Dateien freigabe, trotz VPN

[Ghost108]

Guten Morgen

ich habe eine DS718+ welche von extern NUR via VPN erreichbar ist.
Hin und wieder kommt es vor, dass ich Dateien für externe freigeben muss.

Für den besonderen Fall öffne ich den Port zu meiner Syno, damit der Zugriff von außen auch OHNE VPN funktioniert.
In dem Moment steht natürlich allen die Tür offen - kein schönes Gefühl.

Jetzt dachte ich an folgendes Szenario:
Ich setze auf der Syno ein virtuelles DSM auf, worüber ich dann die bestimmten Dateien zur Verfügung stellen kann.
Würde den Port somit nur in Richtung virtuelle DSM öffnen (bei Bedarf).

Könnte mir vorstellen, dass es dann ähnlich wie eine Sandbox ist (isoliert von der eigentlichen Syno).
Wäre das eine bessere Idee? Oder liege ich falsch?

 

[mayo007]

https://c2.synology.com/de-de/transfer/overview

 

[Ghost108]

Punkt 1: Kostenpflichtig
Punkte 2: Drittanbieter (externe Cloud)

Kommt so leider nicht für mich in Frage.

 

[mayo007]

Synology selbst kann kein Drittanbieter sein. hehe

 

[Ghost108]

naja, da ich die Server von jemand anderem dafür benutze und nicht meine eigene Cloud = Drittanbieter

 

[mayo007]

Wäre das eine bessere Idee?

könnte man machen.

 

[Ghost108]

ja klar kann man das machen
Aber wäre das "sichere" als aktuell?

ich denke mir, es macht einen Unterschied ob ich sage:
Bitte gehen Sie hier durch die Tür (offener Port), dort gelangen sind in mein Haus (Syno)
ODER
Bitte gehen Sie durch diese Tür (offener Port), hier betreten Sie lediglich den Keller (virtuelle DSM)

 

[Rotbart]

Du kannst auch falls vorhanden, die Daten auf die Fritzbox o.ä. schieben und von dort per SFTP abholen lassen.
Oder bei deinem Mailanbieter, falls der sowas anbietet.

 

[Ghost108]

dann müsste ich aber meine Fritzbox vollständig freigeben für extern - auch nicht schön.

 

[Rotbart]

Nee nur das bestimmte Verzeichnis für FTP, mehr nicht, Zugriff auf die Box selber hat dann der User natürlich nicht.

 

[Ghost108]

Dennoch wäre ein "Angreifer" auf der Fritzbox - wäre mir ebenfalls nicht recht :/

 

[Rotbart]

Naja du kannst auch ein anderes Gerät dafür nehmen (Raspi z.b.) dann ist dein Angreifer dort, oder wie schon gesagt die Dateien extern zur Verfügung stellen, irgendein Tod musst du sterben ;-). Alternative und 100% sicher wäre noch USB-Stick und persönliche Übergabe.

hier ist das Problem ähnlich :https://www.synology-forum.de/threa...tos-kalender-etc-gesucht.122767/#post-1022260

 

[Ghost108]

sorry, aber das beantwortet alles nicht meine Frage:
ein Pi wäre wieder ein Zusatzgerät.

Die Frage, welche für mich wichtig ist:
Ist es sicherer die Dateien über die virtuelle DSM zur Verfügung zu stellen, da isoliert oder macht das keinen Unterschied, da diese sowieso physikalisch auf der NAS läuft.

 

[Ulfhednir]

Eine isolierte Maschine, auch wenn sie auf dem selben Host läuft, ist mit Sicherheit sicherer. Wobei ich die Einrichtung für diesen Use-Case als totalen Overkill halte. Läuft bei dir nicht derweil ein Reverse Proxy (Manager)? Der besitzt hat meines Wissens auch eine Basis-Authentifizierung.
Ansonsten könntest du die Daten auch auf einen Webserver pushen.

 

[Rotbart]

Wäre sicherer, aber die VM muss dann auch gegen dein Homenetz abgeblockt sein, d.h. extra Passwörter, in der Firewall auf deinen anderen Geräten gesperrt , VM nur wenn notwendig einschalten ...
Wie gesagt du kannst die Daten ja je nach Grösse auch zu deinem Mailanbieter hochladen und dort per Freigabelink verteilen, falls du dem vertraust.
Man kann da schon viel machen, ist halt immer fraglich ob man das wirklich alles machen muss

 

[Ghost108]

Eine isolierte Maschine, auch wenn sie auf dem selben Host läuft, ist mit Sicherheit sicherer. Wobei ich die Einrichtung für diesen Use-Case als totalen Overkill halte. Läuft bei dir nicht derweil ein Reverse Proxy (Manager)? Der besitzt hat meines Wissens auch eine Basis-Authentifizierung.
Ansonsten könntest du die Daten auch auf einen Webserver pushen.

die iso. Maschine läuft sowieso schon für Testzwecke - aber ohne sensible Daten.
Somit wäre es für meine Situation kein "Overkill"

Aber es beruhigt mich, dass du diese Situation als "sicherer" siehst
Danke!

 

[Ulfhednir]

Jetzt wo du "Testsystem" sagst, muss ich das aber relativieren..
Beim Herumspielen und Tüfteln, hat sich auch schon so manch einer eine Sicherheitslücke ins Haus geholt.