NAS sicher machen

[Ghost108]

Hallo zusammen,

gerne möchte ich den Zugriff auf meine NAS so sicher wie nur möglich gestalten unter der Voraussetzungen, dass diese trotzdem von extern erreichbar ist.
Was ich bislang umgesetzt habe:

• Firewall aktiviert
• Antivirus Essential installiert
• HTTP auf HTTPS Umleitung erzwungen
• HTTPS Port geändert
• Zwei Faktor Authentifizierung aktiviert
• Sicherer Benutzername / Passwort
• Daten verschlüsselt

Wie kann ich es noch "sicherer" machen?

 

[TeXniXo]

Wie erreichst du denn deine DS von außen eigentlich?
Am "sichersten" unter Umständen (naja 100% Sicherheit gibts ja nicht) wäre es via VPN und interner IP ... statt Quickconnect o.ä.

 

[Ghost108]

tatsächlich arbeite ich aktuell noch via Quickconnect.
Hatte damals VPN, allerdings hat mein Datenvolumen am iPhone sehr darunter gelitten.
Würde das Thema nach hinten schieben, Außer dem VPN - was gäbe es noch?

 

[rednag]

Automatische Blockierung?

 

[Puppetmaster]

gerne möchte ich den Zugriff auf meine NAS so sicher wie nur möglich gestalten unter der Voraussetzungen, dass diese trotzdem von extern erreichbar ist.

VPN, danach kommt lange erstmal nix.

 

[Ghost108]

@rednag: Müsste ich somit soweit erledigt haben.





@Puppetmaster
Ich habe grundsätzlich nichts gegen VPN, allerdings hatte ich damit massive Probleme mit meinem Datenvolumen.
Kurz zur Erklärung:

Habe VPN auf meinem iPhone eingerichtet
Über mein Macbook Air stelle ich täglich eine Verbindung zum Internet via iPhone HotSpot her.
Ich kam mit meinem Datenvolumen immer super aus. IN der Zeit, wo mein iPhone das VPN aktiviert hatte, hatte ich einen täglichen Datenverbrauch der so hoch war, das mein Datenvolumen relativ schnell erschöpft gewesen wäre. Normal oder ggf. ein Konfig-Fehler?

 

[Frogman]

...- was gäbe es noch?

Einstellung auf "Moderne" TLS-Konfiguration.

 

[TeXniXo]

Und Black- bzw. White-Liste für "zulässige" Clients, wenn man so genau nehmen will - geschweige dem Aufwand hierfür ^^

 

[Ghost108]

@Frogman

 

[frankyst72]

was haste denn für einen Router? Fangen wir doch mal ganz vorne an.... Welche Ports hälst Du für nötig?

 

[Ghost108]

Fritzbox 6590 Cable

Folgende Ports sind in der Fritzbox Richtung NAS freigegeben:

 

[rednag]

Cal,- CardDAV kann man über einen Reverse Proxy über Port 443 laufen lassen.
Bei VPN und WebDAV bin ich mir nicht sicher. VPN macht meine Fritz!Box und WebDAV nutze ich nicht.

 

[Nomad]

Fritzbox 6590 Cable

Folgende Ports sind in der Fritzbox Richtung NAS freigegeben:

Anhang anzeigen 42498

Deshalb mag ich VPN.

Alles verrammeln und nur einen Port öffnen. So braucht man nur OpenVPN und Port 1194 zu hüten statt sicherzustellen, dass alle Anwendungen die ihre eigene Tür ins Internet haben hoffentlich alle sicher sind.

Ansonsten, VPN hat erst einmal keinen bzw. minimalen Einfluss auf die Datenmenge die übertragen werden. Es ist ein virtuelles Netzwerkkabel. Wieviel oder was durch dieses "Kabel" geht liegt an der Netzwerkkonfiguration.

 

[Matthieu]

Nicht mehr topaktuell, trotzdem einen Blick wert:
https://www.synology-forum.de/showthread.html?41116-Checkliste-Sicherheit-zur-Diskussion
Da sind viele der hier diskutierten Tipps übersichtlich aufgelistet.

MfG Matthieu

 

[frimp]

Über mein Macbook Air stelle ich täglich eine Verbindung zum Internet via iPhone HotSpot her.
Ich kam mit meinem Datenvolumen immer super aus. IN der Zeit, wo mein iPhone das VPN aktiviert hatte, hatte ich einen täglichen Datenverbrauch der so hoch war, das mein Datenvolumen relativ schnell erschöpft gewesen wäre. Normal oder ggf. ein Konfig-Fehler?

Probiere noch einmal den Tunnel vom Macbook aus, nicht vom iPhone!

 

[Ghost108]

@frimp,

das würde natürlich gehen.
Aber ich muss ja auch nur mit meinem iPhone allein auf die NAS zugreifen können. Somit brauch ich den Tunnel ja sowohl auf dem iPhone als auf auf dem Macbook.
Im Endeffekt auf jedem Endgerät.

@Nomad,
wie konfiguriere ich die Geräte denn richtig, so dass die Datenmenge im Endeffekt die selbe bleibt?