Problema backup esterni criptati

Gestore archiviazione, problemi HDD e configurazioni RAID/iSCSI
chessplayer00
Utente
Utente
Messaggi: 3
Iscritto il: sabato 8 febbraio 2020, 18:23

Problema backup esterni criptati

Messaggio da chessplayer00 »

Buongiorno, spero sia la sezione giusta. Ho due problemi, uno immediato e uno nel medio termine.

1-Backup esterni criptati
Per motivi di sicurezza voglio iniziare a fare dei backup su disco esterno di alcune cartelle sensibili presenti sul NAS (modello DS413 processore Freescale 1Ghz dual core), per un totale di circa 400Gb di dati. I backup saranno eseguiti su due dischi, il disco A verrà tenuto sempre in casa, il disco B verrà portato in ufficio, così da non perdere nulla in caso di problemi gravi. Per i dati più critici è previsto un terzo backup in cloud.

Problema, sia con HyperBackup che con USB Copy i backup non vengono criptati. Quindi, se dovessi perdere il disco fisso, o dovesse essere rubato, tutti i dati sarebbero in chiaro. L'opzione che ho trovato è usare un disco con criptazione hardware, che si sblocca inserendo un pin direttamente sul "case" e che viene poi riconosciuto come normale disco esterno dal PC e NAS.

La domanda è: posso eseguire, in qualche modo, dei backup criptati sul disco esterno senza incorrere in questo espediente? Possibile che Synology, che di lavoro mette al sicuro i dati, non abbia pensato a questa opzione? Immagino sia per la poteza computazionale necessaria nel criptare i dati durante il backup, ma magari sono semplicemente io che non trovo l'opzione.

2-Criptare il NAS
A memoria non ho mai criptato il NAS, che adesso contiene qualche TB di dati, però vorrei farlo, in quanto se qualcuno dovesse rubarlo non avrei piacere potesse accedere a tutti i dati in chiaro. Non ho però trovato l'opzione da nessuna parte per fare questo lavoro, o meglio, l'ho trovata in HyperBackup, ma come potete vedere qui non è possibile abilitarlo: http://bit.ly/38m1uNf
Avete una soluzione a questo problema?

Grazie a tutti per la risposta
Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1962
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: Problema backup esterni criptati

Messaggio da dMajo »

Il NAS supporta le cartelle criptate. Nel abilitare la crittografia puoi usare una psw e/o un certificato con annessa chiave.

La cartella così creata risiede fisicamente sul disco del NAS solo nella sua forma crittografata. Quando montata ne viene creata una virtuale(gemella) con i dati in chiaro perché l'utente possa accedervi. Il SO decodifica al volo l'informazione presente sul disco e letta attraverso la cartella virtuale e ne codifica il contenuto, con il percorso inverso quando nella cartella virtuale si scrive. Tutto questo avviene trasparentemente all'utente.

Tale cartella NON deve essere montata automaticamente, ma all'occorenza (e eventualmente rifatta dopo ogni reset/riavvio del NAS) manualmente, usando il certificato e/o la pws generati al momento della prima creazione. Se i dati sono particolarmente sensibili la cartella virtuale (de-crittografata) può eventualmente essere rismontata dopo l'utilizzo e rimontata la prossima volta si renda necessario accedervi.
Tale cartella, quando montata, non protegge da in accesso improprio da eventuali hacker in quanto risulterà visibile in chiaro anche a loro se hanno gli opportuni diritti d'accesso (ACL) lettura-scrittura a seconda dell'account del NAS che hanno violato.
Lo scopo di tale crittografia è proteggere il contenuto in caso di furto del NAS e/o di uno dei dischi. In fatti nel rubare il NAS verrà giocoforza spento e alla successiva riaccensione, senza il certificato la cartella non potrà esser rimontata(decrittografata). Lo stesso dicasi per furto del disco che, se inserito in altro NAS e/o PC, presenterà i dati fisici solo nella forma crittografata.
Il certificato non fa quindi tenuto sul NAS stesso ma una o più chiavette USB (o smartphone) da dove verrà selezionato durante l'operazione di montaggio.

La crittografia di una cartella va selezionata alla creazione. Puoi quindi creare una nuova cartella crittografata e poi spostarvi dentro i dati che ti interessa proteggere. L' accesso ai dati crittografati risulta più lento in quanto il sistema automaticamente e continuamente li crittografa e decrittografa al volo durante i vari accessi. E' in lavoro che grava sulla CPU e l'effettiva perdita di prestazioni (solo per la cartella crittografata) dipende dal modello di NAS quindi dalla potenza della sua CPU. Andrebbero perciò crittografati solo i dati sensibili/personali e non musica/film e/o altri contenuti generici ovunque reperibili.



Questo risponde ad entrambe le tue domande in quanto i vari backup, faranno esclusivamente la copia della cartella fisica del disco ovvero quella con i dati crittografati. Quindi seppure i dati backuppati sono generalmente visibili in chiaro quelli crittografati non lo saranno in quanto erano già illeggibili all'origine, prima di effettuarne la copia.
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M) :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
    • RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
    • DS1513+(4GB); DS115j
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E5: NET9 PC:W9,M0,L6

www.alldataee.com
chessplayer00
Utente
Utente
Messaggi: 3
Iscritto il: sabato 8 febbraio 2020, 18:23

Re: Problema backup esterni criptati

Messaggio da chessplayer00 »

Ti ringrazio della risposta, mi sembra il sistema di Synology sia piuttosto macchinoso, ho fatto un paio di prove e penso di aver capito il giro che fa. Approfitto della tua gentilezza per un paio di domande inerenti quello che mi hai scritto:
Quando montata ne viene creata una virtuale(gemella) con i dati in chiaro perché l'utente possa accedervi.
Questo vuol dire che, se creo una cartella contenente 100Gb di dati e la monto, il Synology ne crea una copia in chiaro su cui io lavoro e che poi sincronizza con quella criptata quando smonto l'unità? Mi pare molto strano, principalmente perché:
  • Diventa impossibile lavorare su cartelle corpose
  • Bisogna avere sempre spazio libero sul NAS sufficiente a copiare la cartella su cui si vuole lavorare
o con copia virtuale intendi che vengono messi in chiaro i nomi dei file che vengono decriptati se copiati su computer/aperti da applicazioni? Rimane comunque un'operazione lenta in caso di file di grandi dimensioni (anche perché il lavoro se lo deve fare il NAS che non è iper performante) ma comunque meglio della prima teoria.
Tale cartella NON deve essere montata automaticamente, ma all'occorenza
Perché no? Non ho approfondito come funzioni il montaggio automatico, riesci a darmi qualche info?
Se non faccio montare in automatico l'utente deve:
  • Ricordarsi ogni volta di entrare in amministrazione e montare la cartella
  • Ricordarsi ogni volta di entrare in amministrazione e smontare la cartella quando finito di lavorare
Mi pare poco probabile come modalità di lavoro...
Tale cartella, quando montata, non protegge da in accesso improprio da eventuali hacker
Ok mi pare chiaro che se montata si accessibile a chiunque abbia accesso ad un pc/account collegato al NAS con le giuste credenziali
Lo scopo di tale crittografia è proteggere il contenuto in caso di furto del NAS e/o di uno dei dischi.
Per questo mi pare utile montare automaticamente le cartelle criptate, dato che questo sistema è più utile in caso di furto che in modalità operativa, anche per via della laboriosità nel montare le cartelle.
i vari backup, faranno esclusivamente la copia della cartella fisica del disco ovvero quella con i dati crittografati.
Ho notato però che Hyper Backup permette di effettuare la copia solo delle cartelle criptate montate, proponendo di effettuare la cifratura lato client. Anche se dalle prime prove mi sembra che comunque i file copiati siano criptati (quindi la cifratura lato client creerebbe una copia criptata due volte... non ha molto senso).
Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1962
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: Problema backup esterni criptati

Messaggio da dMajo »

La cartella virtuale è logica, non fisica, come fosse un alias.
La cartella fisica è nascosta e non visibile dalla file station (o accesso SMB da PC). Se non montata con SMB non la vedi proprio mentre dalla file station il suo alias logico viene rappresentato con un lucchetto chiuso ad indicare che non può esser accessa. La cartella fisica (reale, quella con il contenuto sempre cifrato) ha un nome leggermente diverso e per vederla/accedervi (comunque sempre in forma cifrata) devi accedere al nas dalla consolle (SSH o telnet) con l'account root.

La crittografia/decrittografia avviene al volo quando accedi alla cartella virtuale in scrittura/lettura. Non vi è mai, in alcun posto sul disco la versione in chiaro del file. Lo storage utilizzato quindi non raddoppia bensì al volo la CPU decodifica i dati nel transito fra disco fisico del NAS e ad esempio scheda di rete se vi stai accedendo da PC via SMB. E si, l'accesso ovvero il transfer-rate, a seconda del modello del nas, può rallentare in quanto è la CPU che ha l'onere di cifrare e decifrare i dati e se sprovvista di accelerazione hardware come nei modelli inferiori può esser notevole. Ad esempio potresti perdere anche il 50% della velocità di lettura/scrittura. Su NAS con CPU "buone" dotate di acceleratore AES HW la penalizzazione è meno rilevante, a volte trascurabile, però pur sempre presente.

Si, andrebbe montata manualmente dopo ogni riavvio del NAS (ti ricordo che un NAS nasce per rimanere acceso 24/7 e protetto da UPS). Se a fine utilizzo la smonti ovviamente anche prima del successivo utilizzo la devi rimontare. Se montata automaticamente non svolge più il compito prefissato. Il montaggio automatico semmai proteggerebbe solo il furto del singolo disco (di un eventuale rackstation che non ha gli slot con chiave e uno non può mettersi l'intero NAS (fissato al rack 19") in tasca. Con un NAS a 2/4 baie uno si prende tutto il NAS e addio protezione in caso di montaggio automatico (a casa del ladro all'accensione i dati sarebbero automaticamente in chiaro).
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M) :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
    • RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
    • DS1513+(4GB); DS115j
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E5: NET9 PC:W9,M0,L6

www.alldataee.com
chessplayer00
Utente
Utente
Messaggi: 3
Iscritto il: sabato 8 febbraio 2020, 18:23

Re: Problema backup esterni criptati

Messaggio da chessplayer00 »

Grazie mille per le risposte, adesso mi è tutto chiaro, incluso il significato di "Montaggio automatico" delle cartelle criptate :mrgreen: .
Ti chiedo una cosa, prima che io mi metta a fare mille prove. Se eseguo un backup automatico delle cartelle criptate (montate) tramite USB Copy o Hyper Backup, questo rimane criptato? E per recuperarlo devo passare da un altro Synology?
Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1962
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: Problema backup esterni criptati

Messaggio da dMajo »

Il backup (es. hyper backup) di più cartelle conterrà tutte le cartelle in chiaro tranne quelle criptate che lo rimarranno in quanto come già detto copia i dati sorgente così come li trova.
Il ripristino può esser fatto su questo o altro nas, come per i backup normali. Verrà ovviamente ripristinata la cartella nel suo stato criptato e dovrai avere il certificato/psw per decriptarne il contenuto ovvero montarla
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M) :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
    • RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
    • DS1513+(4GB); DS115j
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E5: NET9 PC:W9,M0,L6

www.alldataee.com
AleROMA79
Utente
Utente
Messaggi: 356
Iscritto il: martedì 23 dicembre 2014, 19:15

Re: Problema backup esterni criptati

Messaggio da AleROMA79 »

Ciao mi aggiungo alla discussione per chiedere una cosa, vorrei mettere in sicurezza i miei dati e criptarli in modo che nessuno possa leggerli senza password se viene in possesso dei dischi.

Sarebbe meglio agire a livello di volume o della cartella?
Quindi criptare l’intero volume o solo la cartella condivisa?

Grazie
UPS: APC Back-UPS 700 VA, 230 V, AVR, prese Schuko (BX700U-GR)
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
burghy86
Moderatore
Moderatore
Messaggi: 11358
Iscritto il: martedì 11 settembre 2012, 18:59

Re: Problema backup esterni criptati

Messaggio da burghy86 »

Dipende se tutto dentro il tuo nas deve essere criptato o solo certe cose. La musica e le serie tv vanno criptate? Allora lo fai sul volume. Se invece non vanno criptici solo dati e foto.

Ricorda che i nas non prestanti rallentano con il cript attivo
NUOVO CANALE DISCORD
PARTECIPATE NUMEROSI:

https://discord.gg/McP3d4m2pG



Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio

siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
  • UPS: apc
  • GTW: fritzbox o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
  • SWC: hp gigabit 8 porte with poe
  • NAS: ds213, ds213j, ds415+ 720+ dmv dal 6.2 alla 7. qnap ts212p ts22, all hd con wdred/ironwolf da 2/6tb
  • CLI: win 10, win11 e ubuntu
    [altro]
  • 3 smartphone android, lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3
AleROMA79
Utente
Utente
Messaggi: 356
Iscritto il: martedì 23 dicembre 2014, 19:15

Re: Problema backup esterni criptati

Messaggio da AleROMA79 »

vorrei criptare tutto il disco, come faccio a fare l'intero disco o l'intero volume?
o trovato solo il modo di criptare la "cartella condivisa" ma non l'intero disco o volume.

Io ho un DS216+II pensi possa andar bene come prestazioni?

grazie mille per le risposte
UPS: APC Back-UPS 700 VA, 230 V, AVR, prese Schuko (BX700U-GR)
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
burghy86
Moderatore
Moderatore
Messaggi: 11358
Iscritto il: martedì 11 settembre 2012, 18:59

Re: Problema backup esterni criptati

Messaggio da burghy86 »

Mi piacciono le domande trabocchetto..

Cripti tutte le cartelle condivise.
NUOVO CANALE DISCORD
PARTECIPATE NUMEROSI:

https://discord.gg/McP3d4m2pG



Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio

siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
  • UPS: apc
  • GTW: fritzbox o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
  • SWC: hp gigabit 8 porte with poe
  • NAS: ds213, ds213j, ds415+ 720+ dmv dal 6.2 alla 7. qnap ts212p ts22, all hd con wdred/ironwolf da 2/6tb
  • CLI: win 10, win11 e ubuntu
    [altro]
  • 3 smartphone android, lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3
Rispondi

Torna a “Storage (HDD, RAID, SHR, iSCSI, SSD e Cache)”