Vor kurzem bin ich von der Telekom zu Deutsche Glasfaser gewechselt und suche seitdem noch die perfekte Netzwerkkonfiguration für meine Bedürfnisse. Als Router nutze ich eine Fritzbox 5530 (vorher 7580). Zudem ist eine DS-916+ bei uns im Einsatz. Bis dato hatte ich eine Domain bei Strato dazu genutzt um meine Fritzbox via DynDNS erreichbar zu machen.
Zum Thema Sicherheit hatte ich gelesen, dass man die Diskstation trotz dort vorhandener Firewall idealerweise nicht mit den Standardports ans Internet hängen soll. Daher hatte ich einen hohen zufälligen Port für die Freigabe vergeben. Dazu hatte ich gelesen, dass Angreifer in der Regel bekannte Ports auf Schwachstellen abscannen.
Um eine zusätzliche Sicherheit zu erhalten, habe ich in der Firewall alle IP-Nummern außerhalb von Deutschland geblockt. Selbstverständlich kann man so etwas über Proxys / VPN umgehen - aber alle Angreifer die es nicht machen hat man schon einmal damit weggehalten.
Für die SSL-Verschlüsselung habe ich bisher Let's Encrypt genutzt. Dazu musste ich alle drei Monate kurzzeitig die nötigen Ports öffnen und das Zertifikat erneuern. Danach wieder schließen und so hatte ich eben vier Mal im Jahr kurz den Aufwand aber kein zusätzliches Sicherheitsrisiko.
Die beschriebene Einstellung war für mich ein Kompromiss zwischen Bedienbarkeit und Sicherheit. Denn ein Anwendungsfall meiner NAS ist eine Dateifreigabe für Freunde / Familie (natürlich mit Kennworteingabe). Da aus diesem Personenkreis oftmals EDV-Laien eine möglichst selbsterklärende Lösung brauchen, war die Idee eines VPN-Zugriffs dieser Personen o.ä. für mich nicht zu gebrauchen.
Leider bietet Deutsche Glasfaser nur Anschlüsse mit IPv6 an (heißt wohl DSLITE). Damit kann ich jetzt noch einmal komplett von vorne anfangen mir Gedanken zu machen, wie es am besten / sichersten einzustellen ist.
Das fängt mit dem Thema DDNS an. Hier habe ich einen Updatestring gefunden, der tatsächlich nur die IPv6 überträgt. Denn die zusätzlich vergebene IPv4 gehört zu einem privaten Netzwerkbereich und bringt damit nicht weiter.
Da aber jedes Gerät eine eigene IPv6-Adresse hat, kommt man jetzt über die DDNS-Domain nur auf die Fritzbox, aber nicht weiter.
Die Diskstation selbst bietet zwar die Möglichkeit einen DDNS-Anbieter anzupassen und damit einen eigenen Update-String zu definieren. Allerdings scheint es keinen Platzhalter für IPv6 zu geben - zumindest nicht direkt ersichtlich.
Da bei manchen Mobilgeräten zudem IPv4 ohne IPv6 voreingestellt ist, bin ich jetzt letztlich bei Quickconnect von Synology gelandet. Der Dienst funktioniert ja auch bei der Konstellation, dass ein Zugriff von einem reinen IPv4-Gerät erfolgt.
Zuerst hatte ich einen einfachen Nickname vergeben, habe das dann aber aufgrund Sicherheitsbedenken geändert. Wenn man im Quickconnect einfach mal irgendeinen häufigen Vornamen eingibt, dann landet man nämlich schnell auf der Startseite einer fremden NAS. Das erscheint mir nicht besonders sicher zu sein - auch wenn auf der Diskstation eine Firewall arbeitet.
Aktuell habe ich eine kryptische Zahlen-Buchstaben-Kombination als "Quickconnect" verwendet. Das ist zwar bei der Einrichtung der verschiedenen Dienste auf dem Smartphone nicht so "quick" wie ein einfach zu merkender Name. Rein von der Sache her müsste es aber trotzdem deutlich sicherer sein, oder? Denn der Verbindungsaufbau mit dem Quickconnect nimmt eine kurze Zeit in Anspruch. Ein Angreifer müsste jetzt eine riesige Zahl von Buchstabenkombinationen durchprobieren und bräuchte dazu Unmengen von Zeit. Mit zunehmender Länge der Kombination erscheint es mir als eher unwahrscheinlich, dass mich hier jemand "zufällig" besuchen kommt.
Wie sicher schätzt Ihr diese Version ein?
Welche Variante habt Ihr in der Kombination Deutsche Glasfaser, Fritzbox und Diskstation gefunden?
Die Suche hat zwar ein paar Threads dazu ausgespuckt - ich wollte aber keinen vor zwei Jahren abgeschlossenen mit dem Thema wiedereröffnen. Technisch hat sich ja auch wieder etwas getan.
Zum Thema Sicherheit hatte ich gelesen, dass man die Diskstation trotz dort vorhandener Firewall idealerweise nicht mit den Standardports ans Internet hängen soll. Daher hatte ich einen hohen zufälligen Port für die Freigabe vergeben. Dazu hatte ich gelesen, dass Angreifer in der Regel bekannte Ports auf Schwachstellen abscannen.
Um eine zusätzliche Sicherheit zu erhalten, habe ich in der Firewall alle IP-Nummern außerhalb von Deutschland geblockt. Selbstverständlich kann man so etwas über Proxys / VPN umgehen - aber alle Angreifer die es nicht machen hat man schon einmal damit weggehalten.
Für die SSL-Verschlüsselung habe ich bisher Let's Encrypt genutzt. Dazu musste ich alle drei Monate kurzzeitig die nötigen Ports öffnen und das Zertifikat erneuern. Danach wieder schließen und so hatte ich eben vier Mal im Jahr kurz den Aufwand aber kein zusätzliches Sicherheitsrisiko.
Die beschriebene Einstellung war für mich ein Kompromiss zwischen Bedienbarkeit und Sicherheit. Denn ein Anwendungsfall meiner NAS ist eine Dateifreigabe für Freunde / Familie (natürlich mit Kennworteingabe). Da aus diesem Personenkreis oftmals EDV-Laien eine möglichst selbsterklärende Lösung brauchen, war die Idee eines VPN-Zugriffs dieser Personen o.ä. für mich nicht zu gebrauchen.
Leider bietet Deutsche Glasfaser nur Anschlüsse mit IPv6 an (heißt wohl DSLITE). Damit kann ich jetzt noch einmal komplett von vorne anfangen mir Gedanken zu machen, wie es am besten / sichersten einzustellen ist.
Das fängt mit dem Thema DDNS an. Hier habe ich einen Updatestring gefunden, der tatsächlich nur die IPv6 überträgt. Denn die zusätzlich vergebene IPv4 gehört zu einem privaten Netzwerkbereich und bringt damit nicht weiter.
Code:
https://<username>:<passwd>@dyndns.strato.com/nic/update?hostname=<domain>&myip=0.0.0.0,<ip6addr>&subhostprefix=<ip6lanprefix>
Da aber jedes Gerät eine eigene IPv6-Adresse hat, kommt man jetzt über die DDNS-Domain nur auf die Fritzbox, aber nicht weiter.
Die Diskstation selbst bietet zwar die Möglichkeit einen DDNS-Anbieter anzupassen und damit einen eigenen Update-String zu definieren. Allerdings scheint es keinen Platzhalter für IPv6 zu geben - zumindest nicht direkt ersichtlich.
Da bei manchen Mobilgeräten zudem IPv4 ohne IPv6 voreingestellt ist, bin ich jetzt letztlich bei Quickconnect von Synology gelandet. Der Dienst funktioniert ja auch bei der Konstellation, dass ein Zugriff von einem reinen IPv4-Gerät erfolgt.
Zuerst hatte ich einen einfachen Nickname vergeben, habe das dann aber aufgrund Sicherheitsbedenken geändert. Wenn man im Quickconnect einfach mal irgendeinen häufigen Vornamen eingibt, dann landet man nämlich schnell auf der Startseite einer fremden NAS. Das erscheint mir nicht besonders sicher zu sein - auch wenn auf der Diskstation eine Firewall arbeitet.
Aktuell habe ich eine kryptische Zahlen-Buchstaben-Kombination als "Quickconnect" verwendet. Das ist zwar bei der Einrichtung der verschiedenen Dienste auf dem Smartphone nicht so "quick" wie ein einfach zu merkender Name. Rein von der Sache her müsste es aber trotzdem deutlich sicherer sein, oder? Denn der Verbindungsaufbau mit dem Quickconnect nimmt eine kurze Zeit in Anspruch. Ein Angreifer müsste jetzt eine riesige Zahl von Buchstabenkombinationen durchprobieren und bräuchte dazu Unmengen von Zeit. Mit zunehmender Länge der Kombination erscheint es mir als eher unwahrscheinlich, dass mich hier jemand "zufällig" besuchen kommt.
Wie sicher schätzt Ihr diese Version ein?
Welche Variante habt Ihr in der Kombination Deutsche Glasfaser, Fritzbox und Diskstation gefunden?
Die Suche hat zwar ein paar Threads dazu ausgespuckt - ich wollte aber keinen vor zwei Jahren abgeschlossenen mit dem Thema wiedereröffnen. Technisch hat sich ja auch wieder etwas getan.