Grundlagenfrage VPN

[NAS-Newbee]

Hallo, zusammen!

Ich hoffe, ich bin hier richtig.
Hab mich schon mächtig durch Foren und Web gelesen, aber keine klare Antowrt gefunden.


Wir möchten für unseren Verein eine DS einrichten für vornehmlich folgende Zwecke:

1. Arbeit an gemeinsam genutzten Dateien (Filestation?)
2. zentraler Speicherort für Fotos: Die Vereinsfotos sollen von jedem Vereinsmitglied angesehen werden können (Photostation)
3. zentraler Speicherort für Vorträge (MP3-Format): Die Vorträge sollen von jedem Vereinsmitglied angehört werden können. (Audiostation)

Ich denke, dass so ca. 50-80 User auf die DS zugreifen werden, von regelmäßig bis hin und wieder, aber sicher nicht gleichzeitig. Dabei ist zu Bedenken, dass es eine völlig heterogene Endgeräte-Struktur gibt (Android, Apple, Windows, Linux).

Zuallererst stellt sich für mich die Frage der Sicherheit. Wir haben zwar nicht vor, sensible Informationen dort abzulegen, dennoch soll das Ganze vor unberechtigtem Zugriff sicher sein, aber trotzdem einfach zu handeln für den, der einfach nur Vorträge hören oder Bilder ansehen möchte (über PC, Laptop, Handy, Tablet – ggfs. über die jeweilige APP).
Macht es Sinn, dafür ein VPN einzurichten? Oder reicht eine https-Verbindung?

Ich hab noch viele Frage, aber damit fangen wir mal an.

Danke

 

[soerenwagneremden]

Meine Meinung:

VPN ist auf jeden Fall am sichersten - aber vom Handling natürlich nicht so toll. Aus meiner Sicht ist https auch sehr sicher, solange Du den Standardport 5001/7001 auf einen ganz anderen verlegst und natürlich sollten die Passwörter hinreichend sicher sein (www.wiesicheristmeinpasswort.de) - im Idealfall aktivierst du für alle User die Zwei-Faktor-Authentifizierung. Dann noch drauf achten, dass das System immer up2date ist damit keine sicherheitslücken da sind.

Ich fahre mit der https Lösung schon seit Jahren gut ohne einen Einbruchsversuch.

Liebe Grüße

 

[NAS-Newbee]

Danke schon mal. Dein Hinweis, dass Du https verwendest ohne Probleme bisher, beruhigt mich etwas.

Ich glaube, dass ich aufgrund der völlig unterschiedlichen Anwenderkenntnissen damit weniger Probleme haben werde.

Und sichere Passwörter kann ich ja sicherstellen...

 

[Stewi]

Ich weiß, ich mache mich jetzt unbeliebt, aber denk auch an den Datenschutz und das Urheberrecht. Das Recht am eigenen Bild und die informationelle Selbstbestimmung sollte geregelt sein. Mag im ersten Moment albern klingen, aber spätestens wenn die ersten Bilder oder Vorträge im Web auftauchen wird dich das beschäftigen.
Seid ihr ein eingetragener Verein oder nur eine lose Sammlung von Gleichinteressierten?
Wer trägt die Verantwortung für die Sicherheit der gespeicherten Daten? Werden auch Namen und Anschriften und evtl. Geburtsdaten gespeichert?

Ich weiß, das ist ein leidiges Thema, aber als Verantwortlicher sollte man sich zumindest damit einmal auseinander setzen.
Und ja, ich bin ein Spielverderber.

 

[laserdesign]

und nicht vergessen, die automatische Blockierung einzurichten und zu aktivieren.

 

[NAS-Newbee]

Ich weiß, ich mache mich jetzt unbeliebt, aber denk auch an den Datenschutz und das Urheberrecht. Das Recht am eigenen Bild und die informationelle Selbstbestimmung sollte geregelt sein. Mag im ersten Moment albern klingen, aber spätestens wenn die ersten Bilder oder Vorträge im Web auftauchen wird dich das beschäftigen.
Seid ihr ein eingetragener Verein oder nur eine lose Sammlung von Gleichinteressierten?
Wer trägt die Verantwortung für die Sicherheit der gespeicherten Daten? Werden auch Namen und Anschriften und evtl. Geburtsdaten gespeichert?

Ich weiß, das ist ein leidiges Thema, aber als Verantwortlicher sollte man sich zumindest damit einmal auseinander setzen.
Und ja, ich bin ein Spielverderber.

Danke für den Hinweis.
Du machst Dich überhaupt nicht unbeliebt. Auch wir finden sowas elementar wichtig und sind da sehr wachsam. Wir haben als e.V. auch einen Datenschutzbeauftragten. Mir geht es hier allerdings nur um die technische Fragestellung.

 

[frankyst72]

ein VPN hätte den Sinn die Mitglieder in das Vereinsnetz zu bringen (wie bei einer Firma die Mitarbeiter), damit sie sich dort austoben können, bzw. noch auf anderen Geräte zugreifen können. Das ist aber glaub ich gar nicht gewünscht, die sollen auf die benannten Daten/Dienste kommen können und nichts weiter, oder?
Und dazu ist https das richtige Verfahren. Ggf. könntest Du darüber nachdenken, anstatt die File Station freizugeben, WebDAV zur Verfügung zu stellen.

DynDNS wirst Du vermutlich schon haben. Habt Ihr auch eine eigene Domäne? Dann solltest Du Dich auf jeden Fall um ein öffentliches Zertifikat kümmern, damit sich die Vereinsmitglieder nicht mit irgendwelchen Sicherheitswarnungen rumschlagen müssen. Das schafft sonst kein Vertrauen.

 

[soerenwagneremden]

DynDNS wirst Du vermutlich schon haben. Habt Ihr auch eine eigene Domäne? Dann solltest Du Dich auf jeden Fall um ein öffentliches Zertifikat kümmern, damit sich die Vereinsmitglieder nicht mit irgendwelchen Sicherheitswarnungen rumschlagen müssen. Das macht sich nie gut.

Zertifikat ist immer ne gute Sache für unwissende Anwender!

 

[NAS-Newbee]

ein VPN hätte den Sinn die Mitglieder in das Vereinsnetz zu bringen (wie bei einer Firma die Mitarbeiter), damit sie sich dort austoben können, bzw. noch auf anderen Geräte zugreifen können. Das ist aber glaub ich gar nicht gewünscht, die sollen auf die benannten Daten/Dienste kommen können und nichts weiter, oder?
Und dazu ist https das richtige Verfahren. Ggf. könntest Du darüber nachdenken, anstatt die File Station freizugeben, WebDAV zur Verfügung zu stellen.

DynDNS wirst Du vermutlich schon haben. Habt Ihr auch eine eigene Domäne? Dann solltest Du Dich auf jeden Fall um ein öffentliches Zertifikat kümmern, damit sich die Vereinsmitglieder nicht mit irgendwelchen Sicherheitswarnungen rumschlagen müssen. Das schafft sonst kein Vertrauen.

Ok, danke. das ist auch nochmal ein sehr wichtiger Hinweis mit den Sicherheitswarnungen..
Eine eigene Domaine haben wir, für das öffentliche Zertifikat werde ich den Kollegen fragen, es einzurichten.

 

[jugi]

Was für eine internetverbindung habt ihr denn am vereinsstandort überhaupt? Bei 50-80 Usern (selbst bei nur 10parallelen) befürchte ich da einen gravierenden Flaschenhals..
Es sollten IMHO mindestens 30mbit upload zur verfügung stehen (das sind mehr oder weniger die größten privatverträge), besser wäre eine 100/100er Leitung mit fester Ip, die kosten allerdings richtig viel Geld…

Was ich sagen will: vielleicht ist ein NAS hier gar nicht das richtige? Ein gescheiter vServer (ggf. managed) mit ownCloud o.ä. wäre vielleicht die bessere wahl?

 

[frankyst72]

Eine eigene Domaine haben wir, für das öffentliche Zertifikat werde ich den Kollegen fragen, es einzurichten.

das kann die DS kostenlos über Let's Encrypt wenn Du DSM 6 verwendest! Systemsteuerung > Sicherheit > Zertifikat > Hinzufügen ... (Dazu muss Port 80 und 443 auf die DS geforwarded werden) -> https://www.youtube.com/watch?v=Nqze7opPt3I

 

[soerenwagneremden]

Musst nur alle 3 Monate erneuern.