Interesse an DS 213+, letzte Fragen zu Sicherheit/Verschlüsselung/Diebstahl/Hacker

Stormtrooper · 27. Mrz 2013

Hallo Leute,

ich bin sehr an einer DS 213+ interessiert, für mich wäre es die erste NAS-Lösung. Daher hab ich noch einige allgemeine Fragen. Nennt mich paranoid, aber es ist etwas unbehaglich für mich alle meine Daten ans Internet zu hängen...

Was ich vorhab:
- Die DS 213+ hängt direkt an meinem Telekom Speedport WLAN-Modem (VDSL 50).
- Darin sind 2x2 TB Platten im Mirror-RAID (bzw. SHR oder wie Synology das nennt).
- Die Firewall der DS würde ich aktivieren, und nur die notwendigen Ports öffnen. Windows wäre deaktiviert, da ich nur Mac nutze.
- Mein MacBook Pro macht automatisch back-ups via TimeMachine.
- Darüberhinaus möchte ich die DS als Netzwerkfestplatte nutzen, um abgeschlossenen Projekte und große Dateien auszulagern (das MacBook hat ja "nur" 512 GB Platz).
- Gelegentlich möchte ich mit meinem MacBook auch von unterwegs auf die Dateien zugreifen.
- Gelegentlich möchte ich auch von meinem Firmenrechner zugreifen.

Was ich mich frage:
- Wie sicher sind meine Daten auf der DS. Damit meine ich weniger den technischen Aspekt (Festplattenfehler, Blitzeinschlag, etc.), sondern den durch Zugriff unberechtigter.
- Kann ein Hacker per Internet meine Daten klauen?
- Was passiert wenn jemand die DS physisch klaut (z.B. Einbrecher)?
- Was passiert wenn jemand Zugriff auf meinen Laptop hat?
- Was ist wenn die IT meinen Firmenrechner überwacht?
- Wie unsicher wird das Ganze durch Zugriff der DS iPhone App?

Mögliche Lösungen (?):
- Wirklich wichtige Daten als verschlüsselte Images auf der DS abspeichern, sinnvoll?
- Für den Firmenrechner ein eigenen Benutzer einrichten, der nur auf bestimmte Ordner der DS zugreifen darf und keine Adminrechte hat, sinnvoll?
- Passwörter nicht im Schlüsselbund (Mac) speichern, sondern jedesmal erneut eintippen, sinnvoll?

Wäre dankbar für eure Meinungen. Hoffe das klingt nicht allzu paranoid.

Viele Grüße,
Jan

honu · 27. Mrz 2013

Grundsätzlich gilt: Wenn DU von unterwegs über das Internet auf deine Daten zugreifen kann, ist auch ein Zugriff von einem Unberechtigten denkbar - aber extrem unwahrscheinlich, wenn man das sauber einrichtet (nur notwendige Dienste aktivieren und nur diese Ports freigeben, gute Passwörter, am besten alles über VPN, Automatische Blockierung von IP-Adressen etc.). Inwieweit ein Zugriff von deinem Firmenrechner möglich ist, ist erstmal unklar, denn viele Firmen blockieren den Zugriff auf bestimmte Ports, die evtl. notwendig sind für einen Zugriff auf deine DS. Wenn du z.B. alle Dienste von extern nur über ein VPN erreichbar machst, dann ist es auch egal, ob jemand dein Notebook/Smartphone in die Finger bekommt - vorausgesetzt, du hast das Passwort für den VPN Zugriff nicht abgespeichert

Für einen physischen Diebstahl hilft wohl tatsächlich nur Verschlüsselung der Daten, die das ganze aber evtl. deutlich langsamer machen und einige Dienste (z.B. Medienserver DLNA, bestimmte automatische Backups usw.) werden nicht mehr funktionieren. Bei einem Diebstahl ist es nämlich möglich, über das Drücken eines Knopfes das admin Passwort zurückzusetzen und somit Zugriff zu erlangen. Dazu muss der Dieb sich mit dem System natürlich auskennen. Wie immer eine Risikoabwägung, a) wie hoch man das Diebstahlrisiko einschätzt b) dann davon ausgeht, dass der Dieb sich mit der DS beschäftigt oder auskennt und c) inwieweit die Daten für einen externen Dieb dann tatsächlich interessant sind. Wie gesagt, eine individuelle Risikoeinschätzung. Hast du denn dein Notebook und die Backups und ggf. andere Datenträger (externe Festplatten, Desktoprechner, Handys, USB-Sticks usw.) auch alle so gut gegen phyischen Diebstahl geschützt? Grundsätzlich ist aber das Verschlüsseln auf der DS möglich. Persönlich halte ich es für den Privatgebrauch im Regelfall für überflüssig.

Nochmal zusammenfassend aus meiner Sicht:

Was ich mich frage:
1) Wie sicher sind meine Daten auf der DS. Damit meine ich weniger den technischen Aspekt (Festplattenfehler, Blitzeinschlag, etc.), sondern den durch Zugriff unberechtigter.
2) Kann ein Hacker per Internet meine Daten klauen?
3) Was passiert wenn jemand die DS physisch klaut (z.B. Einbrecher)?
4) Was passiert wenn jemand Zugriff auf meinen Laptop hat?
5) Was ist wenn die IT meinen Firmenrechner überwacht?
6) Wie unsicher wird das Ganze durch Zugriff der DS iPhone App?

1) Sehr sehr sicher bei richtiger Einrichtung, aber nie 100% sicher. 100% Sicherheit gibt es nicht bei IT-Systemen, vorallem, wenn sie von außer erreichbar sind
2) wie 1) - extrem unwahrscheinlich, aber sicher nicht zu 100% auszuschließen
3) Dann kann man bei Kenntnis der DS die Passwörter zurücksetzen und könnte so Zugriff auf die (unverschlüsselten) Daten bekommen
4) Wenn keine Passworter dauerhaft gespeichert sind, bringt das dem Laptop-Dieb nicht viel
5) Das lässt sich nur beantworten, wenn man weiß, wie genau der Zugriff aus der Firma erfolgt
6) iPhone und Co lassen sich genauso sicher einrichten, wie ein Laptop (also z.B. nur über VPN oder SSL). Das Risiko steigt also nicht, wenn man eh den Zugriff sonst per Notebook o.ä. durchführt

Stormtrooper · 27. Mrz 2013

Danke!

Das ist doch mal ne ausführliche Antwort! Vielen Dank!

Von VPN hab ich bisher keine Ahnung, werd mich damit aber mal beschäftigen, und würde den Zugriff von außerhalb dann darüber machen. Hoffe es gibt dadurch keine unerträglichen Geschwindigkeitseinbußen (wie z.B. beim TOR-Netzwerk).

Ich denke wenn ich nur meine vertraulichen Daten (Steuererklärung, etc.) als verschlüsseltes Image auf der DS speichere, dann sollte das passen. An diese Daten muss ich eh nur 1-2 im Jahr ran. Und dann auch nicht von unterwegs. Medienserver & Co. müssen nicht verschlüsselt sein. Passwörter werde ich auf meinen Devices nicht speichern.

So ne Diskstation ist schon irgendwie sexy...

Viele Grüße,
Jan

maDDin_1338 · 27. Mrz 2013

Stormtrooper schrieb:
Von VPN hab ich bisher keine Ahnung, werd mich damit aber mal beschäftigen, und würde den Zugriff von außerhalb dann darüber machen. Hoffe es gibt dadurch keine unerträglichen Geschwindigkeitseinbußen (wie z.B. beim TOR-Netzwerk).

Die Geschwindigkeit per VPN ist abhänging von deiner mobilen Inetleitung (handy zb) und deiner leitung zuhause.
Einbußen wie bei TOR gibts nicht.. TOR ist ja auch was ganz was anderes

honu · 27. Mrz 2013

Stormtrooper schrieb:
Von VPN hab ich bisher keine Ahnung, werd mich damit aber mal beschäftigen, und würde den Zugriff von außerhalb dann darüber machen. Hoffe es gibt dadurch keine unerträglichen Geschwindigkeitseinbußen (wie z.B. beim TOR-Netzwerk).

Ich denke wenn ich nur meine vertraulichen Daten (Steuererklärung, etc.) als verschlüsseltes Image auf der DS speichere, dann sollte das passen. An diese Daten muss ich eh nur 1-2 im Jahr ran. Und dann auch nicht von unterwegs. Medienserver & Co. müssen nicht verschlüsselt sein. Passwörter werde ich auf meinen Devices nicht speichern.

Wenn du sicherheitsorientiert bist, ist eine VPN Lösung eigentlich die beste Variante. Ich hatte auch gar keine Ahnung davon vor der DS und nun greife ich per Netbook/Smartphone/Tablet per VPN von außen auf die DS zu. Ist alles machbar ;-) Wenn du mit diesen vertraulichen Daten (z.B. Sicherung der Steuererklärung, Kopien von Ausweisdokumenten o.ä.) eh nicht dauern arbeiten musst, dann macht es IMO wirklich Sinn, die vom Client zu verschlüsseln und gleich verschlüsselt abzulegen. Dann hat die DS damit nichts zu tun und man kauft sich keine Nachteile durch eine serverseitige Verschlüsselung ein...

So ne Diskstation ist schon irgendwie sexy...

Definitiv... ein tolles Spielzeug ;-)

Stormtrooper · 04. Apr 2013

Hallo,

ich wollt mich nochmal gemeldet haben! Seit gestern Abend läuft die DS!

Momentan noch mit einer Festplatte. In ein paar Wochen kommt dann eine zweite baugleiche dazu. Gehe ich richtig in der Annahme, dass ich die einfach in das Tray einbaue und im laufenden Betrieb einschiebe, und die DS kümmert sich um den Rest (Spiegelung der Daten im SHR-Modus)? Die von mir verwendete WD 2TB Red Series ist echt sehr leise. Der DS-Lüfter auch. Ich bin begeistert!

VPN vom iPhone funktioniert auch 1A. DS Finder App läuft auch.

AFP-Zugriff vom Firmenrechner läuft auch prima.

Ich hab momentan nur die Ports 548 für AFP und 1723 für VPN im Router offen. Die DS Firewall ist noch deaktiviert. Wollte nicht zuviele Fehlerquellen einbauen...

Momentan hab ich noch ein paar Probleme mit dem DynDNS Dienst NO-IP.org. Anscheinend sendet mein Speedport keine neuen IPs an den Dienst. Das Problem haben wohl mehrere Telekom Kunden. Kann ich alternativ nicht auch den DDNS Dienst der DS dafür nehmen? Ich les zwar immer, besser im Router direkt konfigurieren, aber wenn der bockt ginge das doch sicher auch so, oder?

Und eine letzte Frage: Welche Ports muss ich denn öffnen um auf das DSM (also das Betriebssystem) von auswärts zuzugreifen? Und welche Adresse ansurfen?
Reicht es Port 5001 zu öffnen, und durchzurouten, und dann im Browser die Adresse https://mustermann.no-ip.org anzusurfen? Oder muss das mustermann.no-ip.org:5001 heißen? Irgendwo in den DSM Einstellungen hab ich "https statt http verwenden" angeklickt.

Viele Grüße, Jan

Matthieu · 04. Apr 2013

Du kannst die No-IP auch auf der DS eintragen, das ist kein Problem.

Das mit der Weiterleitung läuft so: Wenn man via https zugreift, läuft das ja erst mal auf Port 443. Da gibt es dann zwei Möglichkeiten. Entweder die Portweiterleitung direkt von Port 443 ("Anfang" oder "Start" steht da meist im Router) auf 5001 ("Ziel" oder "Ende"). Es gibt aber auch Router die das nicht zulassen. Alternativ kann die DS selbst umleiten, wenn man 443 und 5001 weiterleitet. Ist die Webstation deaktiviert, leitet die DS automatisch zum DSM um. In der Adresse steht dann in dem Fall trotzdem effektiv ":5001".

MfG Matthieu