Crittare i dati del NAS

[buntu]

Buon pomeriggio a tutti, ho un 219P+ con 2 dischi in raid 1. Vorrei crittare il volume raid, so che prima devo backuppare tutto perchè i dischi saranno inizializzati.

La mia domanda è: il NAS dove salva la chiave/password per decriptare il tutto? Perchè in caso di guasto al NAS poi come recupero i dati?

Un'altra domanda leggermente OT: nel mio caso (raid 1) senza crittografia se estraggo un disco i dati sono visibili / recuperabili collegandolo ad altro PC ?

[PiaNi]

Non so che firmware usa il tuo nas, nel senso se è ancora aggioranto da Qnap, ma puoi crittografare le singole cartelle, o solo le cartelle con i dati sensibili senza reinizializzare il tutto.

Qui c'è una guida, anche se li screenshot sono un po' diversi: https://www.qnap.com/it-it/how-to/faq/a ... -condivisa

[buntu]

Grazie avevo letto quella guida ma è solo per modelli basati su Intel, il mio monta ARM, versione fw 4.3.3

[PiaNi]

Puoi sempre dare un'occhiata se c'è l'opzione.
Nel mio nas che monta AMD, c'è!

[FFFAB]

Se non puoi crittografare le singole cartelle come suggerisce PiaNi (sarebbe la soluzione più semplice ed indolore), la crittografia del volume prevede il montaggio manuale o automatico.
Nel primo caso AD OGNI RIAVVIO del nas, il volume crittografato non viene montato e bisogna, manualmente, entrare nell'interfaccia ed inserire la chiave per il montaggio stesso: la chiave stessa quindi NON è memorizzata da nessuna parte.
Nel montaggio automatico, i dischi sono crittografati come nell'esempio precedente, ma il montaggio del volume è automatico (e quindi la chiave memorizzata da qualche parte, ma non so dire dove).
Ovviamente la sicurezza è molto diversa.
Nel montaggio automatico, basta rubare il nas, resettare la passw di admin col tastino e si accede a tutto (rubando i soli dischi invece si è protetti).
Col montaggio manuale.... non c'è trippa per gatti.... È in assoluto la migliore forma di protezione che si possa avere.
L'articolo è vecchio, ma il senso del tutto è rimasto:
https://www.qnap.com/en/how-to/tutorial ... a-qnap-nas

Ps: visto che nel montaggio automatico l'associazione col nas è importante (basterebbe altrimenti inserire i dischi in un altro qnap e tutta la sicurezza crollerebbe) posso immaginare che la chiave sia memorizzata in rom e non nei dischi stessi.

[buntu]

Col montaggio manuale.... non c'è trippa per gatti.... È in assoluto la migliore forma di protezione che si possa avere.

Grazie FFFAB. Mi confermi che il montaggio manuale è la cosa migliore anche se va a discapito dell'usabilità. A dire il vero il NAS è sempre acceso e raramente effettuo un riavvio del sistema.
Volevo fare una cosa del genere perchè vivo in una zona ad alto rischio di furti e ultimamente sono all'ordine del giorno. La mia configurazione prevede due dischi in raid 1 più un disco esterno dove effettuo backup automatici e un ulteriore disco esterno sul quale effettuo backup manuali ogni tanto e ovviamente non lo tengo in casa. Forse sono esagerato ma in caso di furto non voglio perdere dati preziosi/affettivi e non voglio che terzi possano accedere a tali dati. Ovviamente mi toccherà crittare anche il disco esterno collegato al NAS.

Purtroppo la crittografia su cartella non c'è, controllerò meglio ma non sono ottimista.

Un'ultima cosa. Lasciando tutto così (raid 1), i dischi sono accessibili facilmente se montati su altro PC ?

[FFFAB]

Prego,
noterai solo un po' di rallentamento diffuso (sia in lettura che scrittura).
Sulla crittografia del disco esterno non so aiutarti però, a quanto ne so io il nas non lo prevede.
In merito alla tua ultima domanda, il facile ed il difficile è legato a chi sta davanti al monitor cmq non è complicato.
Tieni conto solo di una cosa: come vedi in firma ho 2 nas con hardware identico. Ebbene, non sono mai riuscito a far leggere un disco (singolo, no raid1) tolto da un nas, collegandolo in usb all'altro. Viene rilevato ma con la partizione dati vuota (volume non crittografato). Cmq, in generale, lasciando così il tuo nas la protezione è pari a zero se te lo rubano (o se ti rubano i dischi, ma il ladruncolo di turno ti frega tutto, non solo i dischi).

[buntu]

A leggere qui sembra sia possibile crittografare i dati su disco esterno
http://docs.qnap.com/nas/4.1/SMB/it/ind ... torage.htm

Grazie ancora per l'aiuto

[FFFAB]

Grazie a te, non lo sapevo, si impara sempre

[buntu]

Un'altra domanda da paranoico. Una volta criptato il disco i miei dati sono irrecuperabili senza la psw ma ..... utilizzando software di recupero dati come l'ottimo photorec, secondo te è possibile ancora recuperare file cancellati durante la vita del disco?

[FFFAB]

Se per vita intendi la vita precedente alla cifratura, tutto è possibile, ma la ritengo talmente remota come casistica da non considerarla nemmeno.
Se sei paranoico prima di criptare i dischi puoi fare uno o due passaggi di zerofill: quelle minime tracce verrebbero piallate senza troppi complimenti

[buntu]

Vabbè sono paranoico .. lo zerofill è troppo

[nicolam]

A proposito di criptaggio...tra le cartelle sul Nas, ne ho una che contiene i dati più sensibili personali (copia documenti, carte credito etc). Per proteggerli uso uno dei tanti SW di criptazione dei dati, esistono alternative più fluide? Vorrei estendere tale protezione anche ad altri file (es. Estratti conto etc.) e potrebbe essere gradito aprire il file senza dover prima decrittarlo e magari crittarlo successivamente appena letto.
Grazie

[nicolam]

A proposito di criptaggio...tra le cartelle sul Nas, ne ho una che contiene i dati più sensibili personali (copia documenti, carte credito etc). Per proteggerli uso uno dei tanti SW di criptazione dei dati, esistono alternative più fluide? Vorrei estendere tale protezione anche ad altri file (es. Estratti conto etc.) e potrebbe essere gradito aprire il file senza dover prima decrittarlo e magari crittarlo successivamente appena letto.
Grazie

Da quanto leggo in giro, per criptare dati che si usano pochissimo (diciamo in archivio) può andare bene un programma esterno di criptaggio qualsiasi, ma se i dati sono spesso aperti per essere consultati (non dico neanche modificati, ma letti) trovo complicato passare attraverso una criptazione, a meno che qualcuno non mi indichi qualche soluzione.

Meglio accedere a queste cartelle con un utente nuovo, con privilegi minimi ed utilizzare il doppio controllo.
Che ne pensate?

[FFFAB]

La criptazione serve SOLO per non avere i dati in chiaro sul disco, non svolge altre funzioni: se ti rubano i dischi e/o il nas, senza chiave, i dati leggibili sul disco sono inconsistenti (leggibili anche accedendo eventualmente al disco fisico).
Il discorso del nuovo utente riguarda la sicurezza attiva e non quella passiva offerta dalla criptaggio: QNap, come avrai visto, prevede la criptazione anche di una singola cartella, ma, una volta sbloccata, a livello logico è identica alle altre (compreso pericolo ransomware ecc ecc).
Sono davvero due ambiti diversi!!

In un NAS casalingo penso si possa evitare: vero che ci sono pure i ladri che possono puntare al NAS, ma.... insomma.... evento raro.... puntano ad altro...
Nei NAS professionali, tanto vale criptare tutto il volume (quelli non di sistema) e finita lì: se rubano il NAS o i dischi non aprono niente di niente. E, a regime, tutto avviene in modo trasparente per utenti e utilizzatori dei servizi.

[FFFAB]

Meglio accedere a queste cartelle con un utente nuovo, con privilegi minimi ed utilizzare il doppio controllo.
Che ne pensate?

Che se ti rubano il NAS, fanno un reset di admin (tastino posteriore) ed il tuo utente limitato va a farsi benedire in canonica....

[nicolam]

Meglio accedere a queste cartelle con un utente nuovo, con privilegi minimi ed utilizzare il doppio controllo.
Che ne pensate?

Che se ti rubano il NAS, fanno un reset di admin (tastino posteriore) ed il tuo utente limitato va a farsi benedire in canonica....

Verissimo, io distinguo due ordini di problemi:
1) furto del NAS: lo temo ma fino a ieri avevo il desktop a casa, bastava rubare quello...diciamo che la probabilità che si prendano il NAS è bassina, a meno che non si installino in casa per giorni e lo scovano
2) lettura di dati riservati: potrei criptare alcune (poche) cartelle sul NAS con un programma mentre per le altre AMEN...mi auguro che le restrizioni adottate, grazie anche ai tuoi consigli, siano sufficienti!

[dapinna]

Salve a tutti :-)

Io uso un TS-220, con 2 HDD in RAID1 per il Backup del mio ufficio e per alcune funzioni Cloud (uso Resilio Sync), ma ho anche un TS-212p a casa (al momento con un singolo disco).

Per adeguamento al GDPR sto pensando alla criptazione dei vari sistemi, e quindi ci va di mezzo anche il NAS dell'ufficio (e forse anche quello di casa).

Purtroppo la criptazione della singola cartella non è supportata dato che ho una CPU ARM e non Intel e quindi sono costretto a "piallare" tutto.

Nell'esempio di questa pagina:
https://www.qnap.com/it-it/how-to/tutor ... n-qnap-nas
mostrano due "volumi", il volume 1, di sistema, con il caricamento automatico della chiave, mentre il volume 2, con il caricamento manuale della chiave.

E' una soluzione pratica quella dei 2 volume configurati in quel modo?
Immagino che possa essere utile per permettere al sistema, ad esempio, di caricarsi e mandare gli avvisi (es. di riavvio/accensione etc)

Quanto spazio dovrebbe avere il sistema o in alternativa quali "cartelle" ci andranno? (immagino tutte tranne quelle condivide quelle degli utenti).

[buntu]

Io vorrei procedere proprio con la procedura numero 2, quella senza salvataggio della chiave.
Prima di procedere ho anch'io qualche domanda visto che si tratta di un'operazione molto delicata.
1) Ho fatto backup delle cartelle che mi interessavano su 2 dischi esterni, se "conto" i file sul NAS e poi sui dischi di backup i conti tornano. Numero file/cartelle corrispondono. Se però vado nella GUI del NAS alla voce "cartelle condivise" vedo numero file/cartelle completamente diverso. Ad esempio i file della cartella Multimedia risultano circa 50.000 nel file station (anche nei dischi di bk) mentre nell'elenco delle cartelle condivise mi dice che sono molti di più, tipo 200.000! Forse vengono conteggiati anche vecchi file eliminati?
2) Le prestazioni del NAS risentiranno pesantemente della crittatura in lettura/scrittura?
3) Mi sono dimenticato la terza domanda ... se mi torna in mente ve la scrivo :-D

Grazie a tutti

[FFFAB]

Ciao,

1) se la cartella è indicizzata dal catalogo multimediale, quei files in più sono appunto il catalogo
2) dipende dal NAS: se la cpu prevedere l'AES in "hardware" è di certo meglio che una che fa tutto via software. Ma poi devi tirare in ballo anche la potenza della CPU stessa e quante letture/scritture fai rispetto ai tempi morti (o quasi morti) della CPU in cui fa poco o niente.... difficile darti una risposta...

Certo è che se uno guarda qua e non interpreta quello che c'è scritto (data dell'articolo compresa) prende paura:
https://www.qnap.com/en/how-to/faq/arti ... encryption