DiskStation & der Zugriff von "außen" ?

[justkidding]

Hallo zusammen,

ich möchte das Thema noch mal hochholen, da ich eine Sache nicht verstehe.
Ich verstehe, dass VPN sicherer ist als Port-Forwarding.
Aber VPN macht nur Sinn, wenn ich ihn direkt auf der Fritzbox installiere oder?
Weil wenn ich z.B. den VPN-Server der DS nutze muss ich doch in der Fritzbox wieder die VPN-Ports auf das NAS weiterleiten oder nicht?
Was hab ich dann gewonnen?

 

[Puppetmaster]

Du gewinnst, dass du nur einen Port freigeben musst und damit nur einen Angriffspunkt im Netz öffnest.

Wenn also das Dachfenster auf Kipp geöfffnet ist, ist das immer noch sicherer, als wenn im Erdgeschoss und im ersten Stock 8 Fenster offen stehen.

 

[Iarn]

Weiterhin sind VPN Ports extrem Gehärtet gegenüber Angriffen, während solche Ports wie 5001 extrem anfällig sind, da zum einen eine Synology eigene Bastellösung und zum zweiten halt Mehrzweckports, welche immer wesentlich angreifbarer sind als Ports mit einem sehr engen Protokoll.

 

[tproko]

Wenn vernünftig möglich, ist es am Router besser, ja.
Fritzbox VPN kann ich nicht beurteilen. Ich habs am Synology Router laufen, früher wars am Syno NAS (LTE (Drecks-)Router von tmobile).

Aber es gibt genug LTE Router/Modem, wo du gar keine Möglichkeit für VPN hast. Und da trifft dann das zu, was @Puppetmaster bereits geschrieben hat.

 

[justkidding]

Danke euch!
Dann werde ich jetzt versuchen auf einen RPi mit Reverse Proxy umzusteigen, so dass ich nur den Port 443 weiterleiten muss, der sollte ja auch ziemlich abgehärtet gegen Angriffe sein oder?

 

[Fusion]

Ports selber sind nicht gehärtet. Es geht um die Dienste die an einem Port lauschen, wie "gehärtet" diese sind gegen Angriffe.
Wenn der Raspi Namensbasiert weiterleitet hast du so zumindest noch einen Filter eingebaut, da nur Anfragen mit den richtigen Hostnamen überhaupt weitergeleitet werden.
Die Sicherheit hängt hier am Reverse Proxy auf dem Raspi.

 

[justkidding]

Okay, und beim Port 443 ist dann der Dienst "HTTPS" oder? Und sollte somit recht sicher sein?
Auf dem Raspi würde ich Raspbian Stretch Lite und Nginx installieren. Über Nginx werden die einzelnen einkommenden Pakete dann doch über die interne IP an die Geräte im Netzwerk verteilt oder?
Was meinst du genau mit Namensbasiert? Trage ich dann statt der internen IP einfach den jeweiligen Hostname ein?

Die Sicherheit hängt hier am Reverse Proxy auf dem Raspi.
Wenn ich das OS des Raspbi immer up to date halte und ein sehr starkes Passwort für den Reverse Proxy wähle müsste die Lösung schon sehr sicher sein oder?

 

[Fusion]

Weiß ja nicht was du genau vorhast, aber ein Reverse Proxy leitet ja normal entweder abhängig vom Port oder vom Hostnamen (via Pfad ist glaube auch möglich) Anfragen weiter.
Und du willst ja nur Port 443 vom Router auf den Raspi leiten, wenn ich das richtige gelesen habe.
Also dass https://dsm.domain.de z.B. auf nas-ip:5000 landet, https://file.domain.de auf nas-ip:7000 und ähnlich.

Das ist dann so sicher wie eben der nginx und seine Module, wenn der Angriff von außen kommt, oder eben wie Raspian, Passwörter etc wenn er von Innen kommt.
So kann man sich alle möglichen Szenarien vorstellen und schauen, ob man ruhig schlafen kann.
Wenn es z.B. eine USB basierten Angriff gibt, wäre mir das relativ Wurst, weil dafür jemand einbrechen müsste. etc.

 

[justkidding]

Also im Prinzip suche ich einen möglichst sicheren Weg (abgesehen von VPN), um von außen auf meinen NAS und dessen Dienste zugreifen zu können. Ich bin auch für andere Lösungen als Reverse Proxy offen Meinem bisherigen Verständnis nach ist das nur die sicherste Alternative.
Meinem Verständnis nach ist es genau so wie du sagst.
Der Raspi wird von außen aus dem Internet angesprochen und je nach dem mit welcher subdomain wird die Anfrage an das passende Gerät im internen Netz auf dem korrekten Port weiter geleitet.
Innerhalb des Routers müsste ich ausschließlich den Port 443 freigeben und diesen auf den Raspi weiterleiten. Alles andere macht dann der Raspi.
Mit Angriff von innen meinst du aus dem lokalen Netzwerk oder? Das von da ein Angriff kommt halte ich für recht unwahrscheinlich, da ich der einzige bin der im WLAN mit Zugriff auf die Geräte ist. Alle weiteren Personen im Haus sowie Gäste bekommen nur das Gast-WLAN. Das heißt es müsste sich erstmal jemand auf der Straße oder in das lokale Netz hacken damit der Angriff von innen kommen könnte oder nicht?
Von außen bin ich natürlich auf die neuesten Sicherheitspatches etc. angewiesen. Aber laut dem was ich bisher gelesen habe gilt NGINX als recht sicher.

 

[tproko]

Was genau spricht für dich gegen VPN?

 

[justkidding]

Hauptsächlich die Tatsache, dass ich den NAS nicht alleine nutze sondern viele aus meiner Familie auch - vor allem für Drive. Ich fände es nicht so toll, wenn sich jeder erstmal jedes Mal in ein VPN wählen muss bevor Daten mit Drive synchronisiert werden können. Hinzu kommt, dass ich Drive auch gerne mal über meinen Firmenrechner nutze und da gar nicht immer die Möglichkeit habe mich ins VPN einzuwählen.

 

[tproko]

Alles klar. Verstehe ich alles, dann wirds mit vpn mühsam.
Vielleicht wäre ja ein zweites kleines NAS für außen und das andere für intern auch ein gangbarer Weg.
Mit täglichen Backups und sync könnte ein 1-Bay auch reichen.

Ps. Bin einfach kein großer Freund davon, interne Daten zu sehr ins Netz zu stellen. Paranoia und so. Aber jeder muss seinen eigenen Weg finden

 

[justkidding]

Hast du ja auch absolut Recht damit
Ich habe gestern auch mit Erstaunen festgestellt, dass Synology Drive problemlos auch mit der quickconnect-ID zu funktionieren scheint.
Aktuell habe ich nach wie vor alle Ports im Router geschlossen und noch keinen Reverse Proxy am Laufen.
Gibt es beim Quickconnect-Dienst irgendwelche Bedenken? Was Sicherheit an geht z.B.? Vielleicht würde mir das für den Fernzugriff schon vollkommen reichen.

 

[SAMU]

Ich selbst habe bis jetzt auch als VPN genutzt,
da mir das aber zu umständlich war, habe ich die Diskstation jetzt auch "offen" im Netz.

Allerdings war ich der Meinung, dass Quickconnect eben nicht gerade der sicherste Weg ist. Insbesondere da die Hauptdomains ja öffentlich bekannt sind, und ich somit immer nur die Subdomains scannen muss und sicher bin auf einer erreichbaren Diskstation zu landen.

Da habe ich lieber eine eigene Domain. Da muss man entweder den Domainnamen kennen oder halt über die IP drüber stolpern (die sich allerdings alle 24h ändert und sowieso auch bei Quickconnect verfügbar ist.)

Solange keine Sicherheitslücke auftaucht, bin ich denke ich mal mit HTTPS und 2-Faktor gut genug geschützt. Zumindest nicht schlechter wie wenn die Daten auf einem OneDrive liegen

 

[tproko]

Bedenken kannst du, dass du von einer fremden Firma abhängig bist. Was du aber sowieso schon seit dem Kauf der syno bist.

Wenn dir die Abhängigkeit zum Synology Login Server egal ist (Blackbox, evt. mal nicht erreichbar) kannst du auch QC nehmen.

 

[Fusion]

Zu quick connect und anderen gibt es white paper die fie Technik erklären.
https://www.synology.com/en-us/support/white_paper

Kurz: ohne Portfreigaben läuft der ganze Verkehr zwischen DS und Client bei externem Zugriff gedrosselt über die Syno Server. Weder nach performance noch nach Sicherheit unbedingt was man will.

 

[Hans im Glück]

Als Neuling was das Thema Synology angeht zwei Fragen:
1. Ich greife momentan nur per VPN (Android bzw. Laptop) auf meine Fritzbox zu (IPSEC) über Dyndns. In der Fritzbox habe ich momentan nur Port 80 freigeschaltet.
Bin ich dann einigermassen sicher, was die Diskstation angeht? Https Zertifikat hab ich keins und wenn ich per VPN drin bin nutze ich nur die Http-Ports, da ich ja quasi im Heimnetz bin.
"Zuhause" läuft alles nur über LN bzw. WLAN und Familie.

2. Meiner Familie habe ich Benutzer-Home-Konten eingerichtet, auf welche die nur als Benutzer zugreifen können und den Plex-Server für Filme, kann da bzgl. Viren dann in den anderen Verzeichnissen (Backups) was passieren? Natürlich haben alle PCs zu Hause mind. den Windows Defender drauf.

Danke im Voraus für eure Hilfe, Links.

 

[Frogman]

In der Fritzbox habe ich momentan nur Port 80 freigeschaltet.Bin ich dann einigermassen sicher, was die Diskstation angeht? Https Zertifikat hab ich keins und ...

Wenn der Zugriff auf die DS nur über den VPN-Tunnel erfolgt, brauchst Du Port 80 nicht freigeben! Und zum Zertifikat: ein SSL-Zertifikat hast Du sehr wohl (und das wird für alle(!) verschlüsselten Dienste der DS eingesetzt, nicht nur https). Es ist generisch vom DSM erstellt und ist genauso sicher wie ein gekauftes Zertifikat oder jenes, was kostenlos über Let's Encrypt erstellt werden kann. Letztere werden gerne dann genommen, wenn man per Domainname auf einen Server zugegriffen wird und man nicht immer Warnungen quittieren möchte, wenn Domain und Bezeichnung im Zertifikat nicht übereinstimmen.

2. Meiner Familie habe ich Benutzer-Home-Konten eingerichtet, auf welche die nur als Benutzer zugreifen können und den Plex-Server für Filme, kann da bzgl. Viren dann in den anderen Verzeichnissen (Backups) was passieren?

Das ist nicht ausgeschlossen. Zugriffe auf Freigaben können über diverse Pfade laufen. Eine belastbare (mehrstufige) Backup-Strategie berücksichtigt auch, dass Daten auf dem Server oder einem Backup der ersten Stufen betroffen sind.

 

[Hans im Glück]

Das heisst: Sicher ist man nie, dachte ich mir schon, das gößte Sicherheits-Problem sitzt meist vor dem Rechner.
Aber wie sichert man sich am Besten ab? Der freie Virenscanner der DS soll ja nicht so gut sein, also lieber im Vorfeld auf den PCs gute Virenscanner einsetzen.
Firewall auf der DS, wenn nur über VPNzugang da ist, wäre wohl zuviel Paranoia, da Hybridrouter (mit ports zur Firtzbox) und dahinter Fritzbox ohne offene Ports wohl recht dicht ist.
Hab ich noch irgendwas zu beachten oder nachzulesen?

 

[Hans im Glück]

So ich nochmal:
Frage zu Volumen und Sicherheit:
macht es Sinn aus Sicherheitsgründen 2 Volumen zu verwenden statt einem (SHR1-Volumen)?
Also: Alle Backups und wichtige berufliche Daten auf Volumen 2
Alle unwichtigen Daten, wie einfache Documente, Austauschdateien, Kalenderdaten, Videos usw. auf Volumen 1.

Oder könnte so auch theoretisch ein Virus, Trojaner oder was auch immer innerhalb der DS von einem Volumen direkt auf das andere übergehen? Volumen sind ja sowas wie Partitionen, allerdings speicher ich bei Volmen 2 ja nur.
Könnte man das Backup-Volumen2 so besser schützen als Odrner mit wenig Zugriffsrechten (nur Admin, also ich).

Per Google hab ich da unterschiedliche Antworten gefunden von mehr an Sicherheit bis eher Komplettausfall usw.

P.S.: Eine 2. DS kommt erstmal nicht in Frage.