Asustor AS6302T - Chiffrement des données

[Alba]

Bonsoir à tous,
Nouveau sur le forum, je viens d'acheter en occasion un AS6302T pour me faire la main et débuter dans le monde du NAS (j'ai déjà jouer avec OMV mais jamais de façon sérieuse) et je me pose quelques questions (n’hésitez pas à me rabrouer gentiment si les questions sont naïves )

Cela concerne donc le chiffrement volontaire des données proposé par le NAS et le chiffrement involontaire (ransomware).
Au sujet des ransomwares, y a-t-il des points d'attention particuliers, est-ce toujours un sujet d'actualité ?
Je précise que je ne compte pas exposer de services à Internet, uniquement à mon LAN (Pihole...)

Le NAS sera configuré en RAID 1 et les données critiques de celui-ci seront copiées régulièrement sur mes PC fixe et portable.
Sans chiffrement (ici volontaire), que se passe t-il si le NAS meurt, est-ce facile de récupérer l'accès au données (montage d'un des disques sur un PC, nouveau NAS) ?
Dans le cas de données chiffrées volontairement (AES 256-bits sur ce modèle), cela complique-il la récupération des données ou est-ce aussi simple que Windows et Linux qui fournissent une clé de récupération ?

Merci.

 

[Neo974]

Bonjour,

Effectivement, il faut différencier le chiffrement des données volontaire et les ransomware.

Dans le cas des ransomwares, très souvent les données sont définitivement perdues.

Dans le cas du chiffrement volontaires, tu génère une clef d'accès ' un fichier a garder précieusement) ou un code (cela depend des solutions).

En cas de crash du disque, tu doit normalement pouvoir récupérer les données graces a cette clef.


Je déplace ton message dans la section ASUSTOR afin que les habitués de cette marque puissent te donner plus d'informations.

 

[Alba]

Bonjour,

Effectivement, il faut différencier le chiffrement des données volontaire et les ransomware.

Dans le cas des ransomwares, très souvent les données sont définitivement perdues.

Dans le cas du chiffrement volontaires, tu génère une clef d'accès ' un fichier a garder précieusement) ou un code (cela depend des solutions).

En cas de crash du disque, tu doit normalement pouvoir récupérer les données graces a cette clef.


Je déplace ton message dans la section ASUSTOR afin que les habitués de cette marque puissent te donner plus d'informations.

Top, merci !
Évidemment je fais bien la différence entre les deux, je prie pour ne jamais avoir de ransomware mais si ça arrive j'aurais d'autres copies.

 

[Alba]

Petit up
Les experts Asustor auraient-ils des infos ou des recommandations pour cette marque de NAS en particulier ?

Merci.

 

[augerd]

hello,

je ne chiffre pas, mais par contre il y a ici les infos Asustor

jamais utilisé donc aucun retour

Dominique

 

[Alba]

Merci pour le lien.
J'ai vu cette page de doc et d'autres mais je n'ai pas trouvé le paragraphe tout en bas très clair, en ce sens je suis preneur de retours d'expérience de membres qui auraient des Asustor et qui auraient pu répondre plus concrètement à mes interrogations.

 

[galibech]

Merci pour le lien.
J'ai vu cette page de doc et d'autres mais je n'ai pas trouvé le paragraphe tout en bas très clair, en ce sens je suis preneur de retours d'expérience de membres qui auraient des Asustor et qui auraient pu répondre plus concrètement à mes interrogations.

Salut Alba,
Sur mon AS6806T j’ai un répertoire partagé chiffré, et je n’ai pas de problème avec ça (contrairement à d’autres trucs sur ADM5 ). Qu’est-ce qui te pose exactement problème ?

Je précise que je n’ai jamais essayé de récupérer les données d’un répertoire chiffré à partir juste des disques sans l’ADM sur avec lequel il a été créé (je m’appuierais plutôt sur les sauvegardes si je me retrouvais dans ce cas je pense…) donc je ne pourrai pas t’aider sur ce point.

Au passage, je réitère un des gros manque d’ADM selon moi (et je crois comprendre que @Dami1 est d’accord avec ce manque et l’a fait remonter donc ils sont au courant côté Asustor je pense) c’est que si tu utilises un répertoire partagé chiffré, tu vas probablement vouloir faire un backup chiffré également, or ce n’est pas dispo nativement dans ADM donc tu dois utiliser un logiciel non inclu dans les apps Asustor d’ADM, typiquement Duplicati.
J’ai pas essayé l’appli Duplicati du store parce que ce n’est pas une appli directement fournie par Asustor et j’ai donc essayé en docker mais ça créé des problèmes avec les noms de fichier qui utilisent des caractères français…
Cette histoire est vraiment très frustrante.

 

[Alba]

Salut @galibech je n'ai pas encore reçu le NAS, j'espère demain mais il met plus de temps que prévu à arriver.
Ce que je cherchais à savoir c'est comment ça se passe en RAID 1 si le NAS vient à mourir (pas les disques), s'il on peut récupérer les données et si c'est aussi le cas des données de répertoires chiffrés. Peut-être que @Dami1 peut m'éclairer à ce sujet.

tu vas probablement vouloir faire un backup chiffré également

En fait les données importantes sur ce NAS seront des données de mon PC fixe (le NAS n'en serait donc pas la source) copiées également régulièrement sur mon PC portable et occasionnellement sur d'autres supports, tous chiffrés donc je pense ne pas avoir besoin de me soucier de ce détail pour le moment mais peut-être que je manque un détail. Également je n'exclue pas plus tard d'avoir une copie distante pour coller à la méthode 3-2-1.

Enfin pour ce qui est des ransomwares, j'ai lu plusieurs sujets sur le forum et les recos associées (aussi celle dispos sur le site du constructeur) mais pour moi ça reste encore flou, persiste-il un vrai risque ou est-ce plutôt dans le cas d'installations bancales avec le NAS exposé au monde entier ?
Comme je le disais dans mon premier message, je compte héberger quelques services qui dépendront d'internet (Pi-hole, VPN...) mais je prévois de les exposer uniquement en LAN.
Certains auront peut-être d'autres recommandations à faire pour l'installation du NAS ou son utilisation.

 

[galibech]

Ce que je cherchais à savoir c'est comment ça se passe en RAID 1 si le NAS vient à mourir (pas les disques), s'il on peut récupérer les données et si c'est aussi le cas des données de répertoires chiffrés.

Comme je te le disais, je n’ai pas d’expérience sur la récupération de données de répertoires chiffrés.
Je comprends que comme c’est du RAID logiciel, si tu arrives à mettre tes disques sur un Linux (ou autre chose d’ailleurs j’imagine, mais jamais fait aucun des 2 pour être clair) qui supporte ton système de fichier (ext4 ou btrfs), alors tu peux les lire (d’ailleurs en RAID1 je pense qu’un seul des 2 disques te suffirait). En ce qui concerne les répertoires chiffrés, peut-être que si tu connais le mot de passe de chiffrement tu peux aussi les récupérer mais comme je te disais je ne l’ai jamais fait et même théoriquement je ne sais pas si c’est possible. J’espère que quelqu’un qui sait passera dans le coin.

En fait les données importantes sur ce NAS seront des données de mon PC fixe (le NAS n'en serait donc pas la source) copiées également régulièrement sur mon PC portable et occasionnellement sur d'autres supports, tous chiffrés donc je pense ne pas avoir besoin de me soucier de ce détail pour le moment mais peut-être que je manque un détail.

Effectivement dans ton cas, je pense que tu t’en fou de pouvoir faire un backup chiffré depuis le NAS.

Enfin pour ce qui est des ransomwares, j'ai lu plusieurs sujets sur le forum et les recos associées (aussi celle dispos sur le site du constructeur) mais pour moi ça reste encore flou, persiste-il un vrai risque ou est-ce plutôt dans le cas d'installations bancales avec le NAS exposé au monde entier ?

Pour moi, non pas particulièrement. Les recommandations habituelles de sécurité s’appliquent mais pas plus de problème spécifique ADM qu’ailleurs je dirais (tout en espérant qu’ils font des tests de sécurité meilleurs que leurs tests fonctionnels…).

Comme je le disais dans mon premier message, je compte héberger quelques services qui dépendront d'internet (Pi-hole, VPN...) mais je prévois de les exposer uniquement en LAN.

Je t’avoue qu’un VPN exposé uniquement en LAN, j’ai du mal à voir le use case exact mais tu as peut être une situation très spécifique ou bien j’ai raté quelque chose.

Certains auront peut-être d'autres recommandations à faire pour l'installation du NAS ou son utilisation.

C’est un peu vague comme demande mais je te recommande, si tu exposes des services sur Internet (même « indirectement » en redirigeant des ports vers ton NAS - en fait c’est alors très direct…), de bien te renseigner sur les bons patterns de sécurité avant de le faire. Les bonnes pratiques de sécurité seraient trop longues à exposer ici ainsi que les compromis associés mais le net pullule d’articles sur le sujet.

 

[Alba]

Je t’avoue qu’un VPN exposé uniquement en LAN, j’ai du mal à voir le use case exact mais tu as peut être une situation très spécifique ou bien j’ai raté quelque chose.

Non j'ai écrit un peu vite, j'aurais pu ne pas perdre la face et trouver un cas d'usage mais non

C’est un peu vague comme demande mais je te recommande, si tu exposes des services sur Internet (même « indirectement » en redirigeant des ports vers ton NAS - en fait c’est alors très direct…), de bien te renseigner sur les bons patterns de sécurité avant de le faire. Les bonnes pratiques de sécurité seraient trop longues à exposer ici ainsi que les compromis associés mais le net pullule d’articles sur le sujet.

Oui je me doute, c'est plus dans le cas où il y aurait eu LE paramètre à ne pas oublier, LE truc game changer.

Merci pour tes réponses en tout cas.

 

[Alba]

Re @galibech
NAS reçu, j'ai commencé à le configurer et j'ai fait un partage chiffré par contre pour l'option de montage au démarrage du système, si je le coche c'est moins sécurisé non ?

 

[galibech]

Re @galibech
NAS reçu, j'ai commencé à le configurer et j'ai fait un partage chiffré par contre pour l'option de montage au démarrage du système, si je le coche c'est moins sécurisé non ?
Voir la pièce jointe 14007

C’est clair. D’ailleurs j’ai de moins en moins l’impression que je vais pouvoir t’être utile: je pense que tu as bien compris la situation.

En gros, si tu fais ça, n’importe qui qui prend le NAS peut le faire redémarrer et se connecter. En fait le seule cas où ça sert à quelque chose pour moi c’est si quelqu’un récupère un disque avec le dossier sans avoir accès à la partition de l’OS. Bon, après j’imagine que la clef en question est quand même protégée par un truc lié à ton mdp mais je ne suis même pas sûr que ce soit le cas.

Moi ce que je fais c’est que je le remonte à la main à chaque fois que j’en ai besoin ou dans des situations particulières. Pour moi c’est la meilleure optimisation de mon temps mais les situations peuvent évidemment être très différentes.

 

[Alba]

Ok c'est bien ce qu'il me semblait.
Donc j'aurais juste à remonter le partage à chaque reboot du NAS et je le laisserai monté, pour mon usage c'est pas franchement problématique.

D’ailleurs j’ai de moins en moins l’impression que je vais pouvoir t’être utile

Merci d'avoir pris un peu de ton temps pour moi.

J'ai également installé Docker Engine et Portainer, j'ai aucun port ouvert sur ma Livebox, je garderai les services uniquement accessibles au LAN donc ça doit être ok, enfin j'espère