Homepage über NAS oder externen Provider

[T8Force]

Hi zusammen, ich habe gerade erst angefangen mich mit der Thematik "Homepage" zu beschäftigen und habe dazu schon einiges an Fragen und Problemen Anderer gelesen. Was für mir jedoch noch nicht eindeutig klar ist, ist ob es ratsamer wäre eine Homepage über den NAS laufen zu lassen oder einen externen Provider (Hoster)? (aus vielleicht Gründen der Kapazität, Sicherheit, Kosten, Flexibilität, etc.)

Ich habe die Vermutung, dass es von dem individuellen Vorhaben abhängig ist, daher etwas zu meinem Einsatzgebiet.

Als Hobbyfotograf würde ich gerne einen Teil meines Portfolios auf einer eigenen Homepage veröffentlichen und evt. mit einer Art Blog erweitern. Ich scheue mich nicht, mich mit dem Thema auseinanderzusetzen und interessiere mich auch dafür, nur wie man jedoch meiner Ausführung entnehmen kann, habe ich bisher keinerlei Erfahrung mit der Erstellung einer Homepage.

Vielleicht kann der Ein- oder Andere mir ja schon erste Empfehlungen oder Tipps aussprechen. Irgendwo muss ich ja mal beginnen

 

[tproko]

Meine persönliche Meinung ist, dass mein NAS mit allen meinen privaten Daten so gut es geht nicht ins Netz gehört.
(für den Zugriff von außen ist dann leider doch OpenVPN offen... hier ist für mich halt persönlich Nutzen>Risiko).

Wenn du jetzt einen Webserver installierst, öffnest du dadurch eine ziemliche große Tür nach außen und bist abhängig davon, dass
- es keine Sicherheitslücken gibt, die evt. über den Webserver, PHP oder mysql ausgenützt werden können
- Security Updates immer rasch und Zeitnah verfügbar sind


Es kommt dann darauf an, möchtest du alles auf ein und das selbe NAS packen? (Alles private, alle Fotos, und den Webserver)
Eine mögliche Variante wäre zB. auch, dir eine zweite 1-Bay DS als Homepage Host zu besorgen, und zusätzlich hast du im Haus noch eine zweite "private".

Dann ist das Risiko schon wieder minimiert, falls es eine schlimme Sicherheitslücke gibt und diese ausgenützt wird, dass es dir richtig weh tut.
Backup könnte zB. von 1-Bay dann auch auf die private automatisiert werden. Dann wäre selbst ein Totalausfall relativ einfach zu bereinigen.

Aber wie du sagst, hier gibt es wahrscheinlich 1000 verschiedene Ansätze und Meinungen... im Endeffekt muss es dann jeder für sich selbst entscheiden, was für Risiken man eingehen will.

 

[heavy]

Ich habe die Webseite auf meiner Nas da ich zum einen nicht viel Traffic habe , einen passenden upload (30 Mbit real). Bei mir waren es mehrere Überlegungen es so zu machen. Ich sehen sicherheitstechnisch sogar eher einen Vorteil, da ja hinter der IP nur ein Rechner hängt. In einem Rechenzentrum hängen ja mehrere dahinter damit rentiert es sich eher diese Anzugreifen. Dann hat man die Internet Kosten ja eh schon an der Backe, wenn sie eh schon 24/7 läuft hat man auch die Stromkosten, dann ist man kosten mäßig "billger" unterwegs es selber zu hosten. Aber ja man hat natürlich dann auch das risiko bei sich. Ich habe meine Joomla Version upgedatet incl. aller Plugins und jetzt gehen die Hälfte meine Unterseiten nicht mehr.

 

[heavygale]

Private Fotos teile ich meist über die Freigabe-Funktion der Photo Station, weil das schnell und einfach erledigt ist. Ebenso, wenn ich mal eben Dateien weitergeben möchte über die Freigabe-Links der File Stationj. Die WebStation hatte ich aber auf meiner DS noch nie installiert - alles was ich an Webseiten habe bzw. was für eine breitere Öffentlichkeit gedacht ist oder auch mehr parallele Zugriffe vertragen können soll mache ich über angemietete vServer (wer Untermieter werden möchte, darf sich gerne bei mir melden ^^) .
Außerdem steht meine DS hinter einem DSLite-Anschluss und der Reverse Proxy für die Besucher aus dem legacy-Internet hat auch nur eine begrenzte Bandbreite (von meinem heimlichen Upload mal ganz abgesehen), sodass die DS für mich an meinem Anschluss ohnehin nicht für ernsthaften Webseiten-Betrieb in Frage kommt.

 

[blurrrr]

Meine persönliche Meinung ist, dass mein NAS mit allen meinen privaten Daten so gut es geht nicht ins Netz gehört.
(für den Zugriff von außen ist dann leider doch OpenVPN offen... hier ist für mich halt persönlich Nutzen>Risiko).

Das kann ich genau "so" bestätigen. VPN sollte im besten Fall das einzige sein, was von aussen erreichbar ist (wenn überhaupt), aber wie immer gilt auch hier der Grundsatz "Komfort vs. Sicherheit". Wäre es ein Gerät mit weniger sensiblen Daten in einer DMZ könnte man ggf. noch drüber reden, da hier aber nicht davon auszugehen ist, lieber dem Hoster im Monat ein bisschen was zukommen lassen und dafür Ruhe haben.

 

[T8Force]

O.K. Ich danke euch für die Rückmeldung. Sie hat mir bestätigt, was ich vermutet hab. Da ich lediglich über den erweiterten Einsatz meines NAS nachgedacht habe, welche natürlich auch Daten enthält welche nicht ins Netz gehören, werde ich eine Homepage über einen Hoster wählen.

 

[kolifsx]

Ich stehe grade vor der selben Entscheidung.
Habe mir aber auf der NAS den Webserver installiert.
Ich vertraue mal der Software von Synology...

 

[tproko]

Ich vertraue mal der Software von Synology...

Vertrauen ist gut, Kontrolle ist besser heißt es nicht umsonst. Synology verwendet im Bereich vom Web auch Nginx oder Apache Httpd und dann mysql und php. Und gerade php braucht viel Liebe und Updates.

Aber jeder darf "sein" Produkt natürlich so verwenden, wie es ihm gefällt.

 

[kolifsx]

Synology verwendet im Bereich vom Web auch Nginx oder Apache Httpd und dann mysql und php. Und gerade php braucht viel Liebe und Updates.

da ich eine gut funktionierende Internet-Leitung habe (tatsächlich ca. 200 Mbit down und 50 Mbit up) möchte ich schon alleine deswegen meine Webseite auf meiner Synology DS416play online stellen. Und ich finde es auch irgendwie cool "alles" selbst zu machen.

ich mache sofort jedes Update von Synology
gebe nur die Ports frei die ich unbedingt brauche
Admin ist auf der NAS deaktiviert
mein Passwort ist 16 stellig

Auf meiner NAS liegen nur Filme und mp3`s. Da kann ja eigentlich nicht viel passieren, oder?

Wenn jemand einen Vorschlag hat was ich für die Sicherheit noch machen kann, bitte einen Tipp! Danke!

 

[tproko]

Hört sich ja zumindest so an, dass du dir Gedanken gemacht hast.
Wenn du es verkraften kannst falls Filme und MP3s weg sind, kann eigentlich nichts mehr passieren.

Evt. könntest du bei der Firewall noch weiter "tunen", und einfach mal gewisse Länder automatisch blockieren lassen, wenn du weißt, dass von dort nichts kommen soll (zB. China). Also verschiedene IPs automatisch per Blacklist sperren, Whitelist sehe ich leider als schwierig bis unmöglich an - fängt schon bei den ganzen mobilen Handyprovidern und deren dynamischen NAT Pools an.

 

[kolifsx]

So, ich habe eine (die erste Webseite meines Lebens) selbst erstellt. Jetzt bin ich am überlegen den link hier zu posten, mit der Bitte zu überprüfen ob meine Webseite (meine DS416play) zu hacken ist.
Es sind zwar viele Filme und Musik auf der NAS, aber keine persönlichen Daten (und alles natürlich mit externem Backup).
Abgesichert ist habe ich alles nur wie in meinem Posting oben beschrieben.
Ist ein Aufruf zum hacken eine gute Idee, oder gibt es andere Möglichkeiten zu prüfen ob die NAS "sicher" ist (außer dem Sicherheitsberater von Synology der auf der NAS installiert ist?

 

[NSFH]

sowas macht man zB mit nmap

 

[rednag]

Nicht jeder -inkl. mir - hat aber die Expertise mit nmap umzugehen welches schon fast ein Studium erfordert.

Wichtig sind halt die "üblichen" Sachen wie lange Passwörter, unnötige Dienste/Ports nicht freigeben, Pakete aktuell halten, fail2ban aktivieren.
Weiterhin ist der WebServer (nginx/Apache) nur so sicher wie Synology etwaige Patches nachliefert.

 

[NSFH]

Nmap und schwer? Eigentlich nicht, zumal es da ja inzischen auch eine GUI zu gibt. Die ANalyse aller ports ist aber schon sehr detailliert und hilfreich.
Ich würde auf der Syno nie eine öffentliche Website betreiben, sowas bleibt immer besser beim Hoster, der sich auch um die Security kümmern muss. Ich sehe da jedenfalls keinen Vorteil drin, genauso wie beim Mailserver. man kann da so viel falsch machen und öffnet dabei Tür und Tor. Muss aber jeder selber wissen.

 

[Holger1974]

Seit heute, Mitternacht, ist meine private Website auch auf meiner Synoligy-NAS zu finden, bei Strato.de - dem bisherigen Provider - ist nun noch die entsprechende Domain gehostet, mit Weiterleitung (per DDNS) auf die NAS. Die Umstellung hat tadellos funktioniert.

 

[blurrrr]

Seit heute, Mitternacht, ist meine private Website auch auf meiner Synoligy-NAS zu finden, bei Strato.de - dem bisherigen Provider - ist nun noch die entsprechende Domain gehostet

Das ist für mich so ein bissken wie "Ich habe zwar einen Safe für meinen Schmuck, lege ihn aber trotzdem gern dekorativ hinten im Auto auf die Ablage". "Warum" macht man sowas? Weil es "cool" ist? Ich mein - Webpaket ist vermutlich so oder so gebucht und nicht "nur" die Domain oder? Auf dem NAS liegen dann vermutlich auch noch private Daten? Stellt sich eher die Frage "muss das?". Wenn man nur die Domain zahlt und kein Webpaket dazu nimmt (wobei es da schon ziemlich günstige Angebote gibt) wäre es noch fast verständlich, natürlich abgesehen vom Sicherheitsaspekt der eigenen Daten und der Tatsache, dass das NAS vermutlich nie in den Schlafmodus geht. Also für mich heisst "eigene Website auf NAS" eigentlich nur: potentielle Angriffsziele schaffen. Am besten immer extern auslagern, denn das ist für die "Öffentlichkeit" bestimmt. Deine privaten Daten aber nicht und das kann Dir niemand zu 100% garantieren, wenn das Dingen offen im Netz erreichbar ist. Möglichkeiten mögen zwar gering sein, aber wirklich völlig ausschliessen kann man es eben nicht.

Die Windows-Version mit GUI heisst übrigens "Zenmap"... Was das Thema "Sicherheit" angeht, so kommt es auf die vielen kleinen Bausteine an, welche da mitwirken. Vom Grundsystem selbst mal abgesehen, kann in jeder Anwendung eine Möglichkeit stecken. Daher gilt auch immer: "soviel wie nötig, so wenig wie möglich". Apps die nicht in Benutzung sind, sollte man daher auch deaktivieren, oder schlichtweg deinstallieren.

Vermutlich schaut es sich eh niemand an , aber hier gibt es eine schöne Liste bzgl. möglicher Sicherheitsrisiken, welche so "gefunden" werden (was nicht heisst, dass nicht noch unentdeckte Sicherheitslücken vorhanden wären, oder ggf. welche mit einer neuen Appversion dazu kommen) -> https://www.synology.com/en-global/support/security

 

[Holger1974]

Hallo blurrr, die Einwände kann ich verstehen, der Grund, warum ich die Seite jetzt auf der NAS drauf habe: die Synology-NAS kommt mit Apache 2.2 bzw. 2.4 daher, bei strato.de gibt es diese Anwendung beim Webhosting nicht als Bestandteil des Programmpakets, sondern nur aufpreispflichtig, 5,00 Euro mehr pro Monat. Und einige Social-Network-Anwendungen laufen eben nur mit Apache.

 

[blurrrr]

Du könntest auch eine kleine DS116 o.ä.(z.B. Raspberry) in ein extra VLAN/DMZ (im heimischen Netzwerk) stellen und die Anwendungen dort laufen lassen. Mischbetrieb mit den eigenen persönlichen Daten würde ich eher nicht machen. Hoster kann man auch wechseln - Strato "muss" da auch nicht sein. Wer das nicht will, kann auch überlegen sich einen zusätzlichen kleinen Hoster zuzulegen (da diese meist wesentlich flexibler sind). Als komplett andere Alternative gäbe es natürlich noch die Möglichkeit sich einen kleinen vServer zuzulegen (Hosting übernimmt man dann auch einfach selbst, da es sich dann eh anbietet, muss man ja nicht doppelt zahlen). Dabei ist dann meist auch schon direkt ein entsprechendes Hostingpanel integriert (z.B. Plesk). Denke nicht, dass Du massig Power brauchst für ein bisschen SocialNetwork, Web und Mail, von daher kann es schon recht günstig werden. Auf der anderen Seite kommt es aber natürlich auch darauf an, mit wievielen Usern Du so rechnest.