Aller au contenu

HyperBackup et chiffrement


Pasquale

Messages recommandés

Bonjour à tous,

J'utilise aujourd'hui HyperBackup pour faire des sauvegardes d'un DS411 vers un DS216j.

Comme jusque là, c'est sur mon réseau local, je ne me suis jamais posé de question sur le chiffrement des données, même si les volumes où je sauvegarde les données sur le DS216j sont chiffrés.

A l'occasion de la bascule de mon DS411 vers un DS418, j'ai décidé de migrer mon DS216j en dehors de chez moi.
Je prépare donc HyperBackup pour faire cette opération, en simulant le fait que le DS216j sera à distance, donc en lui paramétrant un DDNS.
J'ai fait les ouvertures  de port qui vont bien sur ma box, et sans chiffrement, tout fonctionne bien.

Mais, comme ça passe sur internet, je voudrais ajouter du chiffrement.
Actuellement, seuls les volumes de sauvegarde sur le DS216j sont chiffrés, mais pas le transfert des données.

Quand je paramètre HyperBackup, il y a deux écrans sur lesquels il est question de chiffrement.
J'ai cherché dans l'aide Synology pour comprendre les différences, et je trouve les explications assez confuses et je n'ai rien trouvé sur ce forum, peut-être n'ai je pas utilisé les bons mots clés.

Sur le premier écran, quand on définit les paramètres de connexion, on a la notion de "Chiffrement du transfert", qui est par défaut "Éteint" :
1466271792_Ecran1.jpg.a99bcb243c13973dd408b01865c169fe.jpg

Si je l'active, il y a une nouvelle entrée qui apparait "Authentification du certificat" avec les boutons "Fiable" et "Ignorer" que je laisse de côté pour commencer.

835315709_Ecran2.jpg.ab40b11c12364c4ed61dc95009540402.jpg

Une fois que je fais l'authentification du serveur destination, mon DS216j, il y a ce message qui apparait :

197865308_Ecran3.jpg.9a7552d2c4aa4232994e749a87122e38.jpg

On voit que l'authentification du certificat indique d'ailleurs : "Échec", avec une infobulle qui présente les caractéristiques du certificat dont l'émetteur est inconnu.
Pourtant, il s'agit visiblement bien de Synology, donc je ne comprends pas cet échec.

347279018_Ecran4.jpg.4f73c171510b7b765effd99b1ddd8800.jpg

Ai-je un certificat à installer du côté de la destination ?
Si oui, comment je dois procéder, parce que je ne trouve pas.
Si non... que dois-je faire à ce niveau ? Considérer le certificat comme "Fiable" ou simplement "Ignorer" l'erreur ?

Sur la page suivante de configuration de HyperBackup, il y a un bouton à cocher "Activer le chiffrement côté client".
986930925_Ecran5.jpg.a2d23e7719f8abae4ba1720fcbb703e9.jpg

J'en déduis que ce sera ma source, mon DS418, qui chiffrera les données, avec le mot de passe de mon choix :

682834035_Ecran6.jpg.21afdcb51301f681bb36cc2a14bc351e.jpg

Quand je fais ça, je dois saisir le mot de passe pour ouvrir mon archive HyperBackup sur mon DS216j avec HyperBackup Vault.
Ce dernier point me parait logique, et à la limite, cela me convient.

Du coup, sur la première étape du "chiffrement du transfert", est-il utile si on a "activé le chiffrement côté client" ?
Quelle est la différence entre les deux modes de chiffrement ?
Si je dois faire le "chiffrement du transfert", comment puis-je régler cette histoire de certificat ?

 

Voilà, j'espère que j'ai été clair dans ma problématique et que quelqu'un comprendra 🙂

Merci pour votre attention,
Pasquale

Lien vers le commentaire
Partager sur d’autres sites

Le chiffrement du transfert c'est comme son nom l'indique le chiffrement des données pendant le transfert du NAS source vers le NAS de destination.

Le chiffrement côté client est, comme son nom l'indique,aussi ,le chiffrement des données sur le NAS de destination.

Ce sont donc deux choses différentes. Le chiffrement du transfert se traduit par des données qui seront déchiffrées par le client et donc stockées en clair sur le NAS. Pour le chiffrement côté client, les données circulent en clair pendant le transfert et sont chiffrées uniquement à la destination.

Si vous voulez protéger vos données de bout en bout avec chiffrement à l'arrivée, il faut activer les deux.

Le problème du certificat est dû au fait que vous utilisez le certificat par défaut Synology qui n'est reconnu par aucun navigateur. Il faut soit obtenir un certificat pour un ndd que vous appliquez ensuite à Hyper Backup, soit accepter de faire confiance au certificat présenté. Perso, j'utilise le certificat Synology ou un certificat autosigné car un certificat LE n'étant valable que 3 mois, il y aura besoin de le réactiver à chaque changement ce qui n'est pas très judicieux pour une tâche automatique.

Lien vers le commentaire
Partager sur d’autres sites

Merci pour votre réponse @Mic13710.

il y a 9 minutes, Mic13710 a dit :

Le chiffrement du transfert c'est comme son nom l'indique le chiffrement des données pendant le transfert du NAS source vers le NAS de destination.

Le chiffrement côté client est, comme son nom l'indique,aussi ,le chiffrement des données sur le NAS de destination.

Ce sont donc deux choses différentes. Le chiffrement du transfert se traduit par des données qui seront déchiffrées par le client et donc stockées en clair sur le NAS. Pour le chiffrement côté client, les données circulent en clair pendant le transfert et son chiffrées uniquement à la destination.

Si vous voulez protéger vos données de bout en bout avec chiffrement à l'arrivée, il faut activer les deux.

OK, en fait, je pensais que le client c'était le serveur source. Donc ça change tout.

Et je vais dans ce cas activer les deux.

il y a 9 minutes, Mic13710 a dit :

Le problème du certificat est dû au fait que vous utilisez le certificat par défaut Synology qui n'est reconnu par aucun navigateur. Il faut soit obtenir un certificat pour un ndd que vous appliquez ensuite à Hyper Backup, soit accepter de faire confiance au certificat présenté. Perso, j'utilise le certificat Synology ou un certificat autosigné car un certificat LE n'étant valable que 3 mois, il y aura besoin de le réactiver à chaque changement ce qui n'est pas très judicieux pour une tâche automatique.

OK, c'est plus clair.

Comme je suis dans l'application HyperBackup, je pensais que c'était l'application elle-même qui ne reconnaissait pas le certificat ce qui me rendait perplexe.

J'en déduis donc que je peux faire confiance au certificat Synology en cliquant sur le bouton "Fiable".

Concernant le certificat autosigné, comment je peux éventuellement faire ça ? C'est le serveur destination qui doit le créer ?

Encore merci 🙂

Modifié par Pasquale
Lien vers le commentaire
Partager sur d’autres sites

Encore une petite question.

Quand j'active le chiffrement du transfert et que j'indique que le certificat Synology est fiable, puis que je choisis mon volume (qui lui est chiffré sur la destination) pour la sauvegarde, j'ai le message suivant :

1941062225_Capturedecran2021-12-07a18_22_36.jpg.f23f9fa61e5b584b70302209eb8e60d6.jpg

Du coup, est-ce utile que mon volume sur ma destination soit chiffré si mon transfert est chiffré et que les données sont chiffrées côté client ?
Ça fait peut-être un peu beaucoup de chiffrement, et je peux peut-être me passer du chiffrement du volume sur ma destination, non ?

Merci 🙂

Lien vers le commentaire
Partager sur d’autres sites

il y a 6 minutes, Pasquale a dit :

Du coup, est-ce utile que mon volume sur ma destination soit chiffré si mon transfert est chiffré et que les données sont chiffrées côté client ?

Bonjour,

Non car les données de sauvegarde sont déjà chiffrées.

De plus le chiffrement des dossiers ça ne sert quand cas de vol du NAS, des disques ou d'un accès physique à la machine (reset, migration), ou il faudra la clé de choffrement pour remonter les dossiers partagés.

Pour pourvoir ce servir d'un dossier chiffré il doit être monté et est donc accessible aux administrateur et aux utilisateur ayants les droits du NAS distant.

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, Pasquale a dit :

Concernant le certificat autosigné, comment je peux éventuellement faire ça ? C'est le serveur destination qui doit le créer ?

Pour le certificat autosigné, je viens de voir que DSM7 ne le propose plus. Mais on peut toujours je pense importer les clés d'un certificat créé à l'extérieur du NAS.

Si votre dossier est déjà chiffré à la destination, c'est en effet un petit peu too much de le chiffrer encore via Hyper Backup.

Edit : mais comme le fait fort justement remarquer @maxou56 il est préférable de ne chiffrer que les données plutôt que le dossier pour les raisons qu'il invoque.

Lien vers le commentaire
Partager sur d’autres sites

Rah oui ! C'est ce que je veux dire en plus... Mais comme je monte les dossiers partagés comme des volumes sur mon ordinateur, je mélange les deux.

Merci pour la précision, ça ne fait jamais de mal de le rappeler ! 🙂

Encore merci pour l'aide.

Modifié par Pasquale
Lien vers le commentaire
Partager sur d’autres sites

@Mic13710

Bonjour,

Il y a 5 heures, Mic13710 a dit :

Perso, j'utilise le certificat Synology ou un certificat autosigné car un certificat LE n'étant valable que 3 mois, il y aura besoin de le réactiver à chaque changement ce qui n'est pas très judicieux pour une tâche automatique.

Juste pour bien comprendre, pourquoi il aurait-il besoin de réactiver le certificat si son renouvellement est automatique par ailleurs ? Et où le réactiver ? dans Hyperbackup ?

C'est confus pour moi ... Si tu pouvais STP préciser.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

 @oracle7 J'utilise LE avec renouvellement automatique et  au renouvellement de mon certificat je ne fais rien et Hyperbackup, ABB, client Drive continue de fonctionner. Par contre le certificat renouvelé est déployé sur les deux nas (source et destination de Hyperbackup).

 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.