Cloudstation von Synology vs MyFritz von AVM

[melan]

Ich hab ne Cloudstation und - wen wunderts - ne Diskstation. Jetzt will ich Daten uebers Internet für mich verfügbar machen, wenn ich unterwegs bin. Wollte dazu erst die Diskstation verwenden. Habe dann irgendwo gelesen, dass man durch die Öffnung der Cloud ein Sicherheitsproblem erhält. (Port öffnen ...)
Meine Frage jetzt: Welche Vorteil hat die Cloudstation gegenüber der AVM (Fritzl) Lösung? Oder ist MyFritz zu bevorzugen?

Danke für Tipps!

PS Ich hoffe das ist das richtige Forum,kann sein dass das unter Sonstiges gehört.

 

[Tommes]

Mal abgesehen davon das man die Cloudstation nicht mit myFritz vergleichen kann, so ist es doch ziemlich egal auf welchem Wege du dir das "Sicherheitsproblem" durch Portöffnung einhandelst. Jeder geöffnete Port und der damit verbundene Dienst macht dein System erstmal zur Zielscheibe für potentielle Angreifer. Du kannst nur versuchen diesen Angreifern diese Zielscheibe so unattraktiv wie nur möglich zu gestallten, oder diese so gut es geht zu verbergen bzw. zu schützen. Synology bietet da schon ein paar sehr nützliche Mittel an, wie z.B. die automatische Blockierung, GeoIP, DoS-Schutz, Schutz vor Cross-Site-Scripting-Angriffen, 2 Stufen Verifizierung... usw. Jedoch würde ich, wenn auf deiner DS auch Daten schlummern, die du als schützenswert bezeichnen würdest, die DS in diesem Falle nicht aufs Internet loslassen.

Und wenn du sehr auf Sicherheit bedacht bist, dann würde ich an deiner Stelle die VPN-Funktion deiner Fritzbox nutzen, dann hast du das Problem mit der Portöffnung und dessen Absicherung nämlich nicht und bist obendrein noch wesentlich besser geschützt. Dann ist es in meinen Augen auch egal, ob du myFritz oder Cloudstation verwenden möchtest, auch wenn das wie gesagt, zwei ganz unterschiedliche Dinge sind.

Tommes

 

[melan]

Ich muss mal nachfragen:
VPN ist das das VPN was man auf der FritzBox einrichten kann, oder kann da auch eines auf der DS eingerichtet werden?
Inwiefern löst das die Probleme die man durch die offenen Ports hat?

 

[Tommes]

Genau. Du kannst entweder VPN direkt in der Fritzbox einrichten (IPSec) oder aber auf der DS mit dem VPN-Server Paket (PPTP, OpenVPN, L2TP/IPSec), wobei ich die Einrichtung über die Fritzbox bevorzuge (ist aber auch Geschmackssache)

Unterschied zwischen Portweiterleitung und VPN. Hm... jetzt muß ich wieder aufpassen was ich sage, damit das zwar einfach, aber auch korrekt formuliert wird...

Bei einer Portweiterleitung wird für jeden benötigten Dienst ein entsprechendener Port geöffnet. Da sowohl die Ports als solches, aber vor allem die dahinter liegenden Dienste ihre Schwachpunkte haben können (bekannte Sicherheitslücken sowie Programmierfehler, aber auch fehlerhafte oder zu lockere Konfigurationseinstellungen des Administrators), sind hier die Folgen für einen Angriff für den Laien oft nicht beherrschbar.

VPN baut einen gesicherten Tunnel durch das Internet auf, durch den alle Aktionen geschützt sind. Du bewegst dich in einem VPN-Tunel quasi so, als würdest du in deinem lokalen Netzwerk arbeiten... du brauchst keine Portweiterleitungen einrichten (jedenfalls nicht bei Verwendung von Fritz-VPN) und bist vor Angrifffen ziemlich sicher geschützt. Natürlich gibt es keine 100%ige Sicherheit im Internet, aber VPN ist schon verdammt nah dran.

Tommes

 

[melan]

Das mit dem VPN Tunnel hat ganz prima geklappt. Konnte mich mit nem Browser in die Diskstation einloggen.
Über die Filestation kamm aich auch auf meine Ordner. aber leider habe ich dabei nur einen schritt weiter in die (Unter) ordner Auf die Ebene der Dateien kam ich nicht. Ich hab mein Tablet benutzt und auch die Desktopansicht gewählt.

 

[Tommes]

Dann versuch es doch mal mit der DS-File App.

 

[Peter_Lehmann]

Hallo melan,

also, wenn du nun schon mal soweit bist, dass dein VPN prinzipiell funktioniert, dann würde ich so schnell nicht aufgeben.
Wie Tommes schon in seiner (sehr guten und für Laien sehr anschaulichen!) Erklärung eines VPN dargelegt hat, bist du als Endpunkt eines VPN quasi innerhalb deines Heimnetzes. Du bekommst eine IP aus diesem Netz und kannst alles das machen, was du auch machen könntest, wenn du mit deinem Tablet zu Hause im eigenen WLAN wärst.
(JA, eine Ausnahme gibt es: du musst deine internen Geräte mit der IP ansprechen und nicht mit deren Hostnamen. Die Namensauflösung wird nicht mit übers VPN übertragen - oder nur, indem sehr viel unnützer Traffic übers VPN und dann die benutzte Mobilfunkverbindung übertragen wird. Und letzteres dürfte kontraproduktiv sein.)
Ich gehe auch davon aus, dass du deine Versuche nicht etwa aus dem gleichen Netz (also beide Geräte zu Hause) gemacht hast. Die beiden VPN-Endpunkte müssen in getrennten Netzen liegen. Innerhalb des gleichen Netzwerkes (also bei der Fritz-Box zum Bsp.: 192.168.178.0) funktioniert kein Routing.

Vorschlag: Du siehst dich mal im IP-Phone-Forum um. Da wird das Thema "VPN" bis zum Erbrechen behandelt. Du kannst auch gern von mir eine "handgefertigte" (also nicht per GUI erzeugte) VPN-Konfiguration für die Fritz-Box haben, versehen mit vielen Kommentaren und Hinweisen und auch als Multi-Konfiguration für mehrere Verwendungszwecke ausgelegt. Einfach anpassen und in die Fritte importieren. Läuft bei mir und bestimmt auch einigen stillen Nutzern aus dem IPPF schon seit Jahren perfekt.

Zu deinem mobilen Spielzeug:
Ich weiß ja nicht, was du für ein Gerät nutzt (Android? i-Dingens? mobile WinDOSe?). Ich nutze einen Androiden und kann jedem nur als App den "VPNCilla"-Client empfehlen. Kostet zwar ein paar cent, funktioniert aber perfekt.

Ja, soweit ...


MfG Peter

 

[Neuling55]

FritzBox VPN

Du kannst auch gern von mir eine "handgefertigte" (also nicht per GUI erzeugte) VPN-Konfiguration für die Fritz-Box haben, versehen mit vielen Kommentaren und Hinweisen und auch als Multi-Konfiguration für mehrere Verwendungszwecke ausgelegt. Einfach anpassen und in die Fritte importieren.

Hallo Peter,
(glaube wir kennen uns aus frühen Zeiten des Thunderbirdforums)

nun zum Thema .... Ich habe auch Probleme mit der Einrichtung des Fritz-VPNs. Habe es allerdings auch nur im Heimnetz testen können. Gilt dein Angebot auch für mich, würde ich mich freuen, dein ToDo zu erhalten. Vlt. via pn, oder wie du magst.

Habe eine 7390 (noch) und mobil "neuerdings" mac und iPhone. Windose und die Doiden liegen zwar noch, werden aber abgeschafft.

Bis dann und Gruß
Wolf

 

[Peter_Lehmann]

Hallo Wolf,

kein Problem ;-)
Wir hatten vor ein paar Tagen im TB-Forum das Thema und da habe ich neben ein paar Bemerkungen auch wieder mal meine Konfiguration gepostet. Du kannst dir das direkt herunterladen:
Hier der Beitrag: 18
Hier die Konfig: TEMPLATE VPN-config_FritzBox_Shrew_und_ipod.cfg.txt

Wenn du Fragen hast, melde dich einfach wieder.

BTW: Welchen Nick hattest du im TB-Forum?


MfG Peter

 

[Neuling55]

Vielen Dank Peter .. habe mir das mal runter geladen und schau es mir dann mal an.

Auch btw: im TB-Forum hatte ich den Nick wr1955 .. du hast mir damals manch wertvollen Tipp gegeben. Ich glaube sogar, ich habe damals schon mal einen missglückten VPN-Versuch gestartet

 

[Neuling55]

Hallo Peter,
habe es diesmal geschafft mir das VPN einzurichten (ging sogar über den AVM-Assi, da ich das Phone nicht im Heimnetz, sondern mobil hatte) Vielen dank noch mal für die Anleitung, sie kommt mir sicher zur Hilfe, wenn ich weitere Clienten/user einbinden will.

Aber ein, zwei Fragen zum besseren Verständnis habe ich noch:

Wenn ich also am Clienten (iPhone oder Android) VPN aktiviert habe (z.B. im Hotel wLan) gehen dann "alle" Verbindungen über dieses VPN, also auch Apps in denen ja eine eigenständige webadresse eingetragen ist, wie z.B. myFritz oder DScloud - oder nur die Browsereingaben?

Sehe ich das richtig, dass wenn ich via VPN die Heim-IP der NAS (also keine web-IP) eingebe, ich "problemlos und sicher" auf die dort gespeicherten Daten zugreifen, bzw. sie laden kann.

Vielen Dank schon mal.

 

[Peter_Lehmann]

Hallo Wolf,

selbstverständlich kannst du das VPN auch mit dem AVM-Assistenten einrichten. Nur, bei solchen Sachen wie einem VPN sehe ich eben gern, was da für Optionen eingestellt sind.
Und eines ist Fakt: in der Zeit, in der ich durch pures Editieren (einschließlich Kopieren bestimmter Module und Weglassen von Modulen die ich nicht benötige) eine Konfiguration von bis zu 8 verschiedenen und voneinander unabhängigen VPN eingerichtet und importiert habe, hast du das nach Mausschubserart garantiert nicht hinbekommen ;-)
Und wenn du - wie es sich bei einem VPN gehört! - wenigstens aller 2-3 Monate die Schlüssel wechseln willst, dann wirst du erst recht die Vorteile einer editierbaren und importfähigen Konfiguration erkennen.
Aber trotzdem: siehe Satz 1

Zu deiner ersten Frage:
Es ist vom Routing abhängig, ob du über das VPN nur dein eigenes Homenetz erreichst (und der sonstige Traffic ganz normal über die jeweilige Internetverbindung deines Schlau-Fernsprechapparates ins Internet geht) - oder ob der gesamte Traffic übers VPN in dein Homenetz geführt wird und von dort über deinen Router ins Internet.
Die erste Variante reicht aus, wenn du irgendwelche Daten "von zu Hause" nutzen willst. Also zum Bsp. deine Kalender oder deine Adressbücher, die zu zu Hause auf irgend einem Server gehostet hast. Die zweite Variante lege ich dir dringend ans Herz, wenn du zum Bsp. über irgend einen öffentlichen Hotspot surfst (VIP-Lounge der DB oder dem Flughafen, Hotel usw.).
Jeder der will (und dieses kann ...) sieht dann nicht nur live deinen gesamten Traffic, sondern auch alle deine Passworte von Foren usw. Nun ja, wenigstens die Mailpasswörter sind ja durch die heute übliche TLS-Verschlüsselung geschützt.

In meinem Konfigurationsscript hast du beide Varianten zur freien Auswahl. Welche Variante bei der AVM-GUI zur Anwendung kommt kann ich dir leider nicht sagen, da ich diese nie genutzt habe. Ich hoffe mal, dass die Entwickler den gesamten Traffic übers VPN führen.

Du kannst das aber problemlos selber testen:
Rufe von dem jeweiligen Rechner oder Smartphone die Seite "whatismyip.com" auf. Du siehst dann die IP angezeigt, welche dir dein Mobilfunkprovider (oder das außerhäusige WLAN, wo du gerade eingebucht bist) vom jeweiligen Provider bekommen hat. Diese IP kannst du auch mit Bordmitteln des Gerätes zum Vergleich anzeigen lassen.
Dann starte das VPN und wiederhole diesen Test. Bekommst du jetzt die IP angezeigt, welche dein eigener Router (also der entfernte VPN-Endpunkt) gerade hat (siehst du ja in der Fritz-Box), dann wird der gesamte Traffic übers VPN geführt. Der Mitleser in der VIP-Lounge schaut also in die Röhre.

Eine Einschränkung sollst du aber wissen: Ich habe bewusst nicht die DNS-Abfragen mit übers VPN geführt. Das hat einfach was mit Reaktionszeiten und auch Traffic - und weil ich dafür auch keinen Grund sehe - zu tun. Mit geht es hierbei wirklich nur um die Nutzdaten. Der WLAN-Mitleser kann ruhig sehen, welche Seiten ich ansurfe.
Selbstverständlich ließe sich das auch ändern ... . Meiner Erfahrung nach machen das aber alle VPN auf den üblichen Baumarkt-Plastik-Routern so.


Zu deiner zweiten Frage:
Vor zwei Jahren hätte ich noch mit innerer Überzeugung gesagt, dass ein VPN sicher ist. Heute betrachte ich nichts mehr als wirklich sicher.
Aber wir haben nichts besseres! Niemand, den du und ich kennen, kann so nebenbei in ein sauber konfiguriertes und ohne Hintertüren programmiertes VPN eindringen. Auch berufsmäßige Schnüffler ohne finanzielle, personelle, technische und sonstige Begrenzungen können das (höchstwahrscheinlich) nicht so ohne weiteres. Auf jeden Fall werden sie nicht live Tausende von VPN mitlauschen können. Aber garantieren kann uns das niemand. Wir gehen davon aus, dass derartige Angriffe immer noch für das jeweilige Ziel "handgeschmiedet" sind. Warum setzen wohl unsere bundeseigenen "Berufsneugierigen" auf den "Bundestrojaner", um die Kommunikation direkt auf dem Gerät abzugreifen, bevor diese verschlüsselt oder nachdem sie entschlüsselt wird.

Wenn du dich also nicht gerade als Target von NSA, BND, BKA, VS usw. fühlst, musst du dir bestimmt keine Sorgen machen.
Auf jeden Fall ist eine derartige verschlüsselte Verbindung viel sicherer, als wenn du die gleichen (unwichtigen!) Daten barfuß übertragen würdest.
(BTW: die massenhafte Anwendung von Verschlüsselungsverfahren, bis hin zur Verschlüsselung aller - und nicht etwa nur der "geheimen" E-Mails oder anders gesagt, eine mächtige "kryptografische Rauschglocke", ist das einzige Mittel, um unsere Kommunikation und unsere Privatsphäre noch eine Weile zu schützen!)


OK?


MfG Peter

 

[Neuling55]

Hallo Peter,

zu 1 .. das muss ich mir alles im Urlaub noch mal zu Gemüte führen, kann deine Einwände gegen die Auto-Konfig aber durchaus nachvollziehen. Habe aber jetzt erst mal für iPhone und macbook VPN am funktionieren.

Den Test habe ich soeben mit dem Phone durchgeführt und ja, die VPN-IP im Browser ist die meiner Fritzbox (web) und ohne VPN eine andere (also mobilnetz) .. soweit in trockenen Tüchern. Mit dem macbook kann ich das gerade nicht testen, da mein Mobiler Hotspot gerade nicht einsatzfähig ist (ich weiß geht auch mit iPhone) mach ich später.

Zu 2. ... Ist klar, aber diese Sicherheit reicht mir. Ich möchte ja nur, dass niemand im Hotel oder in der mcDonalds VIP-Lounge sniffen kann.

Vielen Dank noch mal und wie immer tolle ausführliche Hilfe ... "Daumen hoch"

Gruß Wolf

 

[Nomad]

Irgendjemand hat mal gesagt die Kryptologen würden niemals von sicherer Verschlüsselung sprechen sondern nur von starker Verschlüsselung.

Im Grunde genommen kauft man sich Zeit. Wenn man mit heutiger Technik einige Mio Jahre rechnen lassen muss wird das für viele Anwendungsfällen ausreichen.

Ich bin nicht so glücklich mit der Auslagerung der VPN Konfiguration auf ein Windows Programm. Als Datenmessie und einen Haufen von Fritzboxen und noch mehr PCs an denen ich arbeite muss ich immer wieder rätseln ob die Konfiguration die ich gerade vor mir habe auch für diese oder jene Fritzbox aktuell ist oder einer der Übungskonfiguration ist die ich nur erstellt habe um mich mit dem Tool vertraut zu machen. Mit dem Windows Tool könnte ich mich noch arrangieren wenn es eine Möglichkeit gäbe die gerade aktuelle VPN Konfiguration aus einer Fritzbox auszulesen aber so bleibt es beim hoffen, dass die Clients weiterhin eine VPN Verbindung aufbauen können.

 

[Peter_Lehmann]

Hallo Nomad,

zu den ersten beiden Sätzen meine volle Zustimmung. Außer bei der (korreken!) Anwendung eines OTP ist jede anerkannte, geprüfte und evaluierte Verschlüsselung, wenn auch nicht mathematisch (also durch Kryptoanalyse) aber doch auf jeden Fall mit Brute Force zu brechen. Und wie du schon geschrieben hast, ist das eine Frage der Zeit.

Über deinen dritten Satz muss ich lächeln. OK, du schreibst von "heutiger Technik". Selbiges haben wir 1977 bis ~1980 auch mal gedacht. Kryptoanalytisch ist ja auch bei DES nie eine Schwachstelle gefunden worden. Nur dass die Technik schon ein paar Jahre später mit den 56bit "gut umgehen konnte". Die noch heute funktionierende Lösung: Vergrößerung der Schlüssellänge durch Mehrfachanwendung von DES => also 3DES.
Gleiches Prinzip bei der Anwendung von RSA für X.509-Zertifikate: Vor 15 Jahren haben wir 768 bit verwendet. Heute werden 2K-Schlüssel empfohlen und oftmals schon 4-K genutzt.

Sagen wir mal so: die kryptologische Härte eines Algorithmus (und natürlich des darauf aufbauenden Verfahrens) muss so gut sein, dass sie ein Geheimnis zumindest über die Dauer der Schutzwürdigkeit dieses Geheimnisses zuverlässig schützt. Und da gibt es schon so "kleine Unterschiede", ob es sich um "Pillepalle-privat", VS-NfD, GEHEIM oder STRENG GEHEIM handelt. Ich habe von keinem Geheimnis gehört, welches länger als "ein paar Hundert Jahre" geschützt werden muss - wenn überhaupt so lange. Und dafür gibt es schon Verfahren und Geräte, wo wir heute davon ausgehen können, dass diese das gewährleisten.

Was ich nicht verstehe, ist deine Bemerkung mit dem "Windows-Programm". Ich kann mich nicht daran erinnern, davon geschrieben zu haben. Ich lebe persönlich seit sehr vielen Jahren in einer "Windows-freien-Zone" (Linux-Nutzer seit SuSE 5.?). Vielleicht kannst du dazu noch mal was sagen.
Wenn wir gerade bei der Fritz-Box sind: Niemand würde eine Fritz-Box auch nur für VS-NfD evaluieren und zulassen. Trotzdem gehe ich davon aus, dass deren VPN für meine kleinen privaten Unwichtigkeiten völlig ausreichen.

Ich sehe bei einer "handgefertigten" Konfiguration mehrere Vorteile im Vergleich zu der Konfiguration, welche durch die GUI der Box ohne nähere Angaben erzeugt wird:

- Ich kann anhand der man-Pages von IPsec austesten, was das AVM-VPN überhaupt "kann". Ich kann also die maximal mögliche Härte einstellen.
- Ich kann - und sollte auch - dieses ab und an mal neu überprüfen und aktualisieren.
- Ich mache mir diese "Mühe" 1x und kann dieses Template auf mehreren Geräten nutzen.
- Ich (und kein Automatismus) lege die Länge des von einem Zufallsgenerator erzeugten PSK fest und kann diesen problemlos in kurzen Abständen ändern.
- Und ich kann je nach Anwendungsfall (anderer VPN-Endpunkt, anderes Routing usw.) sehr fein einstellen, was für ein VPN genutzt werden soll.

so bleibt es beim hoffen, dass die Clients weiterhin eine VPN Verbindung aufbauen können.

Hoffen und Kryptologie beißen sich!
Hier gilt "Wissen". Also zumindest sehen/kontrollieren, was da so über die Leitung geht.

MfG Peter

 

[Neuling55]

Trotzdem gehe ich davon aus, dass deren VPN für meine kleinen privaten Unwichtigkeiten völlig ausreichen.

Das sehe ich genauso .... und was die Lebensdauer meiner verschlüsselten "Werte" angeht: Wer will in 100 Jahren noch wissen, was ich alles an privaten Kram so alles auf dem Rechner habe, wenn der dann überhaupt noch da ist? Richtig niemand ... nicht mal meine Urenkel