Ya han llegado las ofertas más importante del año a AliExpress. Las ofertas del 11-11 con descuentos, envíos gratis y cupones:
- ESAE05 o AEES05: 5 € de descuento con 39 € de compra mínima
- ESAE12 o AEES12: 12 € de descuento con 89 € de compra mínima
- ESAE25 o AEES25: 25 € de descuento con 169 € de compra mínima
- ESAE40 o AEES40: 40 € de descuento con 269 € de compra mínima
- ESAE60 o AEES60: 60 € de descuento con 359 € de compra mínima
- ESAE80 o AEES80: 80 € de descuento con 499 € de compra mínima
Synology es un fabricante de dispositivos NAS que se caracterizan por tener un buen ecosistema de software, sin embargo, en lo que respecta al cifrado, siempre ha tenido algunas carencias. En este artículo, vamos a ver cómo funciona el cifrado en el sistema operativo DSM de Synology.
¿Qué se puede cifrar y qué no?
Sólo se pueden cifrar carpetas. Es una de las principales limitaciones de Synology. No podemos cifrar las unidades enteras o los volúmenes.
Desde el punto de vista de los expertos, Synology debería usar LUKS, tener almacenamiento SSD separado para las unidades de arranque (para que el sistema operativo no se almacene en todas las unidades de datos), y eso solucionaría la mayoría de los problemas.
En lugar de eso, utilizan una implementación de ecryptfs que tiene limitaciones importantes en el nombre de los archivos y hace que las cosas sean complicadas a la hora de arrancar, transferir datos, etc. Porque necesitas tener claves separadas para cada carpeta encriptada en lugar de una para todo el sistema de archivos.
Para leer más tarde...
Cifrado en carpetas compartidas (Shared Folder)
Synology admite la posibilidad de cifrar carpetas locales, lo que se consigue fácilmente protegiendo la carpeta con una contraseña o con un archivo de clave.
El problema es que cuando el NAS se reinicia este volumen cifrado no se puede montar automáticamente porque el NAS no conoce ni almacena la frase de contraseña…
Si quieres asegurarte de que el NAS tiene acceso a las claves para descifrar las unidades cifradas en el arranque, puedes utilizar el gestor de claves de Synology (Synology Key Manager). Este debe estar en un lugar seguro y existen dos opciones:
- Partición del sistema en el NAS
- Unidad USB externa
Hay que tener en cuenta algunas cosas a la hora de elegir. En primer lugar, la partición del sistema forma parte del propio NAS. Esto significa que, si el dispositivo es robado o dañado, las claves también se pierden.
Así que lo mejor es que la clave esté en una unidad USB externa. Esto tiene otras ventajas que podemos ver en el siguiente cuadro:
Partición del sistema | Almacenamiento USB | |
¿Las claves se guardan lejos de los datos cifrados? | No | Sí |
Cifrado utilizado para proteger la clave | Sólo ID de máquina | Frase de contraseña o ID de máquina |
¿Es posible el montaje en el arranque? | Sí | Sólo si se utiliza ID de máquina |
¿Es necesaria una frase de contraseña para el gestor de claves? | No | Sí |
Gestor de claves en la partición del sistema
Si optas por almacenar el gestor de claves en la partición local del sistema NAS, no es necesario configurar una frase de contraseña para acceder al gestor de claves. Supongo que esto se debe a que la autenticación ya tiene lugar con el sistema más amplio y el cifrado local del administrador de claves se gestiona en otro lugar.
Eso sí, ten cuidado con el cifrado de ID de máquina, ya que utiliza un ID único del dispositivo que tienes para generar la clave de cifrado utilizada para proteger tu clave de carpeta. Si el dispositivo se pierde, puede que no sea posible restaurar los datos en otros dispositivos. Sin embargo, la gran ventaja de usar el ID de máquina es que puedes auto-montar volúmenes en el arranque.
Gestor de claves en USB
Este método es más seguro, pero requiere pasos adicionales de autenticación. En concreto, el administrador de claves necesitará su propia frase de contraseña, independiente de las carpetas. De este modo, el administrador de claves estará protegido cuando no esté conectado al dispositivo NAS.
Una vez configurado el administrador de claves en una unidad USB, dispondrás de una opción adicional para proteger las claves del almacén: la contraseña.
Esta opción tiene un inconveniente importante, no es compatible con la opción Mount on Boot (Montar al arrancar).
Sin embargo, una ventaja es que ya no necesitas recordar las claves de cada carpeta, ya que puedes montar volúmenes usando la contraseña maestra del Gestor de Claves. Aunque puede ser una idea terrible… Si la memoria USB se pierde o se estropea, no tendrás forma de obtener las claves del gestor de claves. Por tanto, sería una buena idea tener una copia de seguridad local de la unidad o de las claves de las carpetas individuales.