IT Infrastruktur, Fragen zur Datensicherheit

[Fred30dy]

Hallo, ich stehe gerade dabei meine IT Infrastruktur hinsichtlich Datensicherheit zu hinterfragen und ersuche um eure Meinung.

Ausgangslage:

1 PC für Office (mit einem Gb Lan onboard)
1 PC für Game/Video (mit einem Gb Lan onboard)
1 NAS Synology DS212j (Sicherung über ext. WD My Book Festplatte)

hängen direkt bzw. über einen Switch an einem Thomson TWG870 Router.

Beide Pc´s werden über einen beschränkten Benutzeraccount mit entsprechender Passwortsicherheit betrieben und auf beiden läuft Bitdefender Internet Security 2014.

Sensible Daten werden zurzeit auf der NAS gesichert welches automatisiert ein tägliches, bzw. wöchentliches backup auf der ext. Festplatte macht.

Die NAS wird über den https Port 5001 betrieben (allerdings ohne SSL Zertifikat) und es sind nur die benötigten Dienste freigeschalten. Kein DynDNS, gemeinsame Ordner verschlüsselt

Eine 100%-ige Sicherheit wird es nie geben, da immer Dienste und Ports freigeschalten sein müssen aber dazu folgende grundsätzliche, teils Anfängerfragen. Mir ist klar, dass im Detail jeder Punkt beispielsweise Routerkonfiguration, Diensteverwaltung Windows, etc. ausgeschlachtet werden kann.

1) Auch ohne DynDNS ist die NAS von aussen, spricht über das Netz erreichbar?
2) In der jetzigen Konfiguration sind meine Daten „am sichersten“ auf der NAS, richtig? Wäre dies für 99% der Fälle ausreichend?
3) Um die NAS nur lokal im Intranet zu verwenden um damit von Netz zu trennen müsste ich jeweils eine zusätzliche Netzwerkkarte in den PC´s verwenden und die NAS mittels Switch reinhängen?
4) Hätte eine gänzliche Trennung von Netz Sinn da man ja wiederrum über die PC zugreifen könnte.
5) Wäre es möglich nur die Photostation einen Zugang nach außen zu gewähren (für Fototausch mit Oma ? )

Vielen Dank vorab
Freddy

 

[Thorndike]

1) Auch ohne DynDNS ist die NAS von aussen, spricht über das Netz erreichbar?
Die errichbarkeit hat nichts mit DynDNS zu tun. Von außen erreichbar wird das NAS dadurch das Anfragen von Außen über eine Portweiterleitung im Router nach innen gereicht werden (IPv4) oder die Anfragen an eine IP Adresse im internen Netz an das NAS durchgeleitet werden (IPv6). Beides ist im normalfall deaktiviert. DynDNS dient nur dazu von außen nicht die wechselnden Adressen eintippen zu müssen.
2) In der jetzigen Konfiguration sind meine Daten „am sichersten“ auf der NAS, richtig? Wäre dies für 99% der Fälle ausreichend?
Ja, da man sich auf dem PC durch das surfen oder email allein selbst mit Vierenschutz etwas einfangen kann. Wenn du allerdings permanente Laufwerkszuordnungen auf das NAS hast sind die Daten dort genauso gefährdet wie auf der Platte des PC
3) Um die NAS nur lokal im Intranet zu verwenden um damit von Netz zu trennen müsste ich jeweils eine zusätzliche Netzwerkkarte in den PC´s verwenden und die NAS mittels Switch reinhängen?
Nicht notwendig, siehe 1.
4) Hätte eine gänzliche Trennung von Netz Sinn da man ja wiederrum über die PC zugreifen könnte.
Worauf kein Zugriff vorhanden ist kann natürlich auch niemand angreifen. Nur kommst du dann auch an nichts. Eher unrealistisch.
5) Wäre es möglich nur die Photostation einen Zugang nach außen zu gewähren (für Fototausch mit Oma ? )
Siehe 1. Wenn du einen echten IPv4 Anschluss hast kannst du im Router nur die Ports weiterleiten die für die PhotoStation nötig sind (am besten 443 für HTTPS).

 

[Fred30dy]

@Thorndike
Super, danke für die Infos. Ok , ich wiederhole das mal, bitte um Richtigstellung wenn ich da was falsch verstanden hab.

IPv4 reicht Anfragen von „außen“ mittels Portweiterleitung im Router nach „innen“. Ist IPv4 deaktiviert kommt niemand von „außen“ rein. Um selbst ins Internet zu kommen wird im Router der Port 80 und andere Standarddienste für e-mail, udgl. freigeschalten. Auf diesen Ports ist man von „außen“ angreifbar was man aber nicht vermeiden kann da es ohne diese Ports nicht geht. IPv6 ist ein eigenes, neues Protokoll was noch nicht verwendet wird, oder?

1) Ok, wie erkennte ich nun ob bei meinem Router Ipv4 deaktiviert ist? Ist damit WAN Blocking gemeint? Wäre in meinem Fall „enabled“. Aktiviert man in der Firewall der NAS ebenfalls den Port 80 wäre dies eine direkte Verbindung nach „außen“, richtig?

2) Die gemeinsamen NAS Ordner sind in der Heimnetzwerkumgebung natürlich sichtbar und bei gleichem Benutzerpasswort in Windows und der NAS auch anwählbar. Praktisch aber wenn der PC gehackt wird wäre demnach auch Zugriff auf die NAS möglich. Unabhängig ob ein Netzlaufwerk konfiguriert ist, oder die NAS Ordner verschlüsselt sind. Abhilfe würden nur unterschiedliche Passwörter bedeuten, richtig?

3) Siehe Pkt. 1 Solange IPv4 deaktiviert ist kann man nicht auf die NAS zugreifen solange man keinen Port öffnet. Gut zu wissen. Welcher Port müßte den offen sein um von „außen“ zugreifen zu können? Nur im Falle, dass man von unterwegs mal etwas benötigt.

4) Um nur die Photostation zu öffnen müsste der Port 443 im Router und in der Firewall der NAS geöffnet werden. Wie kann jedoch dann der Zugriff erfolgen? Der generierte link in der Photostation würde ja den unverschlüsselten Port 80 betreffen.

Freddy

 

[netcam]

Hi,

wenn du dein NAS im Netzwerk siehst, dann ist ipv4 aktiviert. Deaktivierst du ipv4 auf einer Netzwerkschnittstelle z.B. vom NAS, dann ist das NAS nicht mehr erreichbar. Machst du das an deinem PC, so kann der PC nicht mehr mit dem Netz kommunizieren, also kein Internet, kein NAS - nichts ist zu sehen. Du solltest ipv4 nicht deaktivieren.

Gruß

 

[Thorndike]

Nicht ganz. IPv4 und IPv6 sind jeweils die Adressen über die dein Heimnetz im Internet erreichbar ist. Das ist so eine Art Telefonnummer. Das kannst du nichts deaktivieren. Anfragen die du nach außen schickst werden dann von außen beantwortet und der Router weiß an Hand der in der Antwort geschickten Infos an welches Gerät er die Antwort zustellen soll. Anfragen von außen die keine Antwort darstellen haben diese Infos nicht und der Router weiß nicht wohin damit und verwirft sie. Wenn man dem Router sagt das eine Anfrage auf einem bestimmten Port an ein bestimmtes Gerät weitergeleitet werden soll (Konfiguration: Portweiterleitung), dann werden alle Anfragen an dieses Gerät weitergegeben.
IPv6 ist eine andere Geschichte und schon aktiv. Im Grunde ändert sich aber nur das Format der Telefonnummer. Auf die Unterschiede gehe ich hier jetzt mal nicht ein. Für einige Jahre wirst du für eine vollständige Erreichbarkeit noch auf IPv4 angewiesen sein. Da genau liegt auch der Hase im Pfeffer: Da es nicht genug Adressen gibt bekommt man bei manchen Anbietern keine mehr die überall gültig sind und ist dann von außen nicht erreichbar.
Zu den Fragen:
1. siehe oben
2. Üblicherweise reicht es wenn du die Laufwerkseinbindung manuell erzeugst und sie nicht immer automatisch neu aufbauen lässt. Einen Schädling der das lokale Netz nach Freigaben durchsucht die zufällig mit dem lokalen Kennwort zugreifbar sind kann man schreben, ich kenne aber keinen. Unterschiedliche Kennworte würden das aber ausschließen.
3. Die notwendigen Ports hängen von der Anwendung ab (z.B.: HTTP:80, HTTPS:443). Grundregel: Immer nur das öffnen was notwendig ist!
4. HTTPS ist immer besser wenn man sich anmelden muss. Das kann man in der Konfiguration einstellen das die Photostation über HTTPS erreichbar ist.

Ach ja, HTTPS ohne SSL Zertifikat geht nicht. Bei Syno wird aber ein generisches mitgeliefert das benutzt wird wenn man kein eigenes konfiguriert.

 

[Fred30dy]

Hmm danke für die Rückmeldungen. Ich konkretisiere besser mein Vorhaben genauer.

Da ich die NAS in der jetzigen IT Infrastruktur als „sicherstes“ Medium sehe habe ich dort einige sehr sensible Dateien drauf welche auch im Falle eines Hacks bestmöglich geschützt sein sollen. Wie realisiere ich dies nun am besten?

Meine Idee wäre es gewesen die NAS von Netz abzukoppeln um nur von den PC´s zugreifen zu können (also ein Intranet). Wenn möglich wäre es schön, aber kein Muss, NUR die Photostation auch den Omas zur Verfügung zu stellen.

 

[Thorndike]

Wenn möglich wäre es schön, aber kein Muss, NUR die Photostation auch den Omas zur Verfügung zu stellen.

Das bricht dir das Genick bei der Zugriffsbeschränkung. Wenn Oma dran soll können alle im Internet an die DS. Entweder du lebst mit dem Risiko das im DSM Fehler sind die einen Zugriff auf Daten außerhalb der PhotoStation (eigentlich Webserver) ermöglichen oder du musst für Oma eine zweite DS kaufen.
Ohne Portweiterleitung im Router sind deine Daten aber so sicher wie es geht (100% ist eh nicht) nur dann gibt es keine Bilder für Oma. Mit Router hast du das Risiko. Die Abwägung kannst nur du machen, es geht um deine Daten.

Ach ja, wenn es sich um wichtige Daten handelt dann eine vernünftige Backup Strategie nicht vergessen. Hast du die nicht sind die Daten eh nicht wichtig!

 

[netcam]

Hi Fred30dy,

diese Sicherheit deiner Daten erreichst du durch ein Backup (das machst du schon richtig). Sichere alle Daten von deinem NAS auf eine USB-Festplatte, die du nach dem Backup wieder abziehst und in den Schrank stellst. Machst du das regelmäßig, so sind deine Daten recht sicher. Der Einbau einer 2. Netzwerkkarte im PC nützt dir nicht soviel, wenn der PC verseucht ist.

Gruß

 

[nageniil]

@Red30dy:

Um selbst ins Internet zu kommen wird im Router der Port 80 und andere Standarddienste für e-mail, udgl. freigeschalten.

Nein, bloß nicht!
Die Port-Freigaben bzw. Port-Weiterleitungen gelten NUR von außen nach innen!
Du brauchst am Router überhaupt keine Freigaben, um vom internen Netz ins Internet zu kommen.

Und wenn Du eine Anfrage ins Internet absetzst ("hol mir eine Mail, zeig mir eine Internetseite..."), dann wird vom Router nur Datenverkehr vom Internet ins interne LAN gelassen, der sich auf eine konkrete Anforderung von Dir bezieht (und auch zu genau dem Gerät geroutet wird, das diese Anfrage gestellt hat).

Nur Datenverkehr, der unverlangt vom Internet eintrifft, da schaut der Router, ob es im internen Netzt jemand gibt, der berechtigt ist, solche unverlangten Anfragen zu beantworten. Wenn nicht (keine Port-Freigabe), schmeißt der Router das Datenpaket weg. Somit wäre nur der Router selbst von bösen Jungs außerhalb angreifbar.