Anmelden mit
Registrieren | Anmelden

Fazit

NAS, aber sicher: Verschlüsselung durchgetestet
Von

Die für diesen Test herangezogenen NAS-Geräte sind allesamt für den Betrieb im gewerblichen Umfeld ausgelegt, was sich in gewisser Weise auch in den Preisen niederschlägt. Für das Thecus N4200 sind etwa 550 Euro fällig und für das Synology DS1010+ sowie das Qnap TS459 Pro muss man etwa 700 Euro auf die Ladentheke legen.

Viel Geld, das hier den Besitzer wechselt, und in vielen Fällen die Erwartung weckt, dass die dem NAS-Gerät anvertrauten Daten auch wirklich sicher sind. Dieser Punkt trifft im Sinne des Datenerhalts bei Ausfall einer Festplatte auch voll zu. Die Geräte bieten diverse RAID-Modi und Backup-Funktionen, die, sinnvoll angewendet, einem Datenverlust vorbeugen bzw. diesen verhindern können.

Datenverlust durch Diebstahl

Der Datenverlust kann allerdings auch auf andere Weise als durch den Defekt einer oder mehrerer Festplatten entstehen - zum Beispiel durch Diebstahl einer Festplatte oder auch des gesamten NAS-Geräts. Solch ein Szenario ist denkbar, wenn das NAS-Gerät im gewerblichen Umfeld wie zum Beispiel im Einzelhandel oder einer Arztpraxis eingesetzt und dabei an einem Ort aufgestellt wird, der hochfrequentiert und leicht zugänglich ist, weil es die örtlichen Gegebenheiten womöglich nicht anders zulassen. Die NAS-Geräte von Thecus, Qnap und Synology selbst können zwar mit einem Kensington-Schloss festgekettet werden, bei einem Einbruch dürfte solch ein Schloss für Diebe jedoch keine allzu große Herausforderung sein.

Ähnlich bei den einzelnen Festplatten: Die Hersteller Thecus und Qnap haben dem N4200 bzw. TS-459 Pro abschließbare Festplatteneinschübe spendiert, ein beherzter Ruck mit einem geschickt angesetzten Schraubendreher dürfte jedoch dazu führen, dass die Festplatten nicht ohne Schaden am Gehäuse zu hinterlassen entfernt werden können. Die Festplatten im DS1010+ von Synology könnte sogar jeder im Vorbeilaufen mitnehmen. Abschließbare Festplatteneinschübe sind hier gar nicht vorhanden.

Verschlüsselung schützt vor Blicken dritter...

Sollte das NAS-Gerät oder die Festplatten gestohlen worden sein, ist der sicherste Schutz der Daten vor den Blicken dritter die Verschlüsselung des Festplatteninhalts. Die Hersteller bedienen sich hierfür Werkzeuge, die jedem eingefleischten Linux-Anwender seit Jahren bekannt sind und in der Praxis schon häufig eingesetzt wurden und erprobt sind. Thecus und Qnap wenden auf ihren NAS-Geräten die Verschlüsselung der kompletten Partition an, während es der Hersteller Synology seinen Anwendern erlaubt, lediglich einzelne Ordner zu verschlüsseln.

... auf Kosten der Performance

Hinsichtlich der Performance gibt es hierbei keine allzu großen Unterschiede. Alle Geräte verzeichnen erhebliche Performance-Einbrüche bei aktivierter Verschlüsselung. Die Datenübertragungsraten der drei Kandidaten liegen in vielen Benchmarks auf einem ähnlichen Niveau, wobei in ein paar Bereichen das N4200 von Thecus etwas bessere Werte als die Konkurrenz bietet. Dennoch bleibt festzustellen, dass der Bereich der Verschlüsselung für die Hersteller noch viel Luft für Verbesserungen bietet. Die Implementierung einer dedizierten Hardware-Crypto-Einheit kann sich auf die Datenübertragungsraten nur positiv auswirken. Intels Atom D510 Prozessor bietet zwar gute Performance für den Alltagsbetrieb, er ist mit den Berechnungen für die Verschlüsselung jedoch einfach überfordert - was sich unterm Strich auf die Datenübertragungsraten auswirkt.

Handhabung und Flexibilität

Hinsichtlich der Handhabung der Verschlüsselung ist Thecus der Hersteller, der das aufwändigste Konzept vorhält. Zum Freischalten einer verschlüsselten Partition muss ein externer Datenträger mit dem N4200 verbunden sein, der dann im laufenden Betrieb wieder entfernt und an einem sicheren Ort aufbewahrt werden kann und auch sollte. 

Der von Qnap angebotene Umgang mit verschlüsselten Partitionen ist ebenfalls solide und gibt keinen Grund zur Beanstandung. Synology bietet mit der Verschlüsselung einzelner Ordner die flexibelste Lösung. Währen bei der von Thecus und Qnap implementierten Verschlüsselung der Partition der Speicherplatz von vorneherein fest Zugewiesen werden muss, kann der verschlüsselte Datenbestand auf dem DS1010+ dynamisch wachsen. Der Vorteil ist hierbei, dass die wichtigsten Ordner selektiv verschlüsselt werden können ohne großen Aufwand bei der Verwaltung der RAID-Partitionen zu betreiben, alle anderen Freigaben von den Performance-Einbußen durch die Verschlüsselung jedoch nicht betroffen sind. Zudem lassen sich auch bereits bestehende Ordner noch nachträglich verschlüsseln.

Was man bei allen drei Geräten aus Sicherheitsgründen jedoch keinesfalls machen sollte, ist, die Zeichenkette zum Entschlüsseln der Partition bzw. Ordner auf dem NAS-Gerät zu speichern. Sicherheit ist immer mit etwas Aufwand verbunden und man sollte sich auch hier besser dem Umstand stellen, das Passwort für die verschlüsselten Laufwerke oder Ordner nach einem Neustart manuell einzugeben. Allzu oft dürfte dies bei einem Produktivsystem ohnehin nicht vorkommen.

Experten im Forum befragen

Zu diesem Thema einen neuen Thread im Forum Artikel erstellen.

Beispiel: Notebook, Festplatte, Speicher

Alle 8 Kommentare anzeigen.
Auf dieser Seiten können keine Kommentare mehr abgegeben werden
Sortieren nach: Neueste zuerst | Älteste zuerst
  • marcolb , 8. Juli 2010 08:28
    Mit Sicherheit langsam ;-)
  • lrlr , 8. Juli 2010 09:31
    nicht vergessen sollte man, dass durch verschlüsseltes speichern, die daten nicht automatisch "sicher" sind...

    sondern nur gegen (physikalischen) Diebstahl geschützt..

    über das netzwerk (samba, ftp usw. ) werden die daten weiterhin unverschlüsselt gesendet...

    die frage ist dann noch, ob man das backup von diesen daten auch verschlüsselt speichert (vorteil: "sicher", nachteil: sicher weg, wenn man den key verliert oder derjenige der in weiß, z.b. stirbt...)

  • Anonymous , 8. Juli 2010 11:45
    Hmmm komisch... Da liefert mein Sambaserver aber bessere Werte und das bei einem P3 800 Mhz und 512 MB Ram. Eingebunden ist eine 1 TB Platte Platte (ohne Raid) mit AES-256 Bit Verschlüsselung, 64 stelligem PW und einem 512 Byte großem Keyfile erstellt mit Truecrypt und ich komme im schnitt über die 25 MB/s. Als OS dient Debian Sarge. Vermutlich liegen die Performance-Einbrüche an dem "Fake Raid". Ist auch sehr schön den Graphiken zu entnehmen. Danke für den Test
  • Anonymous , 9. Juli 2010 11:34
    Schöner und sachlicher Test. Vielen Dank.

    "Die Implementierung einer dedizierten Hardware-Crypto-Einheit kann sich auf die Datenübertragungsraten nur positiv auswirken."

    Testet doch mal von Synology die DS210+, denn die hat genau den Crypto-Chip der die Sache hoffentlich schneller macht.
  • Anonymous , 2. August 2010 14:35
    Hi
    Ich hab ein Improvisiertes NAS win7 mit truecrypt verschlüsselt auf Einem POV Intel d510 Mainboard und 2gb ram.
    und komme beim Truecrypt benchmark schon auf 65MB/s
    Das Mainbord und der Ram kosteten bloß 125€ gehäuse, Netzteil und FP hatte ich schon.

    Ich denke das bei diesen fertig Nas noch n wurm in der verschlüsselung ist. Und ichso wesentlich leistungsfähiger bin.
  • nureinleser , 29. Januar 2012 21:05
    Der in TrueCrypt eingebaute Benchmark liefert doch nur die Performance des Algorithmus... alles im RAM... da bleibt die Disk-Performance komplett außen vor.
    Somit glaube ich, dass die 65MB/s nicht besonders gut mit den Testergebnissen hier vergleichbar sind.
    (nichtsdestotrotz finde ich die Rate der NAS Geräte auch leider ein bissel lahm...)
  • jk-concept , 7. Februar 2012 10:03
    Meiner Meinung nach sollte der Artikel auch auf softwarebasierte Lösungen hinweisen.
    Der Einsatz einer Containerverschlüsselung (so wie bspw. Truecrypt) ist oft unpraktisch, da stets nur ein Nutzer gleichzeitig auf den Container zugreifen kann.
    Abhilfe schaffen Verschlüsselungstechnologien, die transparent einzelne Dateien auf Netzlaufwerksebene verschlüsseln. Auf dem Weg vom Client zum Server (in diesem Falle NAS) sind die Daten dabei bereits verschlüsselt.

    Ich weiße auf diese Möglichkeit der Verschlüsselung hin, da wir einige Lösung getestet haben. In vielen Fällen sind sie praktischer als Container oder komplette Festplattenverschlüsselungen.

    Ein weiterer Vorteil ist, dass der Systemadministrator nicht zwingend in der Lage sein muss die Dateien zu entschlüsseln. Jedoch kann er weiterhin seinen Dienst tun: Die Daten verwalten und sichern. Die Verwaltung des Zugriffs auf die verschlüsselten Dateien verbleibt beim "Eigentümer" (Bspw. Vorstand usw.). Weiterhin lassen sich einige Lösungen mit Cryptotoken oder USB-Stick erweitern.

    Beispiele hierfür wären:
    SECURSTAR - ShareCrypt - www.securstar.de
    Digitronic - Crypted Group Share - www.digitronic.net
    HiCrypt - www.hicrypt.de
  • undkonsorten , 16. Februar 2013 11:26
    Wir haben es ein verschlüsseltes NAS mit Ubuntu aufgesetzt:
    http://blog.undkonsorten.com/nas-ubuntu-luks-zfs-raid-verschluesselt