Cloud Station Hört Taiwan Alles mit?

[pollilop22]

Ich noch mal.

WIe ich hier so lese, heißt es dass QC-Verbindungen über Taiwan oder whatever laufen.
Heißt dass, ich schicke denen alle meine Daten frei Haus????

Sagt bitte, bitte "Nein".

 

[laserdesign]

jepp

 

[Frogman]

In gewissen Fällen laufen nicht nur Kontaktaufnahmen, sondern auch Datentransfers über Relay-Server von Synology.

 

[pollilop22]

o.m.g. kann ich das verhindern?

 

[Frogman]

Nein, nur indem Du stattdessen DDNS-Dienste verwendest.

 

[goetz]

Hallo,
Synology QuickConnect White Paper.

Gruß Götz

 

[pollilop22]

Danke für die schnelle Antwort.
Also noch mal im Klartext:
1. Die "Taiwaner" haben also alle meine je gesyncten Daten unverschlüsselt auf ihrem Rechner?
2. Ich kann die DS nicht so konfigurieren, dass die Dateien verschlüsselt übertragen werden?
3. Die Verschlüsselung der DS bezieht sich also nicht auf die Übertragung?
4. Die anderen DDNS-Server stehen doch auch in Taiwan und co... Was soll das bringen?

 

[Frogman]

QuickConnect ist nur die Art der Kontaktaufnahme und beschreibt auch den Weg, den Daten nehmen. Ob die Daten verschlüsselt sind, legst Du fest durch die Wahl des eigentlichen Protokolls - sind diese unverschlüsselt, kann sie jeder auf dem Weg einsehen.

DDNS-Dienste werden von vielen Anbietern geboten - die stellen allerdings nur einen DNS-Dienst bereit, der eine DDNS-Adresse auf die (wechselnde) IP Deines heimatlichen Anschlusses auflöst, mehr nicht (analog zu DNS-Diensten für Domains mit festen Adressen). Die Daten fließen dabei nie über den DDNS-Dienstleister.

 

[pollilop22]

@Götz: Danke. Da steht SSL is enabled.
Was ist denn nun wahr? Liegt laserdesign mit seiner Antwort also falsch?

 

[pollilop22]

@Frogman: Danke. Kann ich denn selbst das Protokoll bei QC bestimmen? Wenn ja, wo? Im WhitePaper steht ja SSL enabled.

 

[MMD*]

Hallo,

Das steht da nicht so.
Wie Frogman schon schrieb:
"legst Du fest durch die Wahl des eigentlichen Protokolls"

Whitepaper:
"is secured with end-to-end encryption if SSL is enabled"

Fur wehn es interresiert, es wird auch OpenVPN benutst ohne encryption:

openvpn –client
–mute-replay-warnings 
–auth-nocache
–nobind 
–tun-mtu 1400
–ping-exit 10
–connect-retry-max 3
–proto udp
–remote 59.120.128.184
–port 443
–dev tun1000
–ca /usr/syno/etc/synorelayd/ca/ca.crt
–script-security 2
–auth-user-pass /tmp/.tunnel.006827843
–remap-usr1 SIGTERM
 –cipher none
–comp-lzo adaptive
 –reneg-sec 0
 –verb 0
–route-up /usr/syno/etc.defaults/synorelayd/scripts/

 

[pollilop22]

ok, ich habe gesehen, dass man bei der Erstellung eines Sync-Auftrages SSL auswählen kann oder nicht. Hatte ich bis jetzt nicht gemacht.
Dann muss ich mich jetzt mal mit Zertifikaten beschäftigen. Wo hast Du denn den Code her? Wo kann ich das lesen? Wie sorgt ihr für Sicherheit bei der Übertragung?

 

[laserdesign]

Liegt laserdesign mit seiner Antwort also falsch?

so knapp auch meine Antwort war, ich würde da keinen meine Daten anvertrauen.

Benutze einen DDNS-Dienst und jage alles durch einen VPN-Tunnel, das ist meiner Meinung nach die sicherste Variante.

 

[pollilop22]

Übrigens lese ich im WhitePaper das hier:

Relay Tunnel
With SSL enabled, data transmission over the network virtual tunnel is secured with end-to-end encryption.
Therefore, QuickConnect guarantees confidentiality and integrity of data transmission between the Synology
NAS and Client Device.

Klar, "mit" kann man jetzt auch so oder so auslegen. Entweder im Sinne von "Feature" oder im Sinne von "Option"
Ist jetzt der Relay Tunnel oder das Web-Portal entscheidend?

 

[pollilop22]

d.h. kein ssl, kein Zertifikat?

 

[Frogman]

SSL-Zertifikate werden - wie der Name schon sagt - bei SSL- (bzw. TLS-)gesicherten Verbindungen relevant, sonst nicht.

 

[Matthieu]

Prinzipiell kann jeder der zwischen dir und deiner DS bei einer Übertragung steht die Daten abgreifen: Lokale Anbieter, Carrier (Vermittler zwischen großen Anbietern), Betreiber der großen Glasfaser-Unterwasserkabel, usw. Nur weil beide Teilnehmer nicht weit voneinander weg sind, nimmt das Paket nicht den kürzesten Weg. Gerade die deutsche Telekom ist bekannt für ihre eigenartige Politik in dieser Hinsicht, die Netzwerkpakete teilweise zu riesigen Umwegen zwingt weil sie gern von allen Beteiligten Geld sehen wollen.
Bei QC kommt nun hinzu, dass einige Anbieter etwas dagegen haben oder technische Hürden aufbauen um ein Gerät aus dem Internet erreichbar zu machen. An dieser Stelle hilft es nur, wenn die DS Kontakt zu einer bekannten Außenstelle aufnimmt (hier QC) und diese anschließend vermittelt. Diese Vermitteln kann auf verschiedene Weise geschehen. Wie in dem White Paper zu lesen setzt Synology seit 5.2 auch Port punching ein, was zu einer direkten Verbindung ohne Umweg über Server des Herstellers führt. Das funktioniert aber nicht in allen Konstellationen. In den ungünstigeren Fällen läuft der gesamte Traffic über Server von Synology. Ich will aber eines klar sagen: Auch Synology hat kein übermäßiges Interesse daran, denn Bandbreite und Server kosten gutes Geld. Synology hat keine monatlichen Einnahmen durch seine Kunden sondern muss den Dienst über den Verkauf der Geräte finanzieren. Da ist es ganz natürlich die Kosten nach dem Verkauf in Grenzen halten zu wollen.

Ich möchte aber auch eines ganz klar sagen: Wenn die DS nicht "komplett nackt" im Internet hängt, über DDNS und Portfreigabe, ist sie eigentlich sogar sicherer, denn Sicherheitslücken lassen sich nicht direkt ausnutzen. Für viele Lücken muss man erst mal auf die Anmeldemaske des DSM oder einen anderen spezifischen Dienst kommen. Bei QC ist keiner davon unmittelbar erreichbar, sondern stets nur das was über QC freigegeben ist.

MfG Matthieu

 

[pollilop22]

ok, ich hab jetzt mal in den sqllite Tabellen ein bissl gewerkelt. Jetz hab ich aus ner QC-Verbindung ne IP-Verbindung gemacht. Läuft. Kein erneutes einlesen. Und jett rennt der Gute auch.
Selbst die Web-Oberfläche ist schnell... ich fass es nicht.... lief die auch über Taiwan? MannMannMann. Gut das mit dem DDNS krieg ich jetzt auch noch hin. Hoffe, die Taiwaner können kein Deutsch. Danke an Alle hier!

 

[Frogman]

... Wenn die DS nicht "komplett nackt" im Internet hängt, über DDNS und Portfreigabe, ist sie eigentlich sogar sicherer, denn Sicherheitslücken lassen sich nicht direkt ausnutzen. ...

Wobei man auch trefflich darüber diskutieren kann, ob nun ein LAN hinter einem Router bzw. einer Firewall, die hole punching nicht zu blockieren versuchen, wirklich beruhigend ist. Auch die von Synology so gern propagierte "easy"-Router-Konfiguration per UPnP sehe ich neben QC kritisch - grundsätzlich sollte man nach meiner Ansicht vermeiden, dass Verbindungen ins eigene LAN aufgebaut werden können ohne das bewußte Zutun des lokalen Admin.

 

[MMD*]

So nebenbei:

Gerade die deutsche Telekom ist bekannt für ihre eigenartige Politik in dieser Hinsicht, die Netzwerkpakete teilweise zu riesigen Umwegen zwingt

So was ähnliches habe ich heute entdeckt. Habe auf papier 16 down/2up und in der Praxis 9,1down/2up, war nie hoher.
Mein DS steht seit dieser Woche in die Niederlande und wenn ich mich per OpenVPN verbinde bekomme ich 16down/2up, verbreche ich die Verbindung geht's wieder runter.
Bin aber nicht sicher warum...aber kann mich dabei was bedenkliches denken.