Storage-Systeme: NAS-Server:
Qnap: AES-Verschlüsselung und Support für iSCSI-Geräte für NAS-Server

Normalerweise fallen Firmware-Updates eher unter die Kategorie »Modellpflege«. Nicht so beim NAS-Server TS-509 Pro von Qnap. Die neue Software bringt unter anderem AES-Verschlüsselung mit 256-Bit-Keys sowie Support von bis zu acht iSCSI-Geräten.

Das NAS-Speichersystem (Network-attached Storage) TS-509 Pro von Qnap [1] lässt sich mit bis zu fünf SATA-II-Festplatten im Format 3,5 Zoll bestücken. Wählt der Anwender Modelle mit 1,5 TByte, bedeutet das eine maximale Speicherkapazität von 7,5 TByte.

Durch ein Firmware-Update hat die taiwanesische Firma jetzt den Funktionsumfang des NAS-Systems deutlich erweitert. So lassen sich Daten auf dem Gerät mithilfe von Advanced-Encryption-System (AES) und 256-Bit-Schlüsseln sichern.

Die verschlüsselte Festplatte des Servers muss mittels eines Passworts freigeschaltet werden. Erst dann erhält der Nutzer Zugang zu den Daten. Dies verhindert, dass nicht autorisierte Personen, etwa Aushilfskräfte oder Mitarbeiter von Fremdfirmen Zugang zu den Informationen erhalten. Außerdem sind die Daten auch dann unzugänglich, wenn das Gerät oder Platten gestohlen werden.

Weitere Sicherheitsfunktionen: Bei Systemfehlern erhält der Administrator eine Nachricht via SMS oder E-Mail. Zudem unterstützt der NAS-Server SSL-Sicherheitszertifikate.

Hinzu kommt die Unterstützung von bis zu acht iSCSI-Geräten, die sich an das TS-509 Pro anschließen lassen. Der Administrator kann die zusätzlichen Laufwerke unter anderem dazu nutzen, um das NAS-System als Mail-, Daten- oder Backup-Server zu konfigurieren.

Das TS-509 Pro mit 1,5-TByte-Platten kostet rund 1600 bis 1700 Euro (Straßenpreis). Die Version mit 1-TByte-Modellen kommt auf 1400 bis 1600 Euro (ebenfalls Straßenpreis inklusive Mehrwertsteuer).

NAS, aber sicher: Verschlüsselung durchgetestet

Die NAS-Spezialisten Qnap, Synology und Thecus bieten allesamt komfortable NAS-Server auf Atom-Basis mit großem Funktionsumfang. Die Verschlüsselungsunterstützung variiert jedoch und zeigt Performance-Schwächen.

Netzwerkspeicher der gehobenen Geräteklasse bieten oftmals die Möglichkeit, gespeicherte Daten zu verschlüsseln. Je nach Hersteller werden hier unterschiedliche Ansätze verfolgt, die eine Verschlüsselung entweder auf Partitions- oder Dateiebene erlauben. Da eine solche Funktion das Interesse vieler geschäftlicher Anwender weckt, haben wir uns die Verschlüsselungsfunktionen auf den NAS-Geräten TS459 Pro von Qnap, DS1010+ von Synology und N4200 von Thecus angeschaut.

Beschleunigung durch dedizierte Kryptographie-Einheit?

Die in diesem Test verwendeten NAS-Geräte setzen alle auf das symmetrische Kryptosystem AES (Advanced Encryption Standard) mit einer Schlüssellänge von 256 Bit, das gemeinhin als sehr sicher gilt und sowohl industrieweit als auch von Behörden in verschiedenen Bereichen eingesetzt wird. So ist AES zum Beispiel in den USA für die Verschlüsselung staatlicher Dokumente zugelassen und auch USB-Sticks oder Festplatten verschiedener Hersteller können mit einer Verschlüsselung nach dem AES-Standard aufwarten. Da die Verschlüsselung von Daten einen hohen Rechenaufwand erfordert, finden sich in den letztgenannten Geräten häufig spezielle Prozessoren, die für den Ver- und Entschlüsselungsvorgang zuständig sind. Dies beschleunigt den Kryptographievorgang erheblich.

Wie stark sich eine solche in Hardware implementierte Kryptoraphie-Einheit auf die Geschwindigkeit des Ver- bzw. Entschlüsselungsvorgangs auswirkt demonstriert der Prozessorhersteller Intel eindrucksvoll mit der Prozessorerweiterung AES New Instructions (AES-NI), die unter anderem Einzug in die Core i5 Desktop-Prozessoren mit 32 nm Clarkdale-Kern sowie den überaus teuren Extreme Edition Prozessor Core i7 980X hielten. Nähere Informationen hierzu sowie zur AES-Verschlüsselung lassen sich dem Artikel »Core i5: Clarkdale AES-Verschlüsselung analysiert« entnehmen.

Intel Atom: Leistungseinbußen vorprogrammiert

An diesem Punkt, um wieder auf die NAS-Geräte zurückzukommen, offenbart sich auch einer der größten Nachteile bei der Verschlüsselung von Daten direkt auf dem Netzwerkspeicher. Keines der getesteten Geräte von Synology, Thecus und Qnap verfügt über eine dedizierte Hardware-Kryptographie-Eineit die sowohl für das Ver- als auch das Entschlüsseln zuständig ist. Diese Arbeitslast muss daher vom System-Prozessor erledigt werden, der bei allen drei Geräten in Form eines Intel Atom D510 präsent ist und nicht über die weiter oben erwähnten Intel AES-NI verfügt.

Dieser Dual-Core Prozessor leistet bei der Berechnung von XOR-Operationen für das RAID-System der Netzwerkspeicher zwar recht gute Dienste, was sich teilweise in Datenübertragungsraten im Gigabit-Netzwerk von 100 MB/s und mehr niederschlägt. Es dürfte aber auch klar sein, dass bei der zusätzlichen Durchführung von prozessorintensiven Kryptographie-Berechnungen die Netzwerkperformance leidet. Wie stark sich dies auswirkt und wie die Einrichtung der Verschlüsselung im Detail vorgenommen wird, lesen Sie auf den folgenden Seiten.

Beim Erstellen einer RAID-Konfiguration muss die Option "Encryption" gewählt sowie ein Passwort eingegeben werden.

Thecus weist beim Erstellen einer verschlüsselten Partition darauf hin, dass ein USB-Laufwerk benötigt wird und dieses an einem sicheren Ort aufzubewahren ist. Ein Hinweis auf eine möglicherweise verringerte Datenübertragungsrate durch die Verschlüsselung fehlt hier, ist aber dem PDF-Handbuch zu entnehmen.

Wurde die Verschlüsselungsoption gewählt, muss noch ein Passwort eingegeben werden, anhand dessen die Schlüsseldatei für die Ver- und Entschlüsselung generiert wird.

Nachdem der Vorgang erfolgreich abgeschlossen wurde, weist ein Symbol in Form eines Schlosses darauf hin, dass es sich hier um eine verschlüsselte RAID-Partition handelt.

Wird das Gerät ohne den USB-Datenträger mit der Schlüsseldatei gestartet weist nichts auf das Vorhandensein einer verschlüsselten RAID-Konfiguration hin. Anwender sehen bei einem Blick in die RAID-Optionen auf der Web-Oberfläche lediglich einen profanen Hinweis, dass keine RAID-Konfiguration eingerichtet ist.

Die zur Ver- und Entschlüsselung notwendigen Schlüsseldateien werden auf einem externen Datenträger gespeichert, der an einem sicheren Ort, geschützt vor dem Zugriff Dritter aufbewahrt werden sollte.

Thecus N4200

Thecus positioniert das N4200 als Business-Gerät für den Einsatz in kleinen bis mittleren Unternehmen und verlangt dafür etwa 550 Euro. Käufer können den Netzwerkspeicher mit maximal vier Festplatten ausstatten und in den RAID-Konfigurationen 0, 1, 5, 6 und 10 betreiben. Darüber hinaus besteht die Möglichkeit, das NAS-Gerät per iSCSI in ein bestehendes Speichernetz zu integrieren. Für die nötige Rechenleistung sorgt ein Intel Atom D510 Dual-Core Prozessor. Als Hauptspeicher stehen 1GB DDR2-SDRAM zur Verfügung.


Verschlüsselung einrichten
Wie bei den beiden anderen Geräten im Test erfolgt die Einrichtung der Verschlüsselung bequem über die Web-Oberfläche. Beim Erstellen eines RAID-Arrays kann bei Bedarf die Verschlüsselungsoption aktiviert werden, woraufhin der dem Array zur Verfügung stehende Speicherplatz komplett verschlüsselt wird (Verschlüsselung auf Partitionsebene). Als Passwort für die Verschlüsselung kann eine beliebige Zeichenkette bestehend aus einem bis maximal 16 Zeichen gewählt werden.


Eine kleine Hürde hat Thecus dem Anwender aus Sicherheitsgründen jedoch auferlegt: Damit der Verschlüsselungsvorgang durchgeführt werden kann, muss beim Erstellen einer verschlüsselten RAID-Partition ein externer Datenträger an einer der USB-Schnittstellen des N4200 angeschlossen sein. Auf diesem Datenträger, der in der Praxis meist ein USB-Stick sein dürfte, wird eine Schlüsseldatei gespeichert, die zum Entschlüsseln der eben erstellen Partition notwendig ist.


Neustart nur mit USB-Stick


Sobald der Verschlüsselungsvorgang erfolgreich abgeschlossen wurde, kann der USB-Stick entfernt werden. Thecus empfiehlt, noch eine Kopie des Schlüssels anzufertigen und sowohl USB-Stick als auch die Kopie der Datei an einem sicheren Ort aufzubewahren. Zum erneuten Einsatz kommt der Datenträger wenn das NAS-Gerät neu gestartet wird. Hier muss dann beim Startvorgang bzw. spätestens nach dem Neustart des Netzwerkspeichers der USB-Stick wieder mit dem N4200 verbunden sein, ansonsten kann die verschlüsselte Partition nicht "geöffnet" und im Netzwerk zur Verfügung gestellt werden.


Der USB-Stick wird auch dann benötigt, wenn eine Änderung an der RAID-Konfiguration durch Migration oder durch Erweiterung des Speicherplatzes (Expansion) vorgenommen werden soll. Wurde die Partition erfolgreich eingebunden oder ein RAID-Migration/Expansion durchgeführt, kann der USB-Stick mit dem Schlüssel wieder an einem sicheren Ort aufbewahrt werden.

Qnap TS459 Pro

Auch das Qnap TS459 Pro glänzt mit einem Intel Atom D510 Dual-Core Prozessor, 1 GB DDR2-RAM, iSCSI-Funktionalität sowie vier Festplatteneinschüben, die in den RAID-Modi 0, 1, 5 und 6 betrieben werden können. Das Gerät bietet im regulären Betrieb gute bis sehr gute Datenübertragungsraten, die bei der Übertragung sequenzieller Daten in Abhängigkeit vom RAID-Modus bei etwa 100 MB/s liegen.


Verschlüsselung: Passwort oder Schlüsseldatei


Wie Thecus setzt auch Qnap auf die Verschlüsselung auf Partitionsebene unter Verwendung von Linux-Standardmitteln wie dm-crypt bzw. cryptsetup. Zur Einrichtung muss man allerdings nicht auf die Konsole zurückgreifen, sondern man kann sie bequem über die Web-Oberfläche erledigen. Eine nachträgliche Verschlüsselung von bereits eingerichteten RAID-Partitionen ist auch hier nicht möglich, weshalb die entsprechenden Optionen ebenfalls schon bei der Einrichtung gewählt werden müssen.

Der Einrichtungsvorgang weist große Parallelen zur Aktivierung der Verschlüsselung auf wie wir es bereits beim NAS-Gerät von Thecus gesehen haben.

Bei der Erstellung eines RAID-Arrays muss die Verschlüsselungsfunktion aktiviert sowie ein Passwort vergeben werden. Die Option "Save Encryption Key" speichert das Passwort auf das NAS-Gerät, was zur Folge hat, dass eine verschlüsselte Partition nach einem Neustart automatisch "geöffnet" und in die Systemkonfiguration eingebunden wird. Wer darin eine potenzielle Schwachstelle sieht, die eine Verschlüsselung ad absurdum führt, der deaktiviert diese Option, muss dann allerdings nach einem Neustart des NAS-Geräts die verschlüsselte Partition über die Web-Administrationsoberfläche durch Eingabe des Passworts manuell freischalten.

Das Gerät von Qnap besteht darauf, dass das Passwort aus mindestens acht und maximal 16 Zeichen besteht.

Zum Schluss noch die obligatorische Warnung, dass nach Bestätigung des Vorgangs alle Daten auf den Festplatten gelöscht werden.

Nachdem das verschlüsselte RAID-Array erstellt wurde, können Veränderungen an der Verschlüsselungskonfiguration über den Menüpunkt "Encrypted File Systems" vorgenommen werden. Hier ist es zum Beispiel möglich einen gespeicherten Schlüssel aus der Konfiguration zu löschen oder das Passwort eines verschlüsselten RAID-Arrays zu ändern.

Wurde das Verschlüsselungspasswort nicht gespeichert, dann muss die Eingabe manuell über die Web-Oberfläche erfolgen. Alternativ lässt sich die Freigabe auch über die Schlüsseldatei bewerkstelligen.

Synology DS1010+

Im Gegensatz zu Qnap und Thecus baut Synology beim DS1010+, das ebenfalls mit einem Intel Atom D510 Dual-Core Prozessor und 1 GB DDR2-RAM aufwarten kann, nicht auf eine Verschlüsselung auf Partitionsebene, sondern verschlüsselt sensible Daten auf Dateiebene. Realisiert wird dies mit eCryptfs, das in seiner Funktionsweise ein wenig an das populäre TrueCrypt erinnert. Mit eCryptfs wird quasi ein Container angelegt, dessen Größe dynamisch wachsen oder schrumpfen kann. Die in diesem Container gespeicherten Dateien werden einzeln verschlüsselt, wobei die Informationen zur Verschlüsselung im Header der Datei abgelegt werden, der selbst unverschlüsselt bleibt. Wie solch ein Container angelegt wird und welche Informationen einem derart verschlüsselten Ordner direkt auf der Linux-Konsole entlockt werden können, sehen wir auf den folgenden Screenshots:

Da Synology auf eCryptfs setzt muss die Konfiguration des RAID-Arrays bereits abgeschlossen sein. Die Einrichtung der Verschlüsselung kann im Zuge der Erstellung einer Ordnerfreigabe auf dem NAS-Gerät erfolgen wobei auch die Verschlüsselung bereits bestehender Ordner mögllich ist.

Bereits beim Anlegen einer neuen Ordnerfreigabe bietet die Web-Oberfläche den Menüpunkt "Encrypt this shared folder". Ist dieser ausgewählt muss noch eine Zeichenkette eingegeben werden, anhand derer die Dateien verschlüsselt werden. Diese Zeichenkette muss aus mindesten 8 Zeichen bestehen.

Wird der Menüpunkt "Mount automatically on startup" ausgewählt, wird die Zeichenkette auf dem NAS-Gerät gespeichert. Diese Option ermöglicht das automatische Einhängen des verschlüsselten Ordners nach einem Neustart des Geräts. Doch wie schon beim Gerät von Qnap gilt hinsichtlich dieser Funktion: Wer auf Nummer sicher gehen will, nimmt hiervon Abstand.

Auch hier wieder der obligatorische Hinweis, den Schlüssel zu speichern, da im Falle eines Verlusts die Daten nicht mehr entschlüsselt werden können. Zudem wird darauf hingewiesen, dass es zu Leistungseinbußen durch die Verschlüsselung kommen kann und der Ordner nicht per NFS zur Verfügung steht.

Wird der Vorgang bestätigt, steht der verschlüsselte Ordner nach wenigen Sekunden zur Verfügung und der automatische Download der Schlüsseldatei, die aus der eingegebenen Zeichenkette generiert wurde, wird gestartet.

Wurde auf die Speicherung des Verschlüsselungspasswort auf dem NAS-Gerät verzichtet, kann der Ordner nach einem Neustart des NAS-Geräts über die Administrationsoberfläche entweder durch die Eingabe der Zeichenkette oder anhand der heruntergeladenen Schlüsseldatei erfolgen.

Ist der verschlüsselte Ordner nicht via eCryptfs ins Dateisystem eingehängt, erhalten neugierige Anwender bei einem Blick auf der Linux-Konsole bei der Anzeige des Ordnerinhalt nur nichtssagende Zeichenketten. Nach dem Einhängen des eCryptfs-Containers mit dem entsprechenden Schlüssel stehen die Dateien auch auf der Konsole wie gewohnt zur Verfügung.

NAS mit Hardware-Verschlüsselung

Synology stellt mit der 'DiskStation DS410' einen neuen NAS-Server mit vier Festplatteneinschüben vor. Die Speicher-Box verfügt über eine Hardware-basierte Verschlüsselung, was den Prozessor des Geräts deutlich entlasten soll. Zudem will der Hersteller mit schnellen Transferraten punkten.

Ausgerüstet ist die "DiskStation DS410" von Synology [1] mit einem 1,06 GHz-Prozessor mit FPU, einem 64 Bit-Memory-Bus und 533 MByte RAM. In Windows-Umgebungen soll die Station auf eine durchschnittliche Lesegeschwindigkeit von 115 MByte/s kommen, beim Schreiben gibt der Hersteller 54 MByte/s an. Weiterhin verfügt das Gerät über einen 1 GByte-LAN Port, zwei USB 2.0-Anschlüsse und eine eSATA-Schnittstelle. Für die Verschlüsselung von Dateien kommt eine Hardware-basierte AES 256-Bit-Codierung zum Einsatz. Diese soll im Vergleich zu einer Software-gestützten Verschlüsselung für eine bis zu 200 Prozent höhere Lesegeschwindigkeiten sorgen.

Betrieben wird der NAS-Speicher von der Firmware "DiskStation Manager 2.3", die diverse Backup-Optionen sowie das Synology Hybrid Raid (SHR) zur Verfügung stellt. Letzteres soll die RAID-Konfiguration erheblich erleichtert und die Auslastung des Speicherplatzes auf den Festplatten optimiert, falls Festplatten unterschiedlicher Größe installiert werden. Funktionen wie Wake-on-LAN/WAN, programmierbares Ein- und Ausschalten und der Festplatten-Ruhemodus runden den Funktionsumfang der DiskStation ab. Das Gerät ist ab sofort zu einem Preis von rund 450 Euro erhältlich.


Weitere Infos:

[1] www.synology.com/deu/

QNAP TS-439 Pro ist das neueste, mit vier Einschüben ausgestattete Modell der international ausgezeichneten Turbo NAS-Serie, mit überragender Leistung zur Übermittlung riesiger Datenmengen, leistungsstarken integrierten Business-Server-Funktionen, fortschrittlichem RAID-Datenschutz, eingebautem iSCSI-Targetservice, volumenbasierter 256-Bit-AES-Verschlüsselung und einer hochsoliden Hot-Swap-fähigen Festplattenauslegung für Unternehmen.

Durch seine Intel 1,6 GHz-CPU und 1 GB DDRII-Speicher bietet der TS-439 Pro überragende Leistung für eine Vielzahl geschäftlicher Anwendungen Erweiterte RAID-Konfigurationen wie RAID 0/ 1/ 5/ 6/ 5 + Spare sowie JBOD, Online-RAID-Kapazitätserweiterung sowie Online-RAID-Stufenmigration werden allesamt unterstützt.