Cryptomator / 2FA / WebDAV

[onkel-ede]

Hallo zusammen,
ich habe eine DS 218+ und den Zugang mit 2FA abgesichert.
Darauf liegen Dokumente, welche ich mit Cryptomator verschlüsselt habe.
Wenn ich von außen auf die DS möchte greife ich per VPN darauf zu.
Kann mir jemand sagen, wie ich mit Cryptomator meinen Dokumentenordner einbinden kann?
Cryptomator kann WebDAV einbinden. Dazu müsste ich sicher den WebDAV-Server auf der DS einrichten.
Kann ich dann trotz 2FA auf den Ordner zugreifen oder funktioniert dies nicht mit WebDAV?
VG Onkel-ede

 

[R-Nassler]

Hallo onkel-ede,
ich stehe aktuell an genau der gleichen Stelle. Konntest du dein Problem lösen und wenn ja wie?

Viele Grüße
R-Nassler

 

[BoernyMcBee]

Was ist denn genau das Problem? WebDAV unterstützt überhaupt kein 2FA. Das bedeutet, dass sobald das WebDAV Filesharing aktiviert ist, man sich damit mit dem normalen Nutzername + Passwort anmelden kann.

Allerdings wird hier doppelt verschlüsselt. Wenn der Zugriff sowieso nur per VPN möglich ist, ist eine zusätzliche Verschlüsselung per Cryptomator nicht mehr nötig?! Der Angreifer müsst hier: das VPN aushebeln + Nutzername/Passwort kennen. Wenn man ein separates VPN nutzt (am Router) und nicht auf der Synology, hat man schon zwei Schichten. Jetzt noch Cryptomator obendrauf …

Man könnte überlegen das WebDAV Volume remote über einen reverse WebProxy freizugeben. Dann bringt Cryptomator eine weitere Schutzschicht, denn nun würde es reichen, wenn ein potentieller Angreifer nur Nutzername/Passwort aushebeln und schon hat er Zugriff auf alle WebDAV Volumes des Nutzers … nicht schön.

Wenn allerdings alles hinter einem VPN ist … sehe ich den zusätzlichen Nutzen nicht … ausser man möchte sich innerhalb der eigenen Nutzerbasis von anderen Nutzern auf dem gleichen NAS schützen.

 

[Ronny1978]

Hallo onkel-ede.

Ich sehe dies auch so wie BoernyMcBee. Wenn du von außen NUR per VPN auf deine DS zugreifst und du im internen Netz KEINE Gefahrenquellen hast, obwohl sich dies ja über Freigabeordner und Zugriffsrechte steuern ließe, sehe ich eigentlich keinen richtigen Grund auf der DS ein Cryptomator Container zu nutzen. Cryptomator ist ja eher, wie früher auch Boxcryptor, gedacht, Daten IN DER Cloud zu verschlüsseln. Heißt: Du möchtest bei Google Drive, Dropbox oder so Daten sichern/ablegen. Das würde ich dann mit einem C-Container machen. Warum noch einmal extra auf der DS?

Mir erschließt sich der Ablauf noch nicht richtig. Ich greife per OpenVPN auf meine OpnSense und dann erst auf die DS zu. Da braucht ich durch die Verschlüsselung der VPN nicht noch einmal einen verschlüsselten Container auf meiner DS. MEINE MEINUNG. . Hast du keine VPN und machst deine DS allen von außen zugänglich, dann macht das eher Sinn, aber dann hast du zukünftig viel größere Probleme mit Angriffen.