Synology Dissertation wie echten Server nutzen dank 2 Routern?

[hintzsche]

Hallo, wenn ich zwei Router nutze könnte ich doch die Discstation wie einen Normalen Server nutzen. Als Beispiel: Ich habe zwei Fritzboxen. An der ersten die mit dem Internet verbunden ist ist die Discstation als exposed Host angeschlossen, während ein zweiter Router im Gast Lan angeschlossen ist an dem alle anderen Netzwerkgeräte angeschlossen sind. Bei einer Angriff hätte der Angreifer also keinen Zugriff auf die anderen Geräte im Netz. Was haltet ihr von diesem Aufbau?

 

[plang.pl]

Wenn deine Diskstation als File-Server dient (wovon ich ausgehe), würde ich das nicht machen. Denn dann sind dennoch alle deine Daten kompromittiert. Die Clients, die auf die DS zugreifen, sind dann im Zweifel auch befallen. Warum willst du das überhaupt tun?
Wenn du was ins Internet exposed, sollte das kein Dienst auf dem File-Server sein. Und warum Exposed Host und nicht nur die Ports freigeben, die du tatsächlich benötigst?
Was willst du überhaupt genau erreichen / betreiben?

 

[Benares]

Kommt halt drauf an, was schützenswerter ist, das NAS mit deinen Daten oder die Clients?
Exposed Hosts (also auf Durchzug) würde ich nie einsetzen, auch nicht bei kaskadierten Routern. Auch da sollte man Regeln für die DMZ definieren.

 

[alexhell]

Hatten wir das Thema nicht schon mal mit die DS als exposed Host?

 

[hintzsche]

Weshalb würdest du das bei kaskadierten Routern auch nicht einsetzen?

Hatten wir das Thema nicht schon mal mit die DS als exposed Host?

Richtig aber da hatte ich noch keinen zweiten Router der den Rest des Netzwerks schützt. Exposed Host ist halt die einfachste Lösung und warum sollte man einen Server nicht nutzen wie einen Server.

 

[plang.pl]

Ja das hatten wir. Ich glaube auch nicht nur einmal. Wenn man überhaupt irgendwas als Exposed Host einer Fritte definiert, ist das entweder ein Honeypot-Server, der ausreichend vom Heimnetz abgeschottet ist oder eine Firewall.

Weshalb würdest du das bei kaskadierten Routern auch nicht einsetzen?

Weil es nicht sein muss. Was willst du denn damit erreichen?

 

[alexhell]

Ja das hatten wir. Ich glaube auch nicht nur einmal.

Ja, aber ich meinte das Thema war auch von @hintzsche.
Mir fällt auch kein Grund ein wieso man eine NAS als exposed Host betreiben will. Außer man will sein NAS auch anderen zur Verfügung stellen

 

[plang.pl]

aber ich meinte das Thema war auch von @hintzsche.

https://www.synology-forum.de/threa...-zugriff-aus-dem-internet.128012/post-1094025

 

[hintzsche]

Ich kann ja noch mal schreiben ich will den Server benutzen wie jeden gemieteten Server. Bei dem ich dann auch das Problem habe, wenn der angegriffen wird sind auch da meine verbundene Clients befallen. Meine Diskstation läuft als Audiostation, Chat server und Drive server. Es gibt keinen FTP zugriff die Clients können sich. nur über HTTPS oder die Clients von Synology mit dem Server verbinden.

 

[plang.pl]

Ums mal klipp und klar zu formulieren: Das ist grob fahrlässig.
Du hast zudem immer noch nicht geschrieben, was du erreichen willst.

 

[alexhell]

Dann miete dir lieber einen. Ein gemieteter Server steht in einem Rechenzentrum und da gibt es Security Teams die alles mögliche für dich absichern.

 

[hintzsche]

Das oder ich sichere es selber ab. Ich will erreichen das ich die Diskstation wie einen gemieteten server ohne Umwege direkt aufrufen und verwalten kann. kein reverse proxy keine dyndns etc.

Was ist grob fahrlässig? Es geht um meine Daten und meine Geräte.

 

[alexhell]

Und du meinst deine Kenntnisse reichen aus, wenn du in einem Forum danach fragen musst?
Reverse Proxy und DynDNS haben aber erstmal nichts mit Security zu tun.

 

[McFlyHH]

Beim Thread-Titel hatte ich vollkommen andere Assoziationen zum Inhalt ...

 

[hintzsche]

Sorry Autokorrektur

Aber ehrlich ich weiß nicht wo das Problem liegt:

1. Zweistufige Netzwerktrennung: Durch den Einsatz eines Haupt-Routers und eines nachgeschalteten zweiten Routers im Gastnetzwerk entsteht eine robuste Trennung der Netzwerke. Das als Exposed Host konfigurierte Gerät ist lediglich im Netz des Haupt-Routers zu finden, während alle anderen Geräte sicher hinter dem zweiten Router verborgen bleiben.
2. Absolute Isolation: Dieses Setup sorgt für eine komplette Isolation des Exposed Hosts von Ihren anderen wertvollen Netzwerkgeräten. Ein potentielles Eindringen in den Exposed Host gibt keinem Angreifer die Möglichkeit, auf Geräte im zweiten Netzwerk zuzugreifen.
3. Optimale Sicherheitsmaßnahmen: Während diese Zwei-Router-Struktur bereits einen hohen Sicherheitsstandard bietet, ist sie auch kompatibel mit allen weiteren Sicherheitsfeatures, die moderne Router bieten. Das bedeutet, Sie können Firewalls, Intrusion-Detection-Systeme und andere Schutzmechanismen zusätzlich aktivieren.

Diese Methode, bei der ein Gerät als Exposed Host hinter einem Haupt-Router und vor einem Zweitrouter platziert wird, stellt aktuell eine der sichersten Möglichkeiten dar, spezielle Dienste oder Anwendungen frei zugänglich zu machen, ohne das restliche Heimnetzwerk zu kompromittieren.

In der Praxis hat sich dieses Modell bereits vielfach bewährt und bietet sowohl für erfahrene Netzwerkadministratoren als auch für den alltäglichen Gebrauch eine zuverlässige und sichere Lösung.

 

[maxblank]

Richtig aber da hatte ich noch keinen zweiten Router der den Rest des Netzwerks schützt. Exposed Host ist halt die einfachste Lösung und warum sollte man einen Server nicht nutzen wie einen Server.

Wer stellt einen Server als exposed Host ohne Firewall davor ins Internet? Selbst in der DMZ wird dieser durch Firewalls abgeschirmt.
Seltsame Aussage…

 

[alexhell]

Ja, aber deine NAS ist alles andere als sicher....
Aber wenn du der Meinung bist, dass ist die tollste Idee, dann mach es doch. Wir werden dich doch davon nicht abhalten. Es ist deine NAS und es sich deine Daten. Also nur zu....

 

[alexhell]

Was vielleicht noch dagegen spricht bzw. sprechen sollte: https://www.cvedetails.com/vulnerab...ct_id-26781/Synology-Diskstation-Manager.html

 

[ctrlaltdelete]

Zum ablegen der Dissertation wirds reichen.

 

[hintzsche]

Wer stellt einen Server als exposed Host ohne Firewall davor ins Internet? Selbst in der DMZ wird dieser durch Firewalls abgeschirmt.
Seltsame Aussage…

nicht unbedingt, ist es nicht immer notwendig aus folgenden Gründen:

1. Innovative Sicherheitslösungen: Mit der rasanten Entwicklung der Technologie gibt es mittlerweile zahlreiche Sicherheitslösungen, die ebenso effektiv, wenn nicht sogar besser als traditionelle Firewalls sein können. Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) oder fortgeschrittene Endpunkt-Sicherheitslösungen können den Schutz bieten, den ein Netzwerk benötigt.
2. Integrierte Sicherheit: Moderne Netzwerkgeräte, einschließlich vieler Router und Switches, haben bereits eingebaute Sicherheitsfunktionen, die den Datenverkehr überwachen und filtern können. In solchen Fällen könnte eine separate Firewall redundant sein. Die discstation hat z.B. ihre eigene Firewall.
3. Kontrollierter Datenverkehr: In Umgebungen, in denen der eingehende und ausgehende Datenverkehr sehr spezifisch und begrenzt ist, könnte der Einsatz einer vollständigen Firewall überdimensioniert sein. Ein sorgfältig konfiguriertes Netzwerk könnte ausreichen, um sicherzustellen, dass nur legitimer Verkehr durchgelassen wird.
4. Kosten und Komplexität: Firewalls, insbesondere Enterprise-Level-Lösungen, können teuer in Anschaffung und Wartung sein. In einigen Fällen, insbesondere bei kleineren Unternehmen oder Start-ups, könnte der Nutzen nicht die Kosten rechtfertigen.

Ja, aber deine NAS ist alles andere als sicher....
Aber wenn du der Meinung bist, dass ist die tollste Idee, dann mach es doch. Wir werden dich doch davon nicht abhalten. Es ist deine NAS und es sich deine Daten. Also nur zu....

Auch das stimmt so nicht:

1. Sicherheitsfeatures moderner NAS-Systeme: Aktuelle NAS-Modelle renommierter Hersteller sind mit einer Vielzahl von Sicherheitsfunktionen ausgestattet. Dazu gehören Firewalls, automatische Blockierungen bei wiederholten fehlgeschlagenen Zugriffsversuchen, Verschlüsselung und regelmäßige Sicherheitsupdates.
2. Trennung von Funktionen: Selbst wenn ein NAS als Exposed Host eingerichtet ist, bedeutet das nicht, dass alle Dienste und Daten des NAS öffentlich zugänglich sind. Administratoren können spezifische Dienste, wie FTP oder Webzugriff, für den externen Zugriff freigeben und dabei andere Dienste und Daten intern halten.
3. Verschlüsselung: Die auf dem NAS gespeicherten Daten können verschlüsselt werden, sodass selbst bei einem unerwünschten Zugriff die Daten ohne den richtigen Schlüssel unleserlich sind.
4. Regelmäßige Backups: Die meisten NAS-Geräte bieten automatisierte Backup-Lösungen. Sollte das NAS kompromittiert werden, sind die Daten durch regelmäßige Backups geschützt und können wiederhergestellt werden.
5. Aktualität der Firmware: Namhafte NAS-Hersteller veröffentlichen regelmäßig Firmware-Updates, die Sicherheitslücken schließen. Ein regelmäßig aktualisiertes NAS ist gegen die meisten bekannten Angriffsmethoden gewappnet.
6. Zwei-Faktor-Authentifizierung: Einige NAS-Systeme bieten die Möglichkeit, eine Zwei-Faktor-Authentifizierung (2FA) zu aktivieren, was das Risiko eines unberechtigten Zugriffs erheblich reduziert.