Externer Zugriff auf die Diskstation - welche Methode ist die sicherste

[Joker]

Hallo Leute,
ich bin gerade dabei meine neue DS216+ii zu konfigurieren. Ich bin nun an dem Punkt angelangt, wo es um den Zugriff von extern geht. Hier stellt sich mir jetzt die Frage, welche Methode am sinnvollstens und sichersten ist. Soll ich den vermeintlich einfachen Weg über EZ gehen. Oder sollte ich besser über meinen Router (eine FB 7490) und einen DynDNS Dienst gehen. Und wäre es sinnvoll, bei dieser Methode ein VPN einzusetzen?
Und bei dem VPN frage ich mich, ob ich das FritzBox VPN (welches ich schon eingerichtet habe) nutzen sollte, oder doch lieber das VPN Paket auf der DS installieren?
Ich bin hier unschlüssig. Bitte entschuldigt, falls es sich hier um eine dumme Frage handeln sollte.
Ich möchte den externen Zugriff, um über die iOS Apps auf die Note Station und Photo Station zugreifen zu können. Ausserdem möchte ich den neuen Calender benutzen.
Vielen Dank für Eure Hilfe.
Gruss
Christian

 

[Stewi]

Ist wohl letztendlich Geschmackssache, aber auf jeden Fall einen Tunnel. Wenn du das VPN der FritzBox schon eingerichtet hast und es funktioniert, dann nutze es doch auch.

 

[whitbread]

Wer eine Fritzbox betreibt hängt per se Sicherheit nicht besonders hoch.
Solange dann verschlüsselte Kommunikation verwendet wird - egal ob VPN oder HTTPS - ist die Minimalanforderung an Sicherheit erfüllt - mehr nicht.

 

[Puppetmaster]

Wer eine Fritzbox betreibt hängt per se Sicherheit nicht besonders hoch.

Also, diese Aussage ist dann vielleicht doch etwas zu pauschal. Zumindest solltest du diese Aussage mal mit ein paar Argumenten unterfüttern.

Für einen Heimanwender ist eine Fritzbox eine gute und sichere Sache. Wenn du Firmendaten schützen möchtest wirst du dir wohl auch andere Gedanken machen.

 

[Nomad]

Jetzt bin ich doch neugierig geworden.

Welche Probleme hat denn die Fritzbox?

 

[whitbread]

Ja, für den Heimanwender, der lediglich ausgehenden Traffic hat, ist eine Fritzbox ausreichend. Allerdings geht es ja hier darum, Dienste im Internet zur Verfügung zu stellen.

Die Fritzbox hat keine Probleme, sondern ist ein ganz normaler DSL-Router. Hinter diesem - ohne zusätzliche Firewall - im Internet verfügbare Dienste zu betreiben halte ich für unverantwortlich, auch wenn es nur um Oma's Urlaubsphotos geht...

Die Unterscheidung bei der Sicherheit nach privatem und geschäftlichen Daten ist imho nicht mehr zeitgemäss. Jeder, insbesondere der, der Dienste (wenn auch nur für sich selbst) bereitstellt, sollte entsprechend seiner Möglichkeiten das Maximum an Sicherheit umsetzen. Es geht ja heute nicht mehr nur darum, dass jemand an Deine Daten kommt oder diese mit erpresserischer Absicht verschlüsselt, sondern mit IoT kommen auch ganz schnell mal Geräte ans Netz, die ohne entsprechende Massnahmen von anderen als Mittel für Angriffe genutzt werden können.

Im geschäftlichen Bereich kann und muss der kontinuierlichen Überwachung des ein- und ausgehenden Traffics sicherlich deutlich mehr Bedeutung zugemessen werden, aber vom Grund-Setup sollte der private Anschluss genauso abgesichert sein wie ein geschäftlicher (nehmen wir hier mal KMU als Masstab).

 

[Nomad]

Ahem...

Und ich dachte schon die Fritzbox hätte irgendwelche Zero-Days die noch nicht gefixt wurden...

 

[Arni]

Hinter diesem - ohne zusätzliche Firewall - im Internet verfügbare Dienste zu betreiben halte ich für unverantwortlich,

Immerhin haben die Fritzboxen ja eine Software-Firewall und die reicht nicht mehr aus? Also IMHO ist der Aufwand eine Hardware-Firewall von Genua, Fortinet etc. zu betreiben, für den privaten Anwender zu aufwändig. Aber jeder so wie er es mag

 

[Puppetmaster]

@whitbread: viel schlauer bin ich jetzt nicht geworden. Was sollen denn nun konkret die Schwächen einer Fritzbox sein?

Dass du die Unterscheidnung von privat und professionell nicht mehr ziehst oder siehst, tja, ich sehe die schon noch. Denn mir entsteht privat nicht unbedingt ein wirtschaftlicher Schaden, wenn ich privat Dienste aus meinem Heimnetz anbiete. Da gibt's einfach zu wenig zu holen. Erst recht für jemanden, der dort gezielt einbrechen will. Ich hoste keine Datenbanken mit Zugangsdaten oder Kreditkartendaten. Meine Urlaubsfoto oder -filme? Glaub ich jetzt auch nicht ...
Ich seh's ja auch an den "unzähligen" 10-20 falschen Logins pro Jahr, wie ungemein attraktiv meine Zugang von aussen zu sein scheint.

Für mein Verständnis besteht da sehr wohl ein Unterschied im zu betreibenden Aufwand von privat und professionell. Davon ab möchte als Privatmann auch ganz einfach keine 5stellige Summe für Zugangssicherung ausgeben.

 

[Nomad]

Ihm scheint einfach nicht klar zu sein, dass die Fritzboxen selbst immer im Feuer stehen sobald sie sich mit dem Internet verbinden. Für einen Angriff auf das eigene Netzwerk bedarf es keiner Löcher in Form von Portweiterleitungen. Braucht man Löcher und bohrt sie, dann muss man sie natürlich auch sichern.

 

[whitbread]

Nun wollen wir nicht übertreiben - der finanzielle Aufwand für eine Firewall liegt im 2-stelligen Bereich. Die Funktionalität der Fritten halte ich für nicht ausreichend. Die Fritzbox hat in dem Sinne keine Schwächen, wenn Sie nicht als Firewall missbraucht wird. Lasst das Ding von mir aus als Einwahl-Router laufen, aber dahinter gehört eine Firewall. Diese kann Angriffe erkennen, IP's sperren, Sperrlisten verwalten, Abnormalitäten erkennen, Port-Knocking, zertifikatbasiertes VPN, etc.

@Puppetmaster: Klar - mit zunehmender Brisanz der Daten steigt auch das Risiko bzw. der Schaden, aber per se halte ich eine Netztrennung mittels Firewall bei Bereitstellung von Internetdiensten auch bei Privaten NASen für richtig und wichtig. Sobald entweder in der Fritte oder in der NAS ein Exploit existiert das Gerät ggf. auch für weitere Angriffe genutzt werden. Ich will mich nicht mit einem grossen Konzern vergleichen, aber die Sicherheit eines kleinen Handwerksbetriebes oder einer Arztpraxis möchte ich schon erreichen.

 

[nas_stephan]

Hallo whitbread,

wie würde denn ein Beispiel Setup als Minimal Empfehlung deiner Meinung nach aussehen? Bitte mit Marken/Modellnamen und ca. Kosten für Hardware. Habe selbst auch eine FB, wenn auch bisher keine externen Zugriffe freigeschaltet.

Danke,
Gruß

 

[whitbread]

Die günstigste HW gibt es imho von MikroTik; Einstiegsmodell ist hAP lite so ab 25,-. Für um die 60,- gibt es dann schon recht performante Router mit unterschiedlichem Fokus (WLAN / VPN / etc). Für normale Internetanbindungen bis 100MBit reichen aber die Einstiegsmodelle aus. Weitere Details unter www.routerboard.com. Ehrlicherweise ist die Konfiguration recht anspruchsvoll. Neben individuell einstellbarer Firewall lässt sich bspw. auch recht einfach Port Knocking konfigurieren (meine Empfehlung). Je nachdem, welche Dienste angeboten werden, halte ich auch GeoIP-Sperren für sinnvoll.
Für weniger versierte Netzwerker würde ich dann eher die einfacher zu konfigurierbaren Alternativen Sophos UTM (kostenlos für Homeuser) oder pfSense vorschlagen. Kosten so ab 100,- bis 150,- (Sophos gebraucht, da neu zu teuer).

 

[Matis]

.... damit hast Du immer noch kein Wort dazu gesagt, was die Fritte in Deinen Augen so unsicher macht. Gegen was muss sich denn ein normaler Nutzer schützen, das die FB einfach durchlässt?

 

[rednag]

Die Fritz!Boxen haben z. B. kein IDS/IPS.
Ist ein Port offen und an die DS geroutet wird ausnahmslos jeglicher Traffic dort aufschlagen.
Eine dedizierte FW nach der FB wäre mir auch am liebsten, mangels Expertise aber noch nicht umgesetzt.

 

[whitbread]

Ist doch ganz einfach: Die Fritte in der Grundkonfiguration lässt erstmal keinen incoming traffic durch - so weit so gut. Somit könnte der normale Nutzer hier aufhören zu lesen.

Wenn Du jetzt aber einen Webserver oder Dein DSM oder sonstwas von ausserhalb Deines Netzwerkes erreichen willst machst Du Portforwardung. Der Port ist nun weltweit offen (auch für bekannte böse Adressen) und der darüber laufende Traffic wird nicht weiter geprüft - hier endet die Funktionalität der Fritte. Jetzt kannst Du auf Deiner NAS noch gewisse Regeln aufsetzen, aber der traffic bis zu NAS hat weiter freien Lauf. Ist jetzt irgendwo ein Einfallstor im DSM oder auf dem Webserver ist der Weg auf Dein ganzes Netzwerk frei!

Jetzt verstanden wozu es eine FW braucht, wenn man Dienste öffentlich bereitstellt?

Achja, mangelnde Expertise ist eine schlechte Ausrede - dann nimm einfach eine Sophos UTM oder den Router von Synology.

 

[rednag]

Hab jetzt mal Spaßeshalber nach den Preisen von Sophos geguckt.
Ich lege mir jetzt eine FW für rund 50.000€ zu um meine Filmesammlung zu schützen.

 

[mr coffee]

Und ich hab spaßeshalber mal nach den kostenlosen Produkten für Heimanwender geguckt:
https://www.sophos.com/de-de/products/free-tools/sophos-utm-home-edition.aspx
Ich nutze nun einen alten PC für rund 0€ um meine Filmesammlung zu schützen.

 

[Matis]

Is t doch ganz einfach:...Jetzt verstanden wozu es eine FW braucht, wenn man Dienste öffentlich bereitstellt

... wow wie charmant!

.... das ist aber keine neue Info. Da schliesse ich mich den Vorrednern an, mit einem IP-Filter auf Deutschland und keinen NSA-Daten ist das Risiko nicht wirklich da. Seit ich den IP Filter an hab, gibt es keinen einzigen Login Versuch mehr. In D ist das auch verfolgbar und strafbar. Aber es muss jeder machen was er für richtig hält.

 

[whitbread]

Wer lesen kann ist klar im Vorteil - neben der Möglichkeit, Sophos UTM auf eigener HW zu installieren habe ich ja gebrauchte HW empfohlen - wie oben von mir erwähnt liegt diese so bei 100,- bis 150,-

Achja - neu geht es so bei 500,- los - weiss nicht wo Du die anderen zwei Nullen her hast?!? Man könnte meinen, es wäre Absicht...

Und nein - Du schützt nicht nur Deine Filmsammlung, sondern Dein gesamtes Heimnetzwerk! Wenn dies nur aus einem alten PC ohne Daten und Deinem Smartphone besteht kannst Du ja hier gerne aussteigen...