Hallo, ich habe seit einiger Zeit für Backups unter Windows einen NAS Server (D-Link DNS 320) in Betrieb. Ich habe zwei baugeiche Platten verbaut.
Nun würde ich gerne die Festplatten verschlüsse und kenne dafür VeraCrypt.
Meine Frage ist: Kann man in so einer Kombination die ganze Platte mit VeraCrypt verschlüsseln? Oder klappt das wegen der Spiegelung mit „RAID 1“ dann nicht mehr?
VeraCrypt ist doch ein TrueCrypt-Fork?
Dann lassen sich damit auch keine Partitionen verschlüsseln, das läuft dann doch containerbasiert ab?
Wo genau ist das Problem?
Welche?
Greiftst du über das Netzwerk oder USB zu?
Es wird dir doch aus dem Verbund „nur eine Festplatte“ angezeigt, welche in Echtzeit gespiegelt wird. Also speicherst du doch auf dieser alle Daten in einem VeraCrypt-Container, der… gespiegelt wird.
Die Spiegelung ist kein Problem, da das Grundprinzip ein anderes ist. Eine NAS ist technisch und logisch ein eigener Computer. Mit welchem Dateisystem die NAS arbeitet oder mit welchem RAID Level sie fährt, bleibt Deinem PC verborgen.
Nachteil einer clientseitigen Verschlüsselung: Du kannst nur den kompletten Container sichern. Und auch sonst einige Vorteile einer NAS nicht nutzen, weil die Verschlüsselung auf einem (!) Client läuft.
Wieso willst Du eigentlich bei einer NAS verschlüsselte Ablage? Gegen welches Risiko willst Du Dich absichern?
Ciao, Allesquatsch
Ja, VeraCrypt ist eine Weiterentwicklung von TrueCrypt.
Aber in VeraCrypt und auch in TrueCrypt wird die Verschlüsselung von Partitionen angeboten. Auch von System-Partitionen.
Ich greife über WLAN auf die Platten zu.
ch habe den NAS Server im Haus und spreche sichere täglich über WLAN die Daten darauf.
Ich will erreichen, dass ein Virus wie „Locky“ nicht alle Backups durch Verschlüsselung unbrauchbar macht. Der normale PC zur täglichen Arbeit kann jederzeit auf den NAS zugreifen.
Also wollte ich die ganze Platte verschlüsseln. Im unwahrscheinlichen Fall eines Diebstahls, wären die Daten dann auch noch geschützt.
Wäre es „nur“ eine einfache externe Festplatte, würde das mit VeraCrypt (oder TrueCrypt) gehen.
Mein NAS ist mit zwei Platten als RAID 1 konfiguriert. Damit erscheint es als ein Netzwerk-Laufwerk. Das wird von VeraCrypt aber nicht zur Verschlüsselung angeboten.
Ich muss mal nachsehen, ob der NAS-Server einen Passwortschutz anbietet. Das würde die Daten vor ungewollter Verschlüsselung durch einen Virus schützen. Aber die Daten wären dann noch nicht verschlüsselt.
Eine Verschlüsselung der einzelnen Dateien wollte ich meiden, weil man die Dateien dann jeweils vor dem offenen entschlüsseln muss.
Oder gibt es da bessere Varianten?
Huch. Okay.
Nun verschlüsselt wird ja nur auf der einen angebotenen Festplatte. Die andere hält die Software/Hardware ja aufgrund des RAID-Levels für die Spiegelung zurück.
Warum soll das also nicht funktionieren?
Aber halte dich mal an @Allesquatsch.
Kannst du nicht eine rausnehmen und nach der Sicherung an einem sicheren Ort in der Wohnung lagern? Dann sicherst du halt nicht mehr täglich, sondern wöchentlich. Oder kauf dir eine USB-Platte und sichere die wirklich wichtigen Daten da drauf. Eine 2 TB USB kostet < 100 Eur.
Gut gedacht - aber IMHO leider falsch.
Bei Deiner Idee, glaube ich, ist die Maßnahme mit Truecrypt absolut wirkungslos.
Denn Locky verschlüsselt Dir entweder Deinen geschlossenen Truecrypt-Container auf dem gemounteten Netzlaufwerk, oder, wenn das Truecrypt-Laufwerk gerade gemounted ist, die darin liegende Dateien.
Der einzige Vorteil im ersten Fall: Der Einbrecher kann nichts mit den Daten anfangen, aber das will Locky auch gar nicht.
Umgekehrt verkompliziert Dein Konzept die schnelle Wiederherstellung aus dem Backup.
Ich würde auf jeden Fall ein zweites Backup von NAS auf eine Backup-NAS oder externe Platte machen. Dort gibt es nur den Zugriff vom NAS-User bzw. das Medium ist ohnehin mit einem Dateisystem, auf dem Windows nicht schreiben kann. Restrisiko: Ein Schädling könnte alle fremden Partitionen plattmachen.
Externe Platten haben den Vorteil, dass man sie irgendwo stromlos in einem anderen Bereich liegen hat, wo sie nicht bei Diebstahl, Vandalismus, Überspannung, Hausdurchsuchung oder Brand mit weg ist.
Wenn die Knete nicht reicht, kannst Du ja das RAID-Array auflösen. Die gespiegelte Platte hilft Dir eh nur gegen Hardware-Defekt.
Eine gewisse Sicherheit hast Du, wenn Du für das Backup einen eigenen User und auf NAS einen für andere User mindestens schreibgeschützten Bereich anlegst. Wichtig ist aber auf jeden Fall, dass Du ein bootbares Grundsystem auf einem USB-Stick oder einer Platte gesichert hast, mit dem Du das System wiederherstellen kannst.
Kann mich an Konstellationen erinnern, bei der das Problem darin bestand, dass man zwar eine aktuelle Sicherung hatte, aber die Systemkonfiguration mit Treibern und Backup nicht mehr auf eine neue Platte bekam, um auf RAID-Array und Sicherung wieder zugreifen zu können.
Ich gestehe, dass es bei mir auch noch aussteht, die Wiederherstellbarkeit meiner Windowspartition zu testen. Allerdings habe ich die relevanten Daten auf mehreren NAS liegen, von denen nur eine permanent am Netz ist.
1 Like
Hallo,
Es war und ist durchaus üblich Daten mehrfach, mit verschiedenen Systemen, zu verschlüsseln.
Dies erhöht aber nur die Sicherheit bezüglich dem Knacken des Codes, nicht diejenige der Daten an sich.
MfG Peter(TOO)