DSM 6.x und darunter Internet Sicherheit der DS? Tipps!

[mrieglhofer]

Hängt immer davon ab, was man erreichen will.
In vielen Unternehmen ist Dropbox in Verwendung.. Warum also nicht, Daten Kunden damit zur Verfügung stellen. Hängt ja von der Vertraulichkeit ab. Und Verschlüsseln geht ja auch dabei.

Sicherer ist die andere Lösung im gleichen Post.

 

[whitbread]

Also wer seine Daten einer Cloud übergibt, die US-Recht unterliegt kann sich eine NAS sparen, imho!

im vorliegenden Fall würde ich auch auf 'ne 2.NAS setzen, diese in eine DMZ hängen und eine dedizierte Firewall davor setzen. Dort können dann Portscans, Brute-Force-Attacken, etc. abgefangen werden. Gegen "herumgereichte Logins" bzw. Links hilft die zeitliche Beschränkung eben dieser.

 

[mrieglhofer]

Prinzipiell hast mit Cloud schon recht.
Mich stört nur immer die Verallgemeinerung. Man kann durchaus in der Cloud Truescript Container ablegen oder anders verschlüsseln und damit ein relativ hohes Sicherheitsniveau halten. Das kann je nach Internet-Anbindung manchmal sinnvoll sein. Ungesicherte Dateien sind natürlich nur sinnvoll, wenn man sie eh auf eine Website stellen will oder wenn kein Mitbewerber damit einen Vorteil hat.

 

[mischmaster]

Nun ja... die meisten haben Netzwerklaufwerke auf Windows Rechnern eingebunden. D.h. die loggen sich nicht immer neu ein. Ich schau mir die Zweifaktor Version mal an... Wie funktioniert bei Netzwerklaufwerken diese Authentifizierung?

Die Zweifaktorauthentifizierung find ich schon mal sympathisch. Jetzt noch eine Frage. Kann ich diese für jeden Nutzer separat aktivieren, oder müssen alle die Zweifaktorauthentifizierung nutzen, wenn sie einmal eingestellt ist?

 

[mischmaster]

Ah ich sehe gerade: Entweder alle oder Alle Admins.... blöd... je User wäre mir lieber gewesen...

 

[Puppetmaster]

Ah ich sehe gerade: Entweder alle oder Alle Admins.... blöd... je User wäre mir lieber gewesen...

Wo siehst du das?
Jeder User kann das für sich selbst einschalten.

 

[mischmaster]

Unter Systemsteuerung/Benutzer/Erweitert

 

[Puppetmaster]

Möglich, dass du dort die Option auf admins beschränken kannst, dennoch kann jeder (angemeldete) Benutzer das in seinen Optionen selbst regeln.

 

[mischmaster]

Also bei mir stand es standartmäßig auf "Alle". Dann hab ich einen Test Benutzer angelegt. Als ich mich mit diesem einloggen wollte, kam sofort nach der Passwortabfrage ein Dialog, dass der Admin für diese Konto die 2 Faktoren Authentifizierung eingestellt hat und ich musste die 2 Faktoren Authentifizierung machen.

Vielleicht verhält es sich anders, wenn nur Admins angewählt ist.

 

[mischmaster]

Möglich, dass du dort die Option auf admins beschränken kannst, dennoch kann jeder (angemeldete) Benutzer das in seinen Optionen selbst regeln.

Ja, scheint so zu sein. Hab grad nochmal einen neuen Nutzer angelegt (mit nur Admins Einstellung) und jetzt kann ich es für diesen Nutzer separat regeln.

 

[mrieglhofer]

Wie funktioniert bei Netzwerklaufwerken diese Authentifizierung?

Hat da jemand schon ein Antwort? Ich denke, dass das mit Netzlaufwerken nicht klappen wird, weil ja das PW gecached wird und keine Eingabemöglichkeit besteht. Vor allem müste man ja konsequenterweise bei jedem Zugriff neuerlich sein Hardtoken bemühen.
Für VPN oder Filestation kann ich mir das hingegen gut vorstellen.

 

[mischmaster]

Also ich hab zu Hause Netzwerklaufwerke und vor Kurzem die 2 Faktoren Lösung eingerichtet. Die Laufwerke mounten sich bei jedem Start munter von alleine ohne zu Murren. Also ich glaube auch, dass die 2 Faktoren Authentifizierung keinen Einfluß hat. Ist ja auch im internen Netz eh nicht nötig.

 

[Puppetmaster]

Zwei Faktor Auth ist nur bei Anmeldung am Web GUI der DS relevant, also nur beim apache. Samba etc. arbeiten völlig unabhängig davon.

 

[whitbread]

Die 2-Faktor-Auth macht ja auch nur Sinn auf der GUI.

Seid Ihr immer noch bei SMB via www? Dann mal über Port-Knocking nachdenken. Das schränkt den Nutzerkreis für Zufallsangriife schon mal erheblich ein. Wenn einer Deiner Kunden dann mutwillig unterwegs ist sollte Ihn die Brute-Force-Regel einbremsen...