Synology Dissertation wie echten Server nutzen dank 2 Routern?

hintzsche

Benutzer
Mitglied seit
18. Jan 2023
Beiträge
87
Punkte für Reaktionen
2
Punkte
8
Hallo, wenn ich zwei Router nutze könnte ich doch die Discstation wie einen Normalen Server nutzen. Als Beispiel: Ich habe zwei Fritzboxen. An der ersten die mit dem Internet verbunden ist ist die Discstation als exposed Host angeschlossen, während ein zweiter Router im Gast Lan angeschlossen ist an dem alle anderen Netzwerkgeräte angeschlossen sind. Bei einer Angriff hätte der Angreifer also keinen Zugriff auf die anderen Geräte im Netz. Was haltet ihr von diesem Aufbau?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Wenn deine Diskstation als File-Server dient (wovon ich ausgehe), würde ich das nicht machen. Denn dann sind dennoch alle deine Daten kompromittiert. Die Clients, die auf die DS zugreifen, sind dann im Zweifel auch befallen. Warum willst du das überhaupt tun?
Wenn du was ins Internet exposed, sollte das kein Dienst auf dem File-Server sein. Und warum Exposed Host und nicht nur die Ports freigeben, die du tatsächlich benötigst?
Was willst du überhaupt genau erreichen / betreiben?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.832
Punkte für Reaktionen
3.770
Punkte
468
Kommt halt drauf an, was schützenswerter ist, das NAS mit deinen Daten oder die Clients?
Exposed Hosts (also auf Durchzug) würde ich nie einsetzen, auch nicht bei kaskadierten Routern. Auch da sollte man Regeln für die DMZ definieren.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Hatten wir das Thema nicht schon mal mit die DS als exposed Host?
 

hintzsche

Benutzer
Mitglied seit
18. Jan 2023
Beiträge
87
Punkte für Reaktionen
2
Punkte
8
Weshalb würdest du das bei kaskadierten Routern auch nicht einsetzen?

Hatten wir das Thema nicht schon mal mit die DS als exposed Host?

Richtig aber da hatte ich noch keinen zweiten Router der den Rest des Netzwerks schützt. Exposed Host ist halt die einfachste Lösung und warum sollte man einen Server nicht nutzen wie einen Server.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ja das hatten wir. Ich glaube auch nicht nur einmal. Wenn man überhaupt irgendwas als Exposed Host einer Fritte definiert, ist das entweder ein Honeypot-Server, der ausreichend vom Heimnetz abgeschottet ist oder eine Firewall.
Weshalb würdest du das bei kaskadierten Routern auch nicht einsetzen?
Weil es nicht sein muss. Was willst du denn damit erreichen?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564

hintzsche

Benutzer
Mitglied seit
18. Jan 2023
Beiträge
87
Punkte für Reaktionen
2
Punkte
8
Ich kann ja noch mal schreiben ich will den Server benutzen wie jeden gemieteten Server. Bei dem ich dann auch das Problem habe, wenn der angegriffen wird sind auch da meine verbundene Clients befallen. Meine Diskstation läuft als Audiostation, Chat server und Drive server. Es gibt keinen FTP zugriff die Clients können sich. nur über HTTPS oder die Clients von Synology mit dem Server verbinden.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ums mal klipp und klar zu formulieren: Das ist grob fahrlässig.
Du hast zudem immer noch nicht geschrieben, was du erreichen willst.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Dann miete dir lieber einen. Ein gemieteter Server steht in einem Rechenzentrum und da gibt es Security Teams die alles mögliche für dich absichern.
 

hintzsche

Benutzer
Mitglied seit
18. Jan 2023
Beiträge
87
Punkte für Reaktionen
2
Punkte
8
Das oder ich sichere es selber ab. Ich will erreichen das ich die Diskstation wie einen gemieteten server ohne Umwege direkt aufrufen und verwalten kann. kein reverse proxy keine dyndns etc.

Was ist grob fahrlässig? Es geht um meine Daten und meine Geräte.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Und du meinst deine Kenntnisse reichen aus, wenn du in einem Forum danach fragen musst?
Reverse Proxy und DynDNS haben aber erstmal nichts mit Security zu tun.
 

McFlyHH

Benutzer
Mitglied seit
02. Jan 2014
Beiträge
429
Punkte für Reaktionen
82
Punkte
28
Beim Thread-Titel hatte ich vollkommen andere Assoziationen zum Inhalt ... :unsure: ;)
 

hintzsche

Benutzer
Mitglied seit
18. Jan 2023
Beiträge
87
Punkte für Reaktionen
2
Punkte
8
Sorry Autokorrektur :)

Aber ehrlich ich weiß nicht wo das Problem liegt:


  1. Zweistufige Netzwerktrennung: Durch den Einsatz eines Haupt-Routers und eines nachgeschalteten zweiten Routers im Gastnetzwerk entsteht eine robuste Trennung der Netzwerke. Das als Exposed Host konfigurierte Gerät ist lediglich im Netz des Haupt-Routers zu finden, während alle anderen Geräte sicher hinter dem zweiten Router verborgen bleiben.
  2. Absolute Isolation: Dieses Setup sorgt für eine komplette Isolation des Exposed Hosts von Ihren anderen wertvollen Netzwerkgeräten. Ein potentielles Eindringen in den Exposed Host gibt keinem Angreifer die Möglichkeit, auf Geräte im zweiten Netzwerk zuzugreifen.
  3. Optimale Sicherheitsmaßnahmen: Während diese Zwei-Router-Struktur bereits einen hohen Sicherheitsstandard bietet, ist sie auch kompatibel mit allen weiteren Sicherheitsfeatures, die moderne Router bieten. Das bedeutet, Sie können Firewalls, Intrusion-Detection-Systeme und andere Schutzmechanismen zusätzlich aktivieren.
Diese Methode, bei der ein Gerät als Exposed Host hinter einem Haupt-Router und vor einem Zweitrouter platziert wird, stellt aktuell eine der sichersten Möglichkeiten dar, spezielle Dienste oder Anwendungen frei zugänglich zu machen, ohne das restliche Heimnetzwerk zu kompromittieren.

In der Praxis hat sich dieses Modell bereits vielfach bewährt und bietet sowohl für erfahrene Netzwerkadministratoren als auch für den alltäglichen Gebrauch eine zuverlässige und sichere Lösung.
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.197
Punkte für Reaktionen
2.209
Punkte
289
Richtig aber da hatte ich noch keinen zweiten Router der den Rest des Netzwerks schützt. Exposed Host ist halt die einfachste Lösung und warum sollte man einen Server nicht nutzen wie einen Server.

Wer stellt einen Server als exposed Host ohne Firewall davor ins Internet? Selbst in der DMZ wird dieser durch Firewalls abgeschirmt.
Seltsame Aussage… 😲
 
  • Like
Reaktionen: Benares

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Ja, aber deine NAS ist alles andere als sicher....
Aber wenn du der Meinung bist, dass ist die tollste Idee, dann mach es doch. Wir werden dich doch davon nicht abhalten. Es ist deine NAS und es sich deine Daten. Also nur zu....
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.670
Punkte für Reaktionen
5.841
Punkte
524
Zum ablegen der Dissertation wirds reichen. :cool:
 
  • Love
Reaktionen: synfor

hintzsche

Benutzer
Mitglied seit
18. Jan 2023
Beiträge
87
Punkte für Reaktionen
2
Punkte
8
Wer stellt einen Server als exposed Host ohne Firewall davor ins Internet? Selbst in der DMZ wird dieser durch Firewalls abgeschirmt.
Seltsame Aussage… 😲

nicht unbedingt, ist es nicht immer notwendig aus folgenden Gründen:

  1. Innovative Sicherheitslösungen: Mit der rasanten Entwicklung der Technologie gibt es mittlerweile zahlreiche Sicherheitslösungen, die ebenso effektiv, wenn nicht sogar besser als traditionelle Firewalls sein können. Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) oder fortgeschrittene Endpunkt-Sicherheitslösungen können den Schutz bieten, den ein Netzwerk benötigt.
  2. Integrierte Sicherheit: Moderne Netzwerkgeräte, einschließlich vieler Router und Switches, haben bereits eingebaute Sicherheitsfunktionen, die den Datenverkehr überwachen und filtern können. In solchen Fällen könnte eine separate Firewall redundant sein. Die discstation hat z.B. ihre eigene Firewall.
  3. Kontrollierter Datenverkehr: In Umgebungen, in denen der eingehende und ausgehende Datenverkehr sehr spezifisch und begrenzt ist, könnte der Einsatz einer vollständigen Firewall überdimensioniert sein. Ein sorgfältig konfiguriertes Netzwerk könnte ausreichen, um sicherzustellen, dass nur legitimer Verkehr durchgelassen wird.
  4. Kosten und Komplexität: Firewalls, insbesondere Enterprise-Level-Lösungen, können teuer in Anschaffung und Wartung sein. In einigen Fällen, insbesondere bei kleineren Unternehmen oder Start-ups, könnte der Nutzen nicht die Kosten rechtfertigen.

Ja, aber deine NAS ist alles andere als sicher....
Aber wenn du der Meinung bist, dass ist die tollste Idee, dann mach es doch. Wir werden dich doch davon nicht abhalten. Es ist deine NAS und es sich deine Daten. Also nur zu....

Auch das stimmt so nicht:

  1. Sicherheitsfeatures moderner NAS-Systeme: Aktuelle NAS-Modelle renommierter Hersteller sind mit einer Vielzahl von Sicherheitsfunktionen ausgestattet. Dazu gehören Firewalls, automatische Blockierungen bei wiederholten fehlgeschlagenen Zugriffsversuchen, Verschlüsselung und regelmäßige Sicherheitsupdates.
  2. Trennung von Funktionen: Selbst wenn ein NAS als Exposed Host eingerichtet ist, bedeutet das nicht, dass alle Dienste und Daten des NAS öffentlich zugänglich sind. Administratoren können spezifische Dienste, wie FTP oder Webzugriff, für den externen Zugriff freigeben und dabei andere Dienste und Daten intern halten.
  3. Verschlüsselung: Die auf dem NAS gespeicherten Daten können verschlüsselt werden, sodass selbst bei einem unerwünschten Zugriff die Daten ohne den richtigen Schlüssel unleserlich sind.
  4. Regelmäßige Backups: Die meisten NAS-Geräte bieten automatisierte Backup-Lösungen. Sollte das NAS kompromittiert werden, sind die Daten durch regelmäßige Backups geschützt und können wiederhergestellt werden.
  5. Aktualität der Firmware: Namhafte NAS-Hersteller veröffentlichen regelmäßig Firmware-Updates, die Sicherheitslücken schließen. Ein regelmäßig aktualisiertes NAS ist gegen die meisten bekannten Angriffsmethoden gewappnet.
  6. Zwei-Faktor-Authentifizierung: Einige NAS-Systeme bieten die Möglichkeit, eine Zwei-Faktor-Authentifizierung (2FA) zu aktivieren, was das Risiko eines unberechtigten Zugriffs erheblich reduziert.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat