Synology - Conocimientos básicos del cifrado en DSM

Rubén Castro, 15 septiembre 2023

Synology es un fabricante de dispositivos NAS que se caracterizan por tener un buen ecosistema de software, sin embargo, en lo que respecta al cifrado, siempre ha tenido algunas carencias. En este artículo, vamos a ver cómo funciona el cifrado en el sistema operativo DSM de Synology.

¿Qué se puede cifrar y qué no?

Sólo se pueden cifrar carpetas. Es una de las principales limitaciones de Synology. No podemos cifrar las unidades enteras o los volúmenes.

Desde el punto de vista de los expertos, Synology debería usar LUKS, tener almacenamiento SSD separado para las unidades de arranque (para que el sistema operativo no se almacene en todas las unidades de datos), y eso solucionaría la mayoría de los problemas.

En lugar de eso, utilizan una implementación de ecryptfs que tiene limitaciones importantes en el nombre de los archivos y hace que las cosas sean complicadas a la hora de arrancar, transferir datos, etc. Porque necesitas tener claves separadas para cada carpeta encriptada en lugar de una para todo el sistema de archivos.

Además, para los usuarios profesionales, Synology limita sus NAS a volúmenes de 108 TB, a menos que compres una unidad XS o RS (que siguen teniendo un hardware extremadamente marginal), en cuyo caso puedes pasar a una limitación de volúmenes de 200 TB. Si quieres ir más allá de un volumen de 200 TB, tienes que usar su sistema que no permite el uso de ecryptfs, por lo que no hay cifrado.

Cifrado en carpetas compartidas (Shared Folder)

Synology admite la posibilidad de cifrar carpetas locales, lo que se consigue fácilmente protegiendo la carpeta con una contraseña o con un archivo de clave.

El problema es que cuando el NAS se reinicia este volumen cifrado no se puede montar automáticamente porque el NAS no conoce ni almacena la frase de contraseña…

Si quieres asegurarte de que el NAS tiene acceso a las claves para descifrar las unidades cifradas en el arranque, puedes utilizar el gestor de claves de Synology (Synology Key Manager). Este debe estar en un lugar seguro y existen dos opciones:

  • Partición del sistema en el NAS
  • Unidad USB externa

Hay que tener en cuenta algunas cosas a la hora de elegir. En primer lugar, la partición del sistema forma parte del propio NAS. Esto significa que, si el dispositivo es robado o dañado, las claves también se pierden.

Synology señala esto en la documentación: “Por motivos de seguridad y gestión, es más seguro almacenar el archivo cifrado y la clave correspondiente en dispositivos diferentes”.

Así que lo mejor es que la clave esté en una unidad USB externa. Esto tiene otras ventajas que podemos ver en el siguiente cuadro:

Partición del sistemaAlmacenamiento USB
¿Las claves se guardan lejos de los datos cifrados?No
Cifrado utilizado para proteger la claveSólo ID de máquinaFrase de contraseña o ID de máquina
¿Es posible el montaje en el arranque?Sólo si se utiliza ID de máquina
¿Es necesaria una frase de contraseña para el gestor de claves?No

Gestor de claves en la partición del sistema

Si optas por almacenar el gestor de claves en la partición local del sistema NAS, no es necesario configurar una frase de contraseña para acceder al gestor de claves. Supongo que esto se debe a que la autenticación ya tiene lugar con el sistema más amplio y el cifrado local del administrador de claves se gestiona en otro lugar.

Esto significa que el Gestor de Claves se lanza, y puedes crear claves usando sólo el cifrado de ID de Máquina
El archivo de claves no se almacena en texto sin formato, sino que se vuelve a cifrar utilizando el ID de máquina.

Eso sí, ten cuidado con el cifrado de ID de máquina, ya que utiliza un ID único del dispositivo que tienes para generar la clave de cifrado utilizada para proteger tu clave de carpeta. Si el dispositivo se pierde, puede que no sea posible restaurar los datos en otros dispositivos. Sin embargo, la gran ventaja de usar el ID de máquina es que puedes auto-montar volúmenes en el arranque.

Gestor de claves en USB

Este método es más seguro, pero requiere pasos adicionales de autenticación. En concreto, el administrador de claves necesitará su propia frase de contraseña, independiente de las carpetas. De este modo, el administrador de claves estará protegido cuando no esté conectado al dispositivo NAS.

Una vez configurado el administrador de claves en una unidad USB, dispondrás de una opción adicional para proteger las claves del almacén: la contraseña.

Esta opción tiene un inconveniente importante, no es compatible con la opción Mount on Boot (Montar al arrancar).

Sin embargo, una ventaja es que ya no necesitas recordar las claves de cada carpeta, ya que puedes montar volúmenes usando la contraseña maestra del Gestor de Claves. Aunque puede ser una idea terrible… Si la memoria USB se pierde o se estropea, no tendrás forma de obtener las claves del gestor de claves. Por tanto, sería una buena idea tener una copia de seguridad local de la unidad o de las claves de las carpetas individuales.

Rubén Castro

Redactor

Apasionado de explorar y diseccionar lo último en tecnología. Tengo mucha experiencia en el mundo de los ordenadores y el gaming, aunque también me gustan todos los tipos de gadgets.

Consentimiento