Daten auf NAS – aber bitte sicherererer

Vor genau einem Jahr habe ich einen Artikel geschrieben der sich mit einem NAS für zu Hause mit iSCSI beschäftigte (s. Teil I, Teil II, Teil III). Mittlerweile habe ich mir ein neues NAS gekauft – ein Synology DS411slim (Link). Was hat mich nun zu diesem NAS System gebracht? Kurz gesagt: Denny ;-) Nee, im Ernst. Die Unterschiede zwischen den Systemen (und ich spreche nur von den Home NAS Systemen) ist sehr identisch. Man bekommt sehr billige die – laut Beschreibung – sämtliche Protokolle unterstützen und auch schnell sein sollen. Man bekommt teure die das gleiche versprechen.

Natürlich gibt es Unterschiede. Ein wichtiger Faktor ist beispielsweise die Lautstärke. Hat das System Lüfter? Welche größe haben sie? Laufen sie immer? Auch die Plattendimension macht einen Unterschied bei der Lautstärke – 3,5″ oder 2,5″? Für uns hier interessant: Mit welchem OS wird das System betrieben? Linux? Bei komplett fertigen Systemen ist auch die Frage welche Festplatten eingebaut sind oder ob 2x die gleiche oder verschiedene eingebaut sind. Das kenne ich aus dem Enterprise Umfeld, wo man zusieht dass in einem Plattensystem nicht eine komplette Serie verbaut ist – hat die einen Fehler, so hat mein ganzes System ein Problem. Das zu Hause zu bedenken mag dem ein oder anderen übertrieben erscheinen, allerdings ist das recht kostenneutral 2 oder mehrere Platten von verschiedenen Serien oder Herstellern zu nehmen – also warum nicht?

Das aber nur als kleines Vorwort

Darum Synology für mich

Ich habe mich für Synology entschieden, weil

  • OS ist Linux ;-)
  • Shellzugriff (bisher nicht benötigt aber möglich)
  • erweiterbar über Pakete
  • intuitive Benutzeroberfläche
  • sehr nützliche Softwarefeatures
  • das Gerät wurde als extrem leise getestet (stimmt auch)
  • extrem klein, da nur 2,5″ Festplatten eingebaut werden können
  • Raid im nachhinein erweiterbar
  • geringer Stromverbrauch, gerade auch wegen den 2,5″ Platten

Nun kann man sagen das ganze sind keine Alleinstellungsmerkmale und diese Features haben viele NAS Systeme verschiedener Hersteller. Richtig. Aber:

  • Von Synology gibt es gibt Apps für Android und iPhone, mit denen man bequem auf die Bilder, Musik und auch die Dateien auf der Box von überall zugreifen kann

Das war für mich das ausschlaggebende Argument.

Sicherheit der Daten

Das eigentliche Thema dieses Beitrags ist die Datensicherheit auf einer solchen Box. Ich habe einiges an Dokumenten die eine gewisse Sicherheit benötigen. Kann ich diese dann einfach per NFS oder Samba auf eine NAS Box legen? Meiner Meinung nach nicht.

Was passiert wenn die Box gehackt wird? Was wenn sie gestohlen wird? Der Hersteller muss nur einen Softwarefehler in der Firmware haben und die Daten stehen jedem offen. Alles natürlich nur dann, wenn die Box per DynDNS von Außen erreichbar ist (Apps!).

Nun bietet Synology an, die Daten eines “Gemeinsamen Ordners” per integriertem AES Chip zu verschlüsseln. Gut. Aber wie funktioniert das? Naja, so wie es eben nur möglich ist. Das Volume ist verschlüsselt. Um darauf zuzugreifen muss man entweder vorher per Benutzeroberfläche das Volume entsperren oder man lässt es beim booten entsperren. Hmmm… Also der Sinn das ganze beim Booten automatisch machen zu lassen erschließt sich mir auf Anhieb nicht und vor jedem Zugriff das Volume über die Benutzeroberfläche zu entsperren, bzw. danach wieder zu sperren, ist nicht wirklich benutzerfreundlich. Eine andere Möglichkeit gibt es jedoch so direkt nicht.

Container?

Am Anfang dachte ich, man könnte das ganze mit einem Container machen. Beispielsweise mit TrueCrypt. In Nautilus auf den Container klicken, Passwort eingeben und glücklich sein. Nada. TrueCrypt kann nicht mit Samba Laufwerken umgehen :-( (wenigstens nicht so über Nautilus).

Also das Verzeichnis direkt beim Booten mounten? Auch unschön. Der NetworkManager ist bei mir für die Netze verantwortlich. Also ist ein mounten von Laufwerken über die fstab nicht so einfach möglich.

iSCSI!!

Tja, nach einigem überlegen bin ich dann auf meinen eigenen Artikel gekommen ;-). Warum nicht iSCSI? Die Box macht das und ich könnte – mit Linux Standardmitteln – die Daten verschlüsseln. Gedacht, getan. Ein iSCSI Target auf der Box angelegt. Und wie schon in meinem anderen Artikel das LUKS Device angelegt, formatiert und gut.

Sobald der NetworkManager ein Device konfiguriert hat, erscheint in Nautlilus ein neues Gerät. Anklicken, Passwort eingeben (oder beim ersten Mal speichern) und schon bin ich auf der Box in einem verschlüsselten Volume.

Problem

Es gibt an sich nur ein Problem mit der Lösung. Es kann immer nur einer darauf zugreifen (zur selben Zeit). Das ist für mich kein Problem, da es sich nur um die Sicherheitsbedürtigen Daten handelt. Alle anderen Dateien sind von mehreren Rechnern gleichzeitig zugreifbar.

19 Responses to Daten auf NAS – aber bitte sicherererer

  1. Würde da eher eine Thecus n3200pro empfehlen, erhielt in der c’t Bestnoten. Aber auch da sind die Daten futsch wenn es zu Hause brennt.

    Daher (so mache ichs): http://www.safesync.com Unbegrenzt Speicher für wenig €€. WebDAV inklusive, da freut sich auch rsync. Die Server stehen übrigens in Japan, erdbeben und atombombensicher (gerade getestet…).

  2. linrunner

    Cool, ich bin mit meiner DS211 auch bei der LUKS-iSCSI-Lösung gelandet und komme beim Sichern mit rsync auf angenehme > 40 MB/s.

    Gruß, linrunner

    • Hi,
      hab bereits eine DS1211+ unter W2003 im Einsatz, bin aber leider nicht so fit in Linux, denn ich suche nach einer Lösung, um eine SUSE 9.1 mit einem “automatischen”, also konfigurierbaren Backup auf eine Synology zu verbinden.
      Kann man das unter Suse überhaupt automatisieren?

      danke

      Christoph

      • Ronny

        Hallo,
        da solltest Du am einfachsten NFS nehmen. Die Synology kann NFS und jedes Linux System kann NFS.

        Was meinst Du mit automatischem, konfigurierbarem Backup? Da kann man einfach Scripte schreiben bzw. auch fertige Programme dafür nutzen. Wenn Du so ein “altes SuSE” einsetzt wird das mit den aktuellen Programmen wohl eher nix. Also je nach dem welche Daten das sind einfach ein kleines Backup Script schreiben – das is nicht so schwierig ;-)

        Greetz

  3. Ice

    Hi, guter Artikel. Ich hab’ da doch noch eine Frage – ist zwar Offtopic aber trotzdem:
    Auch ich verwende ein NAS als Medienserver. Was mich stört ist, dass ich für Filme eine alphabetische Verzeichnisstruktur anlegen kann aber keine Soft- oder Hardlinks für alternative Strukturen wie Genre, Erstellungsjahre oder Schauspieler.
    Zwar anlegen kann ich solche Strukturen schon, da ich die Daten per NFS auf meinen PC eingebunden habe, aber der Medienserver erkennt keine Soft- oder Hardlinks und präsentiert sie nicht auf dem TV iPhone-App (MedaLinkPlayer) oder PS3 usw.
    Hast Du dazu einen Tipp?

    Ice

  4. Hallo
    etwas Offtopic: (Es geht überhaupt nicht um Sicherheit.)
    Ich bin Besitzer einer LinkStation Quad von Buffalo und verwende auf meinem Rechner OpenSuse 11.4. Die Linkstation kann über Wake-on-Lan gestartet bzw. wenn das Wake-on-lan nicht mehr gesendet wird, runterfahren. Das WOL sende ich mit dem booten und dann jede Minute. Zum Problem wird, daß wenn fstab die LinkStation mounten möchte, diese noch nicht hochgefahren ist. Ein mount -a nach dem Hochfahren der Linkstation funktioniert.
    1. Frage: Machst du sowas überhaupt, oder läuft dein NAS durch?
    fstab mountet mein NAS in Wurzelverzeichnis. Nach einigen Experimenten mit automount und autofs habe ich festgestellt, daß diese das NAS nicht in das Wurzelverzeichnis mounten. Kennst du eine andere Lösung?

    • Truecrypt finde ich reichlich unbequem wenn es v.a. darum geht wenn mehrere User auf die Daten zugreifen sollen. Schau Dir mal lieber EncFS an, das kann man auch bequem über jeden Datenspeicher drüberstülpen und das Grundsystem merkt nichts davon.

  5. kai

    schon mal drüber nachgedacht die verschlüsselung per LUKS zu machen und eine schlüsseldatei auf einem USB-Stick zum entsperren zu benutzen? dann braucht man beim booten nichts einzutippen und wenn du den usb stick jedes mal abziehst wenn du ausm haus gehst auch relativ sicher.
    ist meiner meinung nach noch die beste möglichkeit für ein verschlüsseltes dateisystem auf einem headless server.

    • Ronny

      Ich denke die Möglichkeit ist eine Alternative wenn gleichzeitig von mehreren Rechnern auf ein Laufwerk zugegriffen werden soll. Für meinen Anwendungsfall finde ich meine Lösung (ebenfalls mit LUKS) komfortabler.

      • Ich bin letztens durch Zufall über das Wiki von Dropbox auf ein Tutorial von EncFS gestolpert. Die Einrichtung scheint sehr simpel zu sein. Soweit ich das verstanden habe, werden dabei Dateien vom Client einzeln ver- und entschlüsselt. Eine zusätzliche Software auf dem NAS ist dabei nicht notwendig.

  6. Yikmo

    Und warum nicht wieder ein NAS im Eigenbau? Ein Mainboard mit Atom/Fusion Prozessor, Arbeitsspeicher, Netzteil und Gehäuse dürften etwa gleich viel kosten. Der Stromverbrauch würde möglichweise ein paar Watt höher sein, dafür wärst Du bei Hard- und Software weitaus flexibler.

  7. m

    Das ist wirklich ein ernstes Thema. Ich hatte mal aus Interesse Port 22 auf meine ausgemusterte NSLU2 geforwardet und das Passwort auf 1q2w3e4r gesetzt. Nach 5 Tagen war ein Unhold eingebrochen und hatte ein IRC Spamskript installiert.

    Daten schaufel ich nur per sshfs auf mein NAS. Der Login mit Passwort ist deaktiviert. Einzig für Musik und Filme habe ich eine Sambafreigabe gemacht. Die Platten sind bei mir unverschlüsselt weil ich physikalischen Diebstahl nicht fürchte.

  8. Hi,
    diese Multimediabox sieht ja chick aus :).

    Nach dem Lesen deines Artikels bin ich an dem Teil auch interessiert. Du schreibst, dass als Betriebssystem Linux zum Einsatz kommt. Hat Synology ein eigenes Derivat erstellt oder ist das eine uns bekannte Distribution? Kann man da was selber installieren?
    Im Datenblatt steht zum Beispiel, dass man bis zu 30 Webseiten darauf laufen lassen kann. Warum nicht 10000? Ok, bei 30 Seiten geht das Ding bestimmt schon in die Knie, aber ich frag mich nur gerade was vorgegeben ist, und was frei konfigurierbar ist.

    Mfg Mo3bius

    • Ronny

      Hi,
      soweit ich weiß ist es keine “bekannte” Distribution. Mit dem Befehl ipkg kann man beispielsweise Pakete nachinstallieren. Ob das aus “Dritt Repositories” möglich ist habe ich nicht getestet.

      Ich denke das mit den Webseiten hat einfach eine Performance Ursache.

      Greetz

      • Hab mich jetzt damit nochmal ein bisschen beschäftigt. Das Ding wird mir immer sympathischer :)

        Anscheinend ist das Betriebssytem eine Eigenentwicklung. Man kann damit nicht einfach das Paket XY von Debian/Ubuntu/Suse… installieren. Synology bietet aber eine ausführliche Anleitung an, wie man Programme auf dem Gerät compiliert und benutzt:
        http://www.synology.com/enu/apps/3rd-party_application_integration.php (Einfach das Pdf unter Download lesen)

        @Ronny: Welche Version des Betriebssystems hast du ? 3.0 oder 3.1?

        Auf der Webseite stand zu 3.1 nämlich das :
        DSM 3.1 includes complete RAID protection, easy storage expansion, and comprehensive iSCSI support.

        Ist das für dich interessant?

        Mfg Mo3bius

      • Ronny

        Hi,
        ich hab die 3.1 schon drauf ;-)

        Kann die Boxen bisher nur empfehlen. Die Weboberfläche ist echt gut gemacht und – wie im Artikel zu lesen – die Apps sind einfach klasse. Gerade wenn man Kind oder Kinder hat macht das echt Spaß immer alle Bilder “dabei” zu haben. Wobei die Box noch viel mehr kann (Streaming Server, …) was ich mir noch gar nicht angesehen habe.

        Chalala
        Ronny

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>