Begriffswirwarr FTP WebDAV, HTTPS, Zertifikat, VPN | ich will doch nur Fernzugriff

[Riven]

Hi Leute,

ich brauche mal Nachhilfe in Sachen Zertifikate. Ich habe schon viel gelesen, komme aber nicht richtig weiter.
Ich möchte sicher von außerhalb auf meine DS zugreifen und zwar auf:
- Die Dateien (im Explorer eingebunden wenns geht)
- PhotoStation
- Note Station
- nach Möglichkeit das Webinterface zur Konfiguration
- CalDAV und CardDAV Server

Brauche ich dazu auf jeden Fall ein (selbstunterzeichnetes) Zertifikat? Das klingt schon wieder so nach einer Frikkel-lösung, ich möchte was, das langfristig funktioniert.
Ich schwimme inzwischen völlig zwischen den Begriffen FTP, WebDAV, HTTPS, Zertifikate, VPN, DynDNS. Ich weiß zwar von jedem, was es ist, aber ich bin damit überfordert. Gerade der Zertifikatekram, der ja wohl notwendig ist für manches (oder nicht?) bereitet mir Kopfschmerzen. Und nein, ich habe im Moment keine Domain, so dass ich wohl auch mein Zertifikat selbst registrieren könnte. Kann mir aber auch nicht vorstellen, dass das nötig ist; welcher Ott-Normal-DS-User hat schon ein Zertifikat.

Ich wäre dankbar, wenn mir jemand da mal ein wenig Struktur hereinbringen könnte.

Danke und viele Grüße
Riven

 

[Merthos]

Zugriff womit? Laptop, Smartphone, fremder Rechner, ...

 

[Nomad]

Das ist immer so wenn man sich in neue Materie einarbeitet.

Da werden unbekannte Konzepte mit unbekannten Begriffen erläutert. Frust ist erst einmal unumgänglich.

Um die Sache zu verkürzen, probiere mal ob du mit deinem Router VPN hinbekommst. Steht die VPN Verbindung, dann ist alles immer lokal.

 

[Riven]

ja, Frust ist unumgänglich, aber mit etwas Erfahrungsaustausch vielleicht minimierbar.
Von meinem Handy und von meinem Laptop. Ggf. auch gerne von einem dritten PC auf die Dateien mit einem portablen WebDAVTool oder so wenn es das gibt.

Für welche der Dienste bräuchte ich denn ein Zertifikat?
Und kann man denn eine VPN Verbindung permanent aufrecht erhalten und nebenbei noch über die herkömmliche Verbindung ins Internet? Wenn ich auf meinem Rechner mich per VPN ins Uninetz einwähle, dann wird immer gleich alles über diese Verbindung umgeleitet.

 

[Tommes]

Ein SSL-Zertifikat benötigst du, sobald du per https:// auf deine DS zugreifen möchtest, also über eine verschlüsselte Verbindung. Dabei kannst du das unsignierte Standard-Zertifikat nutzen, welches bereits im DSM hinterlegt ist, oder dir in diesem Bereich ein eigenes, ebenfalls unsigniertes Zertifikat erstellen. Signierte Zertifakte kann man sich zwar auch erstellen lassen, diese Kosten aber oftmals Geld und man muß i.d.R. Inhaber einer Domain sein.

Der Unterschied zwischen unsigniert und signiert ist, das du bei einem unsigniertem Zertifikat im Browser i.d.R. das Zertifikat als vertrauenswürdig akzeptieren musst, was bei einem signierten Zertifikat nicht nötig ist.

Damit du jedoch per http bzw. https auf deine DS zugreifen kannst, benötigst du eine DDNS-Adresse. Diese bekommst du entweder über diverse Anbieter im Netz, oder du nutzt Synologys Quickconnect, oder bei Verwendung z.B. einer Fritzbox deren myFritz Dienst. Möglichkeiten gibt es da viele.

Ach ja. WebDAV baut auch auf dem SSL-Zertifkat auf und man erreicht daher den WebDAV-Server der DS über ein vorangestelltes https:// gefolgt von dem eingestellten WebDAV-Port (z.B. Port 7001)

FTP nutze ich nicht und VPN nur sporadisch um dazu verlässliche Aussagen zu treffen.

Tommes

 

[Riven]

Dabei kannst du das unsignierte Standard-Zertifikat nutzen, welches bereits im DSM hinterlegt ist

Was würde dieses Zertifikat denn belegen, wenn es ja nicht individuell auf mich ausgestellt, sondern Standard ist?

Und diese StandardZertifikate funktionieren aber glaube ich nicht mit DavDroid, zumindest habe ich da Fehlermeldungen bekommen, als ich die App mit meiner DS verbinden wollte.

Ich habe schonmal die Selberstellen-Funktion genutzt testhalber mit dem Ergebnis das da jetzt ein Zertifikat mit Buchstabensalat auftaucht, dass man nicht löschen kann; aber bisher hats nicht gestört.

Aber für WebDAV brauche ich also auch kein eigenes Zertifikat und kann die Funktion sobald ich eine DDNS-Adresse habe auch von außerhalb nutzen?

Vielen Dank für die Hilfe!

 

[Frogman]

Ein generisches und von Synology eigensigniertes SSL-Zertifikat, was Synology auf der DS einrichtet, liefert die gleiche Verschlüsselungssicherheit wie jedes andere, auch mit Geld gekaufte Zertifikat. Einzig und allein die Signierung durch einen externen und weitgehend auf den Clients anerkannten Vertrauensanker fehlt (das ist das, was beim Kauf eines Zertifikats passiert) - Vertrauensanker sind die ganzen CA, die mit ihren Rootzertifikaten in den Browsern und Zertifikatsspeichern des Betriebssystems aufgenommen wurden. Fehlt dieser Anker, musst Du in der Regel den Aufruf mit dem Aussprechen des Vertrauens bestätigen - und dazu in vielen Apps die automatischen Prüfung des SSL-Zertifikats deaktivieren.
Die Signatur von einer der etablierten CA bekommst Du - Tommes hatte es bereits geschrieben - dann, wenn Du Herr über eine eigene Domain bist. Für DDNS-Adressen geht das ohnehin nicht. Einer Nutzung eines DDNS-Dienstes mit dem generischen oder selbst erzeugten/eigensignierten Zertiifikat steht aber nichts entgegen.

 

[Ameisentaetowierer]

- Die Dateien (im Explorer eingebunden wenns geht)
- PhotoStation
- Note Station
- nach Möglichkeit das Webinterface zur Konfiguration
- CalDAV und CardDAV Server

Du solltest dir zunächst über die möglichen Gefahren im Klaren sein.
Unabhängig davon, ob du Zertifikate bzw. Verschlüsselung benutzt oder nicht, machst du mit jeder der o.g. Anforderungen dein System zur Zielscheibe für Angriffe von aussen.
Außer....du benutzt eine VPN-Verbindung, die nach Möglichkeit zu deinem DSL-Router (Fritz-Box?) geht. Das macht die Sache deutlich sicherer.
Auch wenn die DS selbst VPN beherrscht, würde ich es nicht nutzen wollen, denn auch eine VPN-Implementierung selbst könnte angegriffen werden.

Kurze Erklärung zu deinen Möglichkeiten:
Du könntest die für die o.g. Anwendungen erforderlichen Ports direkt von deinem DSL-Router zur DS durchschleusen, was ein sehr grosses Risiko bedeutet, weil deine DS damit aus dem Interne direkt erreichbar wäre.
Du könntest aber auch nur eine VPN-Verbindung (vorzugsweise nicht zur DS, sondern zum DSL-Router) zulassen und bei einer bestehenden VPN-Verbindung alle Anwendungen so nutzen, als wärst du zu Hause per WLAN angemeldet.
Du könntest beides mischen (s.u.)

Die erste und die 4. deiner Anforderungen sind m.E. ohne VPN, also als direkter Internetzugriff, grob fahrlässig bzw. glatter Datenselbstmord.
Das solltest du auf gar keinen Fall machen.

Wenn du nicht auf diese Funktionen verzichten möchtest, solltest du dafür VPN benutzen.
Wenn du schon VPN benutzt, solltest du überlegen, ob du nicht alles per VPN machen kannst bzw. willst.

Bei der Photostation kann ich mir allerdings vorstellen, dass du diese auch zum Teilen von Fotos benutzen willst.
Damit müsste sie direkt von aussen erreichbar sein. Allerdings sind damit auch alle anderen Anwendungen, die auf der DS auf dem Port 80 laufen potenziell erreichbar, nicht nur die Photostation.

Und was war jetzt mit den Zertifikaten?
Mit einem Zertifikat kannst du die Kommunikation verschlüsseln. Hört sich toll an, hat aber nur einen begrenzten Nutzen.
Die Verschlüsselung verhindert "nur", dass böse Buben, die sich bereits in deine "Transportstrecke" (also der Verbindung zwischen Endgerät und Server) eingehackt haben, diese abhören können.
Die Wahrscheinlichkeit ist natürlich immer gegeben. Die Wahrscheinlichkeit allerdings, dass dieser böse Bube konkret an deinen Daten/deiner DS interessiert ist, ist eher gering.
Was anderes wäre es, wenn du regelmässig Konto- oder Kreditkartendaten übertragen würdest. Da wäre der böse Bube schon interessiert. Aber hier geht's im allgemienen um Urlaubsfotos und Musiksammlungen.

Deine DS wird eher Opfer eines Angriffs allgemeiner Art, wo die bösen Buben ganze Netzwerke nach Systemen bzw. Ports mit bekannten und noch unbekannten Bugs in diversen Anwendungen abscannen.
Und da hilft die Verschlüsselung nicht, weil es nicht darum geht, dich abzuhören.
Vielmehr versucht man, bei irgendwelchen Leuten (die man nicht kennt), ein System mit einer Schwachstelle zu finden.
Damit sind wir wieder beim ersten Punkt: je mehr Anwendungen du nach aussen freigibst, desto mehr potenzielle Schwachstellen kann ein Angreifer finden.

 

[Tommes]

Hm Micky... natürlich hast du mit deiner Aussage erstmal vollkommen recht...

Du solltest dir zunächst über die möglichen Gefahren im Klaren sein.
Unabhängig davon, ob du Zertifikate bzw. Verschlüsselung benutzt oder nicht, machst du mit jeder der o.g. Anforderungen dein System zur Zielscheibe für Angriffe von aussen.

... aber es ist ja nicht so, das man völlig ungeschützt und mit runtergelassenen Hosen dasteht. Natürlich bedeteut das natürlich auch mehr als nur ein SSL-Zertifikat zu verwenden, aber mit der nötigen Kenntniss und den richtigen Einstellungen innerhalb des DSM kann man schon ein ordentliches Maß an Sicherheit erlangen, auch wenn man keine VPN-Verbindung verwendet. Aber wie es halt so ist... Sicherheit schafft man sich nur durch Wissen und wenn man seine Feinde nicht kennt, kann man sie auch nicht bekämpfen (ich sollte mir diesen Spruch auch mal als Textbaustein hinterlegen *winkmitdemzaunpfahl* *hihi*)

Auch gibt es wohl noch 1000 andere Aspekte die man hier mit einbeziehen sollte (nur unwichtige Daten auf dieser DS vorhalten usw.) aber das von vornherein zu verteufeln... - das würde ich nicht. Denn ob meine Daten in einem externen Cloudspeicher besser aufgehoben sind, als auf einer DS oder einem Raspberry Pi lass ich mal so im Raum stehen.

BTW: Jetzt hab ich bestimmt wieder eine Grundsatzdiskussion losgebrochen... aber ich kann ja meine Klappe nicht halten

Tommes

 

[Riven]

So, da bin ich endlich wieder. Wirklich toll, wie qualifizierte Antworten ich erhalten habe, danke sehr! Endlich ist mir der Sinn und die Funktion von Zertifikaten klarer geworden. Gut auch, dass ich jetzt verstanden habe, dass ich kein eigenes Zertifikat für meine Zwecke benötige. Zum Thema Zertifikate habe ich auch noch ein paar ganz gute Youtube-Videos. Manche etwas lang und in englisch, aber doch im Gesamtbild recht lehrreich wie ich finde.
https://www.youtube.com/watch?v=LRMBZhdFjDI
https://www.youtube.com/watch?v=earzZpX-PiY
https://www.youtube.com/watch?v=LRMBZhdFjDI

Unabhängig davon, ob du Zertifikate bzw. Verschlüsselung benutzt oder nicht, machst du mit jeder der o.g. Anforderungen dein System zur Zielscheibe für Angriffe von aussen.
Außer....du benutzt eine VPN-Verbindung, die nach Möglichkeit zu deinem DSL-Router (Fritz-Box?) geht. Das macht die Sache deutlich sicherer.
Auch wenn die DS selbst VPN beherrscht, würde ich es nicht nutzen wollen, denn auch eine VPN-Implementierung selbst könnte angegriffen werden.

Diese Sicherheitsbedenken hatte ich auch. Daher habe ich bisher auch noch keine Ports weitergeleitet und würde es selbst auch bevorzugen, nur VPN zu nutzen und zwar am Router. Leider ist der Router aber ein Telekom-Standardgerät (Speeport W724V) und kann kein VPN -.- Ich wollte eigentlich auch eine Fritzbox.. Laut diesem Thread (https://telekomhilft.telekom.de/t5/...-VPN/qaq-p/295147/search-sort-type-order/date) kann der Speedport auch nur Ports für TCP und UDP weiterleiten und kein IPSec; beudeutet das dass auch wenn der VPN auf der DS liefe, es nicht funktionieren würde?

Schönes Wochenende
Riven

 

[Frogman]

Wenn Du bspw. den UDP-Port 1194 an die DS weiterleitest, kannst Du damit OpenVPN im VPN-Server der DS nutzen.

 

[Riven]

okay, dann mache ich das so.
OpenVPN ist ein Paket das man zusätzlich auf der DS installieren muss und ist nicht das gleiche wie die Stock-VPN-Umsetzung von Synology selbst oder?

Nochmal zum Thema Sicherheit: Der Tenor hier war ja, dass es sicherer ist, wenn der VPN direkt auf dem Router läuft und nicht auf der DS. Warum? Weil angenommen wird, dass die Routersoftware weniger Sicherheitslücken hat?

 

[Frogman]

OpenVPN ist ein Paket das man zusätzlich auf der DS installieren muss und ist nicht das gleiche wie die Stock-VPN-Umsetzung von Synology selbst oder?

Nein, nicht direkt. Mit dem DSM hast Du nur einen VPN-Client auf der DS. Zusätzlich kannst Du das Paket VPN-Server von Synology installieren. Darin kannst Du dann für den Zugriff von externen Clients aus drei VPN-Protokollen wählen, eines davon ist OpenVPN (neben PPTP, was man eher vermeiden sollte, da es - wenn auch mit Aufwand - technisch kompromittiert wurde, sowie IPSec in Verbindung mit L2TP, wie es auch oftmals in Routern zum Einsatz kommt).

Sicherheitstechnisch ist ein VPN-Tunnel zum Router nicht großartig sicherer oder unsicherer als einer zur DS. Bei letzterem musst Du zwar einen Port zur DS weiterleiten, doch hast Du dort in der Regel bessere Konfigurationsmöglichkeiten als bei einem VPN-Tunnel über den Router. Außerdem werden Patches und Aktualisierungen für Router nicht immer zeitnah veröffentlicht und auch oftmals von den Usern weder wahrgenommen und eingespielt - auch das ist eher ein Punkt, der an den Synology-VPN geht, bei dem Du ein Update recht schnell mitbekommst und bei Bedarf auch automatisiert einspielen lassen kannst.

 

[TheGardner]

Nochmal zum Thema Sicherheit: Der Tenor hier war ja, dass es sicherer ist, wenn der VPN direkt auf dem Router läuft und nicht auf der DS. Warum? Weil angenommen wird, dass die Routersoftware weniger Sicherheitslücken hat?

Nein! Eher weil -wenn das VPN einmal gehackt wäre- der Hacker erstmal nur an ner schnöden Fritzbox steht und nicht gleich auf der DS! Und wohl auch, daß -wenn das Ziel einmal als schnöde Fritzbox/Router ausgemacht- von entsprechendem Gerät vielleicht abgelassen wird.

 

[Frogman]

...Und wohl auch, daß -wenn das Ziel einmal als schnöde Fritzbox/Router ausgemacht- von entsprechendem Gerät vielleicht abgelassen wird.

Ganz im Ernst - wer sich an die Kompromittierung Deines VPN-Tunnels macht, wird sich wohl von einer Fritzbox weder verjagen noch enttäuschen lassen - und ist er tatsächlich drin, wird er sich sicherlich auch noch einen Blick ins LAN gönnen

 

[ZakMcKracken]

Hallo Riven,

da meine Wünsche ähnlich wie von Dir aufgeführt sind und ich noch blutiger Laie bin, würde ich gerne mal wissen, welche Lösung Du für CalDav gefunden hast!?
Synchronisierst Du den Kalender an Deinem Smartphone nur zu Hause?