DiskStation absichern

[Alistair_Macbain]

Gibt/kennst jemand eine Möglichkeit um den Admin der Diskstation aus dem externen Netz zu deaktivieren?
Ich möchte schon gerne auch von unterwegs auf die Daten zugreifen können, finde es aber sicherheitstechnisch etwas bedenklich, wenn der Adminzugriff von extern möglich ist.

 

[Kurt-oe1kyw]

Willkommen im Forum.
Die Frage verstehe ich nicht ganz. Den admin kannst du im Benutzermenü der DS vollständig deaktivieren. Du musst dann nur einem User deiner Wahl Adminrechte zuweisen.
Von extern kommst du immer an deine Daten sofern die jeweiligen Berechtigungen freigegeben wurden. Ansonsten gilt wie immer ein sehr starkes Passwort mit Sonderzeichen usw verwenden und nach Möglichkeit die 2-FA, dann hast du ~8 Sekunden um die Zahlenkombination einzugeben, danach verfällt der Code wieder.

 

[Alistair_Macbain]

Klar kann ich den default admin deaktivieren und nen eigenen admin erstellen. Dann hab ich aber das gleiche Problem nur heißt der admin jetzt nicht mehr admin sondern "heinz" (oder so).

Meine Idee ist den Zugriff auf das Adminkonto nur für Zugriffe aus dem privaten/internen/eigenen Netzwerk zuzulassen. Alles was aus dem Netz kommt, darf zwar zugreifen aber eben nur mit begrenzten Nutzerrechten. Und ja die zusätzlichen Nutzer einrichten ist schön und gut. Bringt mir aber immer noch wenig, wenn ich anstatt user immer noch den Admin von extern nehmen darf.

 

[c0smo]

DSM unterscheidet nicht ob der Login im LAN oder WAN stattfindet. Du kannst in der FW lediglich nach IP's, Länder oder Port sperren. In den Userrechten können Applikationen gesperrt werden. Aber wenn du hier DSM beim Admin deaktivierst, ist schluß mit lustig - wenn's überhaupt zugelassen wird.

 

[peterhoffmann]

Dann hab ich aber das gleiche Problem nur heißt der admin jetzt nicht mehr admin sondern "heinz" (oder so)..

Betrachte mal die Angriffsmöglichkeiten für einen Account mit admin-Rechten:

Möglichkeit 1:
User: admin
PW: (unbekannt)

Möglichkeit 2:
User: (unbekannt)
PW: (unbekannt)

Ein anderer Username statt "admin" erhöht die Sicherheit zusätzlich enorm. Im Grunde hat man dann zwei Passwörter. Wenn einem das noch nicht reicht, kann man ja statt "heinz" so was wie "heinz192emma" nehmen.

 

[Alistair_Macbain]

Schade. Gibt es dann einen externen Dienst,der lediglich den entfernten Dateizugriff über den Webbrowser erlaubt, der problemlos auf dem NAS läuft, wo man User gesondert freigeben kann?
Dann kann zumindest das DSM auf dem Router nicht freigegeben werden.

 

[c0smo]

Du musst DSM nicht von extern erreichbar machen! Alle Dienste (Photostation, Filestation, WebDAV, etc) laufen seperat mit eigenen Ports und sind auch erreichbar ohne DSM Freigabe!

 

[tproko]

Genau, sehe das so wie Cosmo.
Standardport für Dsm sind 5000 bzw. Https 5001.

Du musst diese Ports ja nicht am Router zum NAS freigeben. Bzw. kannst du dir auch Firewallregeln aktivieren, um 5000/5001 auf dein lokales Netz einzuschränken.