DS110j Quickconnect - Sicherheit - Abschied von Cloudanbietern

[macuser]

Hallo, ich habe schon seit einigen Jahren eine DS110j, die ich als Medienserver (Video, Audio, Photo) für 2 TV-Geräte und Datengrab im lokalen Netzwerk nutze. Mittlerweile will ich die DS etwas mehr nutzen, und mich aus den Cloud-Anbietern (Google, Apple, etc) zurückziehen. Webseite hosten hat auch sehr gut funktioniert.

Mich plagen noch folgenden Fragen:

1. Ähnlich wie die Dropbox (welche ich verlassen will) wollte ich mit der Cloud Station meine Dateien über das Internet synchronisieren. Mit Quick Connect funktioniert das sehr gut. Nach einigem Lesen auf verschiedenen Seiten habe ich festgestellt, dass die Daten über die Synology-Serve in den USA und England gesendet werden. Können die Daten mitgelesen werden?

2. Deshalb habe ich die Einrichtung durch Portfreigabe (Speedport 921v) den Sync eingerichtet. Das Problem ist folgendes: Wenn ich die Verbindung des Clienten beim Laptop über freehost erstelle, kann ich nur unterwegs, aber nicht im lokalen Netzwerk zugreifen. Im lokalen Netzwerk gehen nur die lokalen IP's. Ich muss jedesmal die Verbindungsdaten anpassen, wenn ich zu Hause arbeiten will. Quick Connect passt das automatisch an. Gibt es eine manuelle Möglichkeit der Einrichtung?

3. Ist der Datenverkehr bei der Cloud Station mit der manuellen Einrichtung lesbar für böse Jungs?

4. Zur weiteren Sicherheit: Von Außen will ich nur den Sync über Cloud Station und den Zugriff auf die Einloggmaske um auf meine Daten per Browser zu zugreifen. In den Systemeinstellung habe ich unter Webdienste ausschließlich https aktiviert. Folgende Ports sind im Speedport freigegeben: 5006 für iphone, 6690 für Cloud Station, 443 für (ich weiß es nicht mehr), 5001 für den Zugriff auf den Login. Gibt es irgend ein Risiko???

5. Nebensächliches: Ich will mein altes iphone 3gs wahrscheinlich durch ein Blackberry Z10 ersetzen. Gibt es eine Möglichkeit, mit einem Blackberry ähnlich wie mit dem iphone auf die Daten der DS von Außen zuzugreifen, ohne Androidprogramme zu installieren.


Vielen Dank für die Antworten im Voraus

Macuser

 

[Frogman]

1. ... Können die Daten mitgelesen werden?

Welche Informationen da genau fließen, hat noch keiner meines Wissens nach untersucht. Grundsätzlich bietet Transportverschlüsselung (bspw. über SSL) nur das, was der Name sagt - eine Verschlüsselung während des Transports. Der Serverbetreiber, über den Daten weitergeleitet werden, kann grundsätzlich den Inhalt anschauen. Um das per se auszuschliessen, musst Du die Daten selbst verschlüsseln oder alternativ einen VPN-Kanal nutzen, der Dir eine Ende-zu-Ende-Verschlüsselung bieten kann.

2. ...Wenn ich die Verbindung des Clienten beim Laptop über freehost erstelle, kann ich nur unterwegs, aber nicht im lokalen Netzwerk zugreifen. Im lokalen Netzwerk gehen nur die lokalen IP's. ... Gibt es eine manuelle Möglichkeit der Einrichtung?

Grundsätzlich ja - bspw. mit Hilfe des DNS-Servers, den man sich auf der DS installieren kann. Mit diesem kann man dann die DDNS-Namen auch zu Hause auf die lokalen IPs auflösen. Der DNS-Server bedarf allerdings einer gewissen Einarbeitung.

3. Ist der Datenverkehr bei der Cloud Station mit der manuellen Einrichtung lesbar für böse Jungs?

Siehe dazu auch Punkt 1. SSL-verschlüsselt während des Transports ist da wenig kritisch - hier müssten schon SSL-Proxy o.ä. zum Einsatz kommen. Wenn böse Jungs in Dein LAN eindringen können oder eine Lücke auf den Relay-Servern finden, dann können sie dort bei unverschlüsselten Daten prinzipiell zugreifen.

4. Zur weiteren Sicherheit: Von Außen will ich nur den Sync über Cloud Station und den Zugriff auf die Einloggmaske um auf meine Daten per Browser zu zugreifen. In den Systemeinstellung habe ich unter Webdienste ausschließlich https aktiviert. Folgende Ports sind im Speedport freigegeben: 5006 für iphone, 6690 für Cloud Station, 443 für (ich weiß es nicht mehr), 5001 für den Zugriff auf den Login. Gibt es irgend ein Risiko???

Ein Risiko gibt es immer (siehe auch das jüngste Vorkommnis SynoLocker)! Nutzung verschlüsselter Ports liefert Dir aber bereits ein besseres Maß an Sicherheit, VPN wäre allgemein noch ein wenig besser.

5. Nebensächliches: Ich will mein altes iphone 3gs wahrscheinlich durch ein Blackberry Z10 ersetzen. Gibt es eine Möglichkeit, mit einem Blackberry ähnlich wie mit dem iphone auf die Daten der DS von Außen zuzugreifen, ohne Androidprogramme zu installieren.

Über WebDAV sollte ein Zugriff hier auch möglich sein (siehe hier).

 

[macuser]

Hallo, das ging ja unglaublich schnell. Dann weiß ich, wie ich heute meinen freien Tag verbringe... meine Frau "freut" sich schon.

1. Dann ist es besser, ohne Quickconnect auszukommen und versuche mich mit dem DNS-Server einzuarbeiten. Bei den CloudStation-Clienten habe ich immer SSL aktiviert.... reicht das?

4. Kann ich bei VPN die Ports im Speedport schließen? Ich muss erst einmal eine Anleitung finden, wie man per VPN von außerhalb zugreift, das habe ich noch nicht gemacht.

5. Bei WebDav muss ich wieder einen Port öffnen?

Gruß macuser

 

[Frogman]

4. Wenn Du VPN zum Router machst, brauchst Du keine Ports öffnen - bei VPN zur DS schon.
5. Nein - WebDAV (verschlüsselt) läuft üblicherweise auf der DS über Port 5006.

 

[macuser]

Hallo, kleiner Zwischenstandsbericht. Meine Frau meckert, ich habe dagegen meine erste VPN erstellt. Ich habe hier noch einen UMTS-Stick im Laptop zum Testen. Der Mac ist am lokalen Netzwerk. Ich hoffe, dass ich alles richtig gemacht habe. Ich habe in der Synology VPN PPTP mit maximaler Verschlüsselung und nur 3 User ausgewählt.

Im Speedport sind nur noch folgende Ports freigegeben: SFTP: 22 (Zugriff im Ausland mit Filezilla) und 1723 für PPT VPN.

Das IP-Problem bezüglich der Cloud Station hat sich dadurch erledigt, sodass ich permanent die lokalen Adressen verwenden kann. Eigentlich müssten doch die Daten jetzt beim Synchronisieren über VPN sicher sein, sodass man auch sensiblere Daten syncen kann, oder unterliege ich da einem Irrtum?


Gruß macuser

 

[Frogman]

Nein, kein Irrtum. Ein Sync über VPN ist das Beste, was Du mit Deinen Mitteln nutzen kannst.

 

[macuser]

Hallo, iphone 3GS ist jetzt auch eingebunden, wird aber durch ein Blackberry Z10 oder Z30 ersetzt. Iphone 5 ist in der Anschaffung doch etwas teuer, wenn auch problemloser und funktionell.

Ist es korrekt, dass VPN nur im Inland funktioniert? Ansonsten könnte ich den Port 22 noch schließen.


Gruß Macuser

 

[Frogman]

Nein, VPN funktioniert auch im Ausland - gerade dort bspw. in Hotels empfiehlt es sich. Probleme hast Du eventuell dort, wo entsprechende VPN-Ports auch mal gesperrt werden, bspw. in China.

 

[macuser]

Wie groß ist eigentlich die Wahrscheinlichkeit, über den Port 1723 bzw. 22 Daten abzufangen oder Zugriff auf die DS und das Heimnetzwerk zu bekommen? Gibt es da Erfahrungen?

 

[Frogman]

Also ich würde Dir dann eher noch zu VPN-Ipsec oder OpenVPN raten. PPTP ist da durchaus die unsicherste der Drei.

 

[macuser]

Hallo, ich habe jetzt PPTP deaktiviert und Open VPN gestartet. Für den Clienten (Windows 7) ist keinerlei Verschlüsselungseinstellungen einsehbar. Im Prinzip habe ich auf der DS die Konfigurationsdatei exportiert, in den Config-Ordner unter dem Windows-Clienten und die öffentliche IP des Routers (......selfhost.de) in die Datei eingetragen. Es funktioniert, Zugriff ist, aber keine Hinweise bezüglich der Verschlüsselung. Es ist natürlich umständlich, extra noch Software zu installieren. Aber wenn es sicherer ist?

 

[macuser]

Heute ist mein open-vpn-Tag. Ich habe jetzt mit viel Lesen und herumprobieren die Konfigurationsdatei so bearbeitet, dass ich unterwegs zu Hause über meinen Hausanschluss surfen kann. Wenn ich beispielsweise irgendwo im Hotel oder im Ausland bin, dürfte an Passwörter, beispielsweise Bank etc., nicht über das Hotel-WLAN übertragen werden? Ist die Konfiguration in Ordnung, die Änderungen gegenüber dem original der DS sind rot markiert:

dev tun
tls-client

remote beliebigername.selfhost.de 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

dhcp-option DNS 192.168.2.1

pull

proto udp
script-security 2

ca ca.crt


reneg-sec 0

auth-user-pass


Gruß Macuser