пользователей зашившую... а в ней параллельно шерстят порядка 50 человек... в основном работают с документами, так-же почтовые все файлы аутлук находятся в этой папке
Вопрос в следующем. Есть данные, они должны храниться в зашифрованном виде. К данным ежедневно обращается пользователь. Может пользователь сам, без участия администратора NAS, монтировать и демонтировать зашифрованную папку? Если да, то каким образом?
Здравствуйте, приобрел себе модель DS712+ и очень жаль, что нет функции шифрования всего диска. Неужели нельзя создать утилиту хотя бы на базе программы TrueCrypt - Благо она бесплатна. Еще раз подчеркну, что речь идет о шифровании всего раздела или целого диска - именно на случай несанкционированного физического доступа. Надеюсь что в будущих версиях - это станет возможным. Спасибо.
Как зашифровать раздел на накопителе Synology:
1. Management -> Права доступа -> Папка общего доступа
2. Выбираем нужную папку, Редактировать
3. Ставим галочку "Зашифровать папку общего доступа", два раза вводим ключ шифрования (не менее 8 символов). Если нужно, ставим галочку "Автоматически выполнять монтаж при запуске" - в этом случае не нужно будет вводить ключ при каждом запуске устройства.
4. Нажимаем OK, ждем окончания шифрования. Будет скачан файл .key, с помощью которого можно расшифровать содержимое раздела.
5. После этого в общем меню (сверху) станет доступным кнопка "Шифрование", а в списке разделов рядом с зашифрованным появится изображение замка. Если замок открыт, то папка доступна для использования; доступны функции "демонтаж" (папка шифруется, для доступа к ней будет нужен ключ или .key-файл) и "ключ экспорта" (для получения нового .key-файла, нужен ключ шифрования). Замок закрыт - папка зашифрована, доступа к данным в ней нет, доступна только функция "Создать", при помощи которой будет открыт доступ к разделу; нужен ключ шифрования или .key-файл.
Если случилось аварийное выключение Synology, что произойдет с папками? Они будут нормально читаться после перезапуска? Если отключено автомонтирование, то папки в случае аварийного выключения демонитируются?
Если отключено автомонтирование, то папки в случае аварийного выключения демонитируются?
Какая разница какое было отключение, аварийное или штатное. Автомонтирование, это автоматическое монтирование после включения. Если оно отключено - папки останутся демонтированими.
Здравствуйте. Интересен такой момент, NAS 414j используется для дома, но на него бекапятся рабочие фотографии, часть из которых строго конфиденциальна. Вопрос в том, имеет ли смысл мне шифровать папки бекапа с фотографиями, если не предполагается физического воздействия на NAS? Т.е. нет необходимости переживать за то, что его могут украсть или подключиться физически. И насколько вообще безопасен NAS с точки зрения хранения персональных данных?
Здравствуйте. Интересен такой момент, NAS 414j используется для дома, но на него бекапятся рабочие фотографии, часть из которых строго конфиденциальна. Вопрос в том, имеет ли смысл мне шифровать папки бекапа с фотографиями, если не предполагается физического воздействия на NAS? Т.е. нет необходимости переживать за то, что его могут украсть или подключиться физически. И насколько вообще безопасен NAS с точки зрения хранения персональных данных?
Ну так если нет физического доступа и вы не переживаете за его пропажу - то смысла что-то шифровать нет. Так же как и нет смысла ставить пароли.
Шифровать нужно тогда, когда нужно что-то от кого-то скрыть.
Например первый раз на компе к шифрованию файлов я пришёл тогда, когда вирусы, да и антивирусы тоже, беспощадно портили файлы встраивая свой вредоносный код в них, или антивирусник просто мог удалить. Я прятал ценные файлы в архив с паролем 0000. Так и файлы не портились, и когда антивирь пытался проверить в тысячный раз какой-нибудь дистрибутив не тратилось долгое время на проверку. Он просто не мог проверить содержимое архива, так как архив запаролен. Кстати последняя причина актуальна мне и сейчас.
На Syno первый раз прибег к шифрованию когда понадобилось предоставить полные права на доступ тех поддержке, тогда я шифранул важные папки.
Ну так если нет физического доступа и вы не переживаете за его пропажу - то смысла что-то шифровать нет. Так же как и нет смысла ставить пароли.Шифровать нужно тогда, когда нужно что-то от кого-то скрыть.
Например первый раз на компе к шифрованию файлов я пришёл тогда, когда вирусы, да и антивирусы тоже, беспощадно портили файлы встраивая свой вредоносный код в них, или антивирусник просто мог удалить. Я прятал ценные файлы в архив с паролем 0000. Так и файлы не портились, и когда антивирь пытался проверить в тысячный раз какой-нибудь дистрибутив не тратилось долгое время на проверку. Он просто не мог проверить содержимое архива, так как архив запаролен. Кстати последняя причина актуальна мне и сейчас.
На Syno первый раз прибег к шифрованию когда понадобилось предоставить полные права на доступ тех поддержке, тогда я шифранул важные папки.
Я скорее опасаюсь не за физическое воздействие, а в случае дистанционного воздействия, взлома там и т. д. Т.е если злоумышленник получит доступ к NAS то шифрование все равно не поможет? Особенно при автомонтаже шифрованных папок? Или как? У меня в шифрованной папке должно лежать 2tb, вот и думаю стоит ли так париться или нет. Сложно ли взломать DSM и получить доступ к файлам? На входе еще роутер ASUS N66U с включенным файрволом. Сам первый раз думаю так заморочиться, но не дает покоя то, что получается весь фотоархив в виде бекапа в онлайне как бы.
Я скорее опасаюсь не за физическое воздействие, а в случае дистанционного воздействия, взлома там и т. д.
Я сказал "физический доступ". Подразумевал под этим отсутствие, физическое, каких либо способов доступа вообще. Не программный доступ, не административный, не технический, а физический. То есть нет кабелй, нет беспроводной связи, нет никакой связи, и никак нельзя получить доступ, это когда NAS стоит на полке и нет сетевых кабелей.
А уж если он у Вас к интернету подключен, то конечно же нужно чувствительные данные хорошенько шифровать! Только пароль рядом в соседней папке в .txt не оставляйте. А особо секретные данные вообще в офлайн хранить советую.
Я сказал "физический доступ". Подразумевал под этим отсутствие, физическое, каких либо способов доступа вообще. Не программный доступ, не административный, не технический, а физический. То есть нет кабелй, нет беспроводной связи, нет никакой связи, и никак нельзя получить доступ, это когда NAS стоит на полке и нет сетевых кабелей.А уж если он у Вас к интернету подключен, то конечно же нужно чувствительные данные хорошенько шифровать! Только пароль рядом в соседней папке в .txt не оставляйте. А особо секретные данные вообще в офлайн хранить советую.
Вот, теперь ясно. Ну особо секретные данные я как раз вынес на отдельный жесткий диск недавно, зашифровал резервные копии timemachine и стало быть не зря заморочился с шифром бекапа фотоархива. Спасибо, именно это я и хотел узнать.
Недавно обсуждалась тема отправки шифрованных данных в облако а также последующее их восстановление в случае кражи/поломки НАС-ува. В базе знаний Синолоджи есть неплохая статья - "Шифрование и расшифрование папок общего доступа на NAS-устройстве Synology". Добавил сюда, освежив тему ...
"Шифрование стало важнейшим методом обеспечения безопасности данных, передаваемых по сети. Оно предотвращает несанкционированный доступ к конфиденциальной информации и ее использование в незаконных целях, а также защищает компьютер от вирусов и сопутствующих уязвимостей системы.
Чтобы хранить личные данные в безопасности и сделать их недоступными для злоумышленников, DiskStation Manager (DSM) использует технологию Advanced Encryption Standard (AES) для хранения данных в защищенном формате с помощью набора ключей защиты. Кроме того, DSM обеспечивает 256-разрядную защиту AES на уровне общего доступа во избежание попыток несанкционированного доступа.
В данной статье рассказывается о создании зашифрованных папок общего доступа на NAS-устройстве Synology и об основных проблемах, возникающих при шифровании данных."
Шифрование и расшифрование папок общего доступа на NAS-устройстве Synology
Моделирую ситуацию из жизни.
Есть NAS и внешний HDD на который я делаю бекап с NAS раз в неделю автоматом.
Естественно, внешний HDD всегда подключен к NAS.
Для избежания потери данных - вирус, шифровальщик, утечка по сети, .... логично, что бы внешний HDD был закрыт методом шифрования, и без ключа доступа к данным не было бы. Делать бекабы можно было бы при открытии замка.
Внимание вопрос!
На папке внешнего HDD отсутствует возможность поставить галочку шифрования
Что нужно сделать, что бы я мог все же поставить пароль\шифрование на внешний HDD ?
Моделирую ситуацию из жизни.Есть NAS и внешний HDD на который я делаю бекап с NAS раз в неделю автоматом.
Естественно, внешний HDD всегда подключен к NAS.
Для избежания потери данных - вирус, шифровальщик, утечка по сети, .... логично, что бы внешний HDD был закрыт методом шифрования, и без ключа доступа к данным не было бы. Делать бекабы можно было бы при открытии замка.
Внимание вопрос!
На папке внешнего HDD отсутствует возможность поставить галочку шифрования
![]()
Что нужно сделать, что бы я мог все же поставить пароль\шифрование на внешний HDD ?
А в чем смысл шифрования внешнего устройства??? Тем более с бэкапами. Тот же гипербекап поддерживает шифрование.
А в чем смысл шифрования внешнего устройства??? Тем более с бэкапами. Тот же гипербекап поддерживает шифрование.
Что бы можно было закрыть доступ.
Если попадает шифровальщик, вирус, рубает все сетевые\подключенные папки\файлы.
+ доступ закрыть из сети.
Что бы можно было закрыть доступ.Если попадает шифровальщик, вирус, рубает все сетевые\подключенные папки\файлы.
+ доступ закрыть из сети.
Эм... У вапс проблема с моделью нарушителя. Если шифровальщик попадет в систему, то он зашифрует и ваш диск, который при монтирован в открытом виде ))) разнице с шифрованием бэкапов - не вижу.
Доступ из сети закрыывается не шифрованием некоего диска, а именно закрытием доступа. по сети firewall, NAT и т.д.
Эм... У вапс проблема с моделью нарушителя. Если шифровальщик попадет в систему, то он зашифрует и ваш диск, который при монтирован в открытом виде ))) разнице с шифрованием бэкапов - не вижу.Доступ из сети закрыывается не шифрованием некоего диска, а именно закрытием доступа. по сети firewall, NAT и т.д.
Если диск/папка под замком, то к ней нет доступа.
Как итог, решение актуальное
Если диск/папка под замком, то к ней нет доступа.Как итог, решение актуальное
Еще раз.
Если в системе есть шифровальщик, то зашифрованный диск вас ни как не спасет. Монтирование диска = снятие парольной защиты = доступ к содержимому шифровальщиком.
Если ваш диск не при монтирован = отключен и вы с ним не работаете => вы не можете на него делать бэкап, снимать с него бэкап и т.д, диск по сути отключен от системы.
Далее если шифровальщик попал в синолоджи о дисках забыли и шифрование вас не спасет )).
Если шифровальщик на внешних по отношению к сино системах, то содержимое сино защищается правильной раздачей прав, а бэкапирование внешних систем осуществляется специальными продуктами без состания share ресурсов доступных по распространенным протоколам smb/ftp/nfs/ и т.д. А доступ если и идет, то только на чтение.
Еще раз повторюсь, начинайте с правльного формирования модели нарушителя, а не придумывайте бессмысленной защиты. (шифрование дисков нужно лишь для того, чтобы в случае их изъятия не было возможности получить к данным на них.
Ну дополню... В Syno зашифрованные данные хранятся в свободном доступе. Выглядит это как куча файлов и папок с непонятными именами в hex виде. Ну для примера, возьмите обычный архиватор zip, заархивируёте кучу файлов с паролем и с опцией шифрования имён файлов. Вот у вас есть зашифрованные файлы, никто не прочтёт их содержимое и даже имени. И чё? Вирусу шифровальщику абсолютно пофиг, что там у вас за файлы, каково их расширение, каково их содержание. Он зашифрует их по своему. И вы не сможете ими воспользоваться.
От шифровальщика помогают только бекапы. Бекапы, холодные, те которые после сохранения и проверки лежат на полке.
P.S. Мой кейс использования,я о нём ранее говорил - два NAS, один рабочий, другой для бекапов. Громко сказано "NAS для бекапов", на самом деле это одноплатник с SSD диском на Armbian, который может только расшарить простарнство SSD по SMB. Так вот, основной nas каждую ночь отключается от интернета физически (отрубается свитч и изернет до роутера с интернетом падает) и подключается этот самопальный сетевой диск. В условиях отсутствия интернета (управление из вне невозможно) делается бекап на одноплатник. Проверяется бекап. После успешной проверки одноплатник засыпает, а основной NAS подрубается к инету и работает в штатном режиме. Когда много критичных данных накапливается, то в ручную с одноплатника делаю бекап на hdd, место которого на полке.
P.P.S. Так как Synology не шифрует весь диск и абсолютно все данные, так как он всегда находится в сети и имеет выход в интернет, так как всегда есть разнообразные дыры и полюбому оставлены бэкдоры, то особо ответственную личную инфу я хранить на NAS не рекомендую. Да, я параноик. Я дубликат данной инфы храню на флешке, которая через USB хаб подключена в NAS. Когда мне нужен доступ к к этой информации, я просто удалённо включаю USB хаб и получаю доступ к данным, после чего отключаю обратно. Вместо флешки может быть любое оффлайн хранилище.
Ну дополню... В Syno зашифрованные данные хранятся в свободном доступе. Выглядит это как куча файлов и папок с непонятными именами в hex виде. Ну для примера, возьмите обычный архиватор zip, заархивируёте кучу файлов с паролем и с опцией шифрования имён файлов. Вот у вас есть зашифрованные файлы, никто не прочтёт их содержимое и даже имени. И чё? Вирусу шифровальщику абсолютно пофиг, что там у вас за файлы, каково их расширение, каково их содержание. Он зашифрует их по своему. И вы не сможете ими воспользоваться.От шифровальщика помогают только бекапы. Бекапы, холодные, те которые после сохранения и проверки лежат на полке.
P.S. Мой кейс использования,я о нём ранее говорил - два NAS, один рабочий, другой для бекапов. Громко сказано "NAS для бекапов", на самом деле это одноплатник с SSD диском на Armbian, который может только расшарить простарнство SSD по SMB. Так вот, основной nas каждую ночь отключается от интернета физически (отрубается свитч и изернет до роутера с интернетом падает) и подключается этот самопальный сетевой диск. В условиях отсутствия интернета (управление из вне невозможно) делается бекап на одноплатник. Проверяется бекап. После успешной проверки одноплатник засыпает, а основной NAS подрубается к инету и работает в штатном режиме. Когда много критичных данных накапливается, то в ручную с одноплатника делаю бекап на hdd, место которого на полке.
P.P.S. Так как Synology не шифрует весь диск и абсолютно все данные, так как он всегда находится в сети и имеет выход в интернет, так как всегда есть разнообразные дыры и полюбому оставлены бэкдоры, то особо ответственную личную инфу я хранить на NAS не рекомендую. Да, я параноик. Я дубликат данной инфы храню на флешке, которая через USB хаб подключена в NAS. Когда мне нужен доступ к к этой информации, я просто удалённо включаю USB хаб и получаю доступ к данным, после чего отключаю обратно. Вместо флешки может быть любое оффлайн хранилище.
Как вы подключаете удаленно юсб хаб?
Как вы подключаете удаленно юсб хаб?
Вообще у меня самопальный умный дом и дофига всяких модулей, я их сам делаю из ардуин и ESP32/8266. Но Вам могу предложить любую "Умную розетку" с WiFi и удалённым управлением. Выберите себе USB хаб с внешним питанием. На кабеле от NAS до хаба отрежте плюсовой провод питания, или проще разобрать хаб и перерезать дорожку на плате. Всё, хаб будет питаться только от сети. Без питания ни одна флешка\диск работать не будут. Появится питание - Synology увидит их.
Вставляете хаб в управляемую розетку, когда надо подаёте питание, когда не надо снимаете.
Вообще у меня самопальный умный дом и дофига всяких модулей, я их сам делаю из ардуин и ESP32/8266.
Извиняюсь, что не в тему, может знаете какие нибудь интересные сайты про умный дом на таких модулях?
Спасибо.
P.S. Можно прямо в личку.
Извиняюсь, что не в тему, может знаете какие нибудь интересные сайты про умный дом на таких модулях?Спасибо.
P.S. Можно прямо в личку.
Рекомендую начать играться самостоятельно и с готовых решений... Читать бессмысленно, нужно брать и щупать руками. Учитывая что на 218+ можно развернуть любую управляющую платформу...
Вставляете хаб в управляемую розетку, когда надо подаёте питание, когда не надо снимаете.
а если отключить от питания, то получается уведомление - неправильно извлечён ....... Скриптом ?
а если отключить от питания, то получается уведомление - неправильно извлечён ....... Скриптом ?
Да. И фиг с ним. Жить не мешает.
а если отключить от питания, то получается уведомление - неправильно извлечён ....... Скриптом ?
Зачем каким то скриптом, если можно его сначала извлечь, а потом отрубить питание. А если взять диск в коробке с внешним питанием то и резать ничего не надо будет.
Зачем каким то скриптом, если можно его сначала извлечь, а потом отрубить питание.
Процесс в автомате работает, глубокой ночью, когда активность юзеров нулевая. Никто не будет просыпаться и делать это вручную.
Ошибка не верного извлечения? Да и фиг с ней. А вот скрипт, который бы смог отследить пользователей, и если они онлайн на каком-либо сервисе, то слать им уведомлялку, типа сейчас всё отрубится.., извиняйте.., это бы не помешало. Но юзеров у меня мало, и ночами они не сидят.