DSM 6.x und darunter Internet Sicherheit der DS? Tipps!

[mischmaster]

Hi,

wir haben hier eine RS218. Auf dieser DS liegen Daten, die wir intern nutzen und gleichzeitig externen Personen via Download Link zur Verfügung stellen.
Unsere verschiedenen Abteilungen haben unterschiedliche Nutzer und Passwörter. Die Dateien liegen in gemeinsamen Ordnern.

Jetzt ist bei uns die Sicherheitsfrage aufgekommen, ob das ganze System nicht zu leicht für Unbefugte erreichbar ist.
Denn es kann ja jeder von außerhalb auf die DS zugreifen, der unsere feste externe IP hat und den User Namen und das Passwort. D.h. wer diese durch Zufall oder bewusst an sich bringen kann, hat kompletten Zugriff auf all unsere Daten.

Gibts es Möglichkeiten, die Daten auf der DS vor unbefugtem Zugriff sicherer zu machen, oder hängt in dem Fall wirklich alles von User Name und Passwort ab?

Danke für die Tipps..

Michi

 

[goetz]

Hallo,

hängt in dem Fall wirklich alles von User Name und Passwort ab?

so ist es. Mehr Sicherheit kann man durch striktes Trennen von internen und externen Daten erlangen. 2. kleine DS anschaffen die für den externen Zugriff konfiguriert wird, darauf Benutzer und Kennwörter anlegen die es intern nicht gibt. Alles was nach extern gehen soll wird dann auf dieser DS abgelegt.

Gruß Götz

 

[Frogman]

Dazu ein starkes Passwort, was regelmäßig geändert wird.

 

[maDDin_1338]

und den Zugriff von extern Grundsätzlich deaktivieren + VPN einsetzen.
(ich versteh nämlich nicht, wieso so viele ihre DS direkt ins Netz hängen.. VPN ist doch sooooo einfach.. !!)

 

[Puppetmaster]

(ich versteh nämlich nicht, wieso so viele ihre DS direkt ins Netz hängen.. VPN ist doch sooooo einfach.. !!)

Dann versuche mal, deine Eltern, Onkels, Tanten, etc. zu überzeugen, sich per VPN auf deine PhotoStation einzuwählen, dann hast du einen Teil der Probleme gesehen.

Ein anderes Problem ist, dass noch lange nicht aus jedem Netz heraus überhaupt eine VPN Verbindung aufgebaut werden kann (da die entsprechenden Ports nicht offen sind).

 

[maDDin_1338]

Dann versuche mal, deine Eltern, Onkels, Tanten, etc. zu überzeugen, sich per VPN auf deine PhotoStation einzuwählen, dann hast du einen Teil der Probleme gesehen.

Gut, die kann man auch nicht davon überzeugen mails zu verschlüsseln, da geb ich dir recht ^^

 

[goetz]

Hallo,
hier geht es um eine Firma

Unsere verschiedenen Abteilungen

und externe haben nichts im internen Netz per VPN verloren. Für Außendienstmitarbeiter ist VPN die Wahl.

Gruß Götz

 

[mischmaster]

und den Zugriff von extern Grundsätzlich deaktivieren + VPN einsetzen.
(ich versteh nämlich nicht, wieso so viele ihre DS direkt ins Netz hängen.. VPN ist doch sooooo einfach.. !!)

Nun ja, aber wir brauchen nun mal den Zugriff von extern, weil wir jede Menge Leute mit Daten versorgen müssen. Und das geht ja nur mit gemeinsamen Ordnern und ner DS im Internet, oder?

Die Variante mit der 2. DS hatten wir uns tatsächlich auch schon überlegt. Dann wird es natürlich wieder umständlicher für uns, weil wir dann Daten unnötig dublizieren müssen, um sie anderen bereit zu stellen. Ja ich weiß, der Preis der Sicherheit ist Komfort. Leider...

Auch die VPN Leitung können wir unseren Kunden nicht zumuten bzw. ist unrealistisch!

 

[mischmaster]

Es gibt ja keine Möglichkeit, Lesen Rechte zu vergeben, aber gleichzeitg keine Kopier Rechte, oder? Lesen und Kopieren ist in dem Fall dasselbe. Das wäre nämlich schön!

 

[Puppetmaster]

Was du Lesen kannst, kannst du im Zweifel immer kopieren.

 

[dil88]

Die Variante mit der 2. DS hatten wir uns tatsächlich auch schon überlegt. Dann wird es natürlich wieder umständlicher für uns, weil wir dann Daten unnötig dublizieren müssen, um sie anderen bereit zu stellen. Ja ich weiß, der Preis der Sicherheit ist Komfort. Leider...

Das läßt sich doch sehr bequem automatisiert erledigen - sei es mit Ordnersynchronisation oder Cloud Station.

 

[Frogman]

..., weil wir dann Daten unnötig dublizieren müssen, um sie anderen bereit zu stellen.

Unnötig? Ist auch eine Form der Datensicherung...

 

[mischmaster]

So,

jetzt noch ne andere Frage. Angenommen wir hätten zwei DS, eine nur intern und eine extern, um unsere Kunden mit Daten zu versorgen. Mit DMS 5.2 ist es glaube ich möglich, die Anzahl der Downloads zu begrenzen. Also wenn man eine datei nur zum einmaligen Download anbietet, gäbe es dann eine Möglichkeit, diese automatisch nach dem Download löschen zu lassen?

danke

 

[Freakhouse]

Denn es kann ja jeder von außerhalb auf die DS zugreifen, der unsere feste externe IP hat und den User Namen und das Passwort. D.h. wer diese durch Zufall oder bewusst an sich bringen kann, hat kompletten Zugriff auf all unsere Daten.

Die Zweifaktorauthentifizierung ist eine weitere Möglichkeit, die DS ein wenig sicherer zu machen. Da mittlerweile fast jeder über ein Smartphone verfügt, ist dies schnell umgesetzt. Der User muss dann neben Benutzernamen und Passwort auch immer einen 6-stelligen Zahlencode eingeben, der sich alle 60 Sekunden ändert.

 

[Frogman]

Grundsätzlich schon - bei ganzen Abteilungen, die eine gemeinsame Benutzerkennung verwenden (wie eingangs angedeutet) wird's dann aber damit schwierig.

 

[mischmaster]

Nun ja... die meisten haben Netzwerklaufwerke auf Windows Rechnern eingebunden. D.h. die loggen sich nicht immer neu ein. Ich schau mir die Zweifaktor Version mal an... Wie funktioniert bei Netzwerklaufwerken diese Authentifizierung?

 

[Frogman]

24/7? Oder trefft ihr Euch dann morgens gemeinsam zum Einloggen beim Morgenkaffee um das Abteilungshandy herum?

 

[ctrlaltdelete]

YMMD - Danke

24/7? Oder trefft ihr Euch dann morgens gemeinsam zum Einloggen beim Morgenkaffee um das Abteilungshandy herum?

 

[mrieglhofer]

Ich würde das über die File Station und Weiterleiten dieser Ports am Router lösen und die Berechtigung über den Directory Server. Interne User an der Syn berechtigen, externe nur über LDAP. Dann kann man bei jedem Share die Benutzer oder Benutzergruppen angeben und dort auch defnineren, ab wann die Zugriffsberechtigung erlischt. Geloggt wird das auch alles.

Oder jeden seine Dropbox auf die Shares legen und der Bearbeiter legt die zu veröffentlichten Files dort ab. Die Syn synchronisiert die Dropbox und der User lädt sie sich von dort.

 

[Frogman]

Oder jeden seine Dropbox auf die Shares legen und der Bearbeiter legt die zu veröffentlichten Files dort ab.

Jo, klasse Idee für Unternehmensdaten...