Sicherheit erhöhen

[FR_NAS]

Hallo,

ich möchte gerne die Sicherheit meiner Diskstation verbessern. Ich habe derzeit folgendes Setup:

• DS720+ als Fileserver im lokalen Netz
• Hinter eine FritzBox
• Verbunden mit Dynamischer IP; Portweiterleitung für folgende Dienste
  • Mail-Plus Server für eingehende Mails; Ports weitergeleitet (abgehende Mails über ein Relay)​
  • ein spezifischer Port für den Mail Plus Client zum Abruf mit der App / Webmail​
  • Zusätzlich jeweils ein Port für Chat und Contact​
  • Alle anderen Dienste (z.B. IMAP, PoP3) sind deaktiviert​
• Eine DynDNS Domain
• Den Zugriff auf alle anderen Anwendungen / Dienste habe ich in der App Verwaltung auf dem NAS auf das lokale Netz beschränkt (einschließlich den Zugriff auf DSM
• In der Benutzerverwaltung habe ich die Berechtigungen sehr restriktiv vergeben; als weitere Verbesserung plane ich für die externen Zugriff explicite Benutzer anzulegen, die nur diese Dienste (Mail, Contact, Chat) nutzen können und für alles andere gesperrt werden
• Backups per Hyperbackup auf ein lokales NAS und auf einen Speicherplatz in einem Rechenzentrum (verschlüsselt)
• Ich plane auch eine Dockeranwendung extern erreichbar zu machen; das am ehesten ohne Portweiterleitung, sondern über ein VPN via FritzBox

Ich würde gerne die Sicherheit verbessern. Ich sehe vor allem das Risiko, dass durch eine Sicherheitslücke in den nach außen geöffneten Anwendungen (Mailserver oder MailPlusClient und Contacts) ein Angreifer einen Zugriff auf die Diskstation und damit auf die darauf gespeicherten Daten bekommen könnte oder einen Verschlüsselungsangriff starten könnte. VPN für die App Zugriffe kommt nicht in Betracht, da nicht alle Anwender mit ihren Clients entsprechende VPN Zugriffe ausüben können. Um die Sicherheit zu verbessern überlege ich folgende Anpassungen:

• eine zweite DS720+, die ohne Portweiterleitungen usw. betrieben wird und nur aus dem lokalen Netz erreichbar ist (vor allem für Fileserver und die Dienste, die intern genutzt werden
• Von der vorhandenen DS720+ würde ich alle Dateien und Dienste außer Mail und Contact entfernen und diese ggf. auch im lokalen Netz isolieren, so dass von dort keine Zugriffe auf interne Geräte möglich sind
  • Mailserver und MailPlus Client
  • Die Mails würde ich dann zur Sicherheit auf einem zweiten lokalen Speicher sichern (ich müsste hier noch planen, wie ich das realisiere, wenn die neue DS isoliert sein soll)

Würde sich das aus Eurer Sicht lohnen, um die Sicherheit zu verbessern? Oder gibt es andere Maßnahmen, die ich (alternativ oder zusätzlich) in Erwägung ziehen sollte? Z.B.:

• Eine Firewall, die auch den Verkehr, der an die Ports der DS weitergeleitet wird, scannt?
• Umstellen auf Quick Connect für die App Zugriffe und entfernen der Portweiterleitung (bringt das überhaupt ein Plus an Sicherheit?)
• ....?

 

[Synchrotron]

Nur ein paar Gedanken:

• Wozu dient dein Netzwerk ? Private Nutzung, kleine Firma ? Wer greift alles zu, wie wichtig sind die externen Zugänge, und für wen ?
• Du willst die DS absichern. Gut - was ist sonst noch in deinem Netzwerk zugange ? Eine DS ist höchst selten das Einfallstor, ziemlich oft sind es Windows-PCs, gerne mit MS Office, Outlook, PowerShell, AD und ähnlichem. Die DS ist dann eher ein "Opfer".
• Hinterfrage jeden externen Zugriff - ein geschlossener Port, ein abgeschalteter Dienst ist immer sicherer als ein noch so gut gesicherter, aktiver.
• Wer greift von extern überhaupt zu ? Wäre es eine Option, alle Ports zu schließen und durch einen VPN-Zugang zu ersetzen ?
• Was kann dein Netzwerk ? Eine FB ist ein Router, wer steuert und "switcht"das interne Netz ?
• Backups sind angreifbar, so lange auf der Backup-Quelle Zugangsdaten hinterlegt sein müssen. HyperBackup kann nur "Push", dazu müssen die Zugangsdaten hinterlegt sein. Besser gesichertes Backup läuft als "Pull", das heißt das Backupziel wählt sich auf der Quelle ein, zieht sich das Backup, und logt sich wieder aus. Geht über Active Backup for Business, oder andere Tools wie rsync oder Universal Backup.

Das sind nur ein paar Ideen. Wenn es dicht werden soll, wird die Sicherung nach dem Käse-Prinzip aufgebaut: In jeder Scheibe können Löcher sein, durch mehrere Scheiben gibt es aber kein durchgehendes Loch mehr. Damit das aufeinander aufbauend funktioniert, ist m.E. professionelle, auf die Nutzung abgestimmte Unterstützung sinnvoll.

Wir können hier haufenweise Fragen stellen (gerade bewiesen) und ein paar Tips geben, aber ein gutes Konzept sieht anders aus und erfordert mehr Wissen über das, was du erreichen willst.

 

[diver68]

VPN für die App Zugriffe kommt nicht in Betracht, da nicht alle Anwender mit ihren Clients entsprechende VPN Zugriffe ausüben können.

Erklär mal näher, welche Clients aus welchem Grund keine VPN Zugriffe ausüben (können).

 

[FR_NAS]

Hallo,

vielen Dank für Eure Antworten.

Nur ein paar Gedanken:

• Wozu dient dein Netzwerk ? Private Nutzung, kleine Firma ? Wer greift alles zu, wie wichtig sind die externen Zugänge, und für wen ?

Ich würden den Service gerne wie für eine Firma bereitstellen. Es ist zwar eine überwiegend private Nutzung, aber durch mehrere Personen, so dass der administrative Aufwand vergleichbar zu einem Kleinbetrieb ist.

• Du willst die DS absichern. Gut - was ist sonst noch in deinem Netzwerk zugange ? Eine DS ist höchst selten das Einfallstor, ziemlich oft sind es Windows-PCs, gerne mit MS Office, Outlook, PowerShell, AD und ähnlichem. Die DS ist dann eher ein "Opfer".

Verstanden, das ist mir klar. In meinem eigenen Netzwer sind die Clients denke ich so gut wie möglich abgesichert (die Windows Clients sind mit moderner Schadsoftware Erkennung verbunden und regelmäßig aktualisert. Nicht erforderliche Dienste (RDP usw.) deaktiviert und blockiert. Das Risiko eines Angriffs auf Mac und Linux Clients in meinem Netz halte ich für eher unwahrscheinlich und alle anderen Clients in meinem lokalen Netz (z.B. Audiogeräte zum streaming, Apple TV ... sind nur eingeschränkt (wenn überhaupt) von Außen erreichbar.

• Hinterfrage jeden externen Zugriff - ein geschlossener Port, ein abgeschalteter Dienst ist immer sicherer als ein noch so gut gesicherter, aktiver.
• Wer greift von extern überhaupt zu ? Wäre es eine Option, alle Ports zu schließen und durch einen VPN-Zugang zu ersetzen ?

s.u.

• Was kann dein Netzwerk ? Eine FB ist ein Router, wer steuert und "switcht"das interne Netz ?

Ich habe einen Unifi Switch USW-24-POE

• Backups sind angreifbar, so lange auf der Backup-Quelle Zugangsdaten hinterlegt sein müssen. HyperBackup kann nur "Push", dazu müssen die Zugangsdaten hinterlegt sein. Besser gesichertes Backup läuft als "Pull", das heißt das Backupziel wählt sich auf der Quelle ein, zieht sich das Backup, und logt sich wieder aus. Geht über Active Backup for Business, oder andere Tools wie rsync oder Universal Backup.

Ja, das habe ich auch auf meinem Zettel, dass ggf. zu verbessern. Derzeit behelfe ich mir damit, dass ich das Backup Ziel nur einschalte, wenn Backups übertragen werden und das Ziel ansonsten abschalte.

Das sind nur ein paar Ideen. Wenn es dicht werden soll, wird die Sicherung nach dem Käse-Prinzip aufgebaut: In jeder Scheibe können Löcher sein, durch mehrere Scheiben gibt es aber kein durchgehendes Loch mehr. Damit das aufeinander aufbauend funktioniert, ist m.E. professionelle, auf die Nutzung abgestimmte Unterstützung sinnvoll.

Wir können hier haufenweise Fragen stellen (gerade bewiesen) und ein paar Tips geben, aber ein gutes Konzept sieht anders aus und erfordert mehr Wissen über das, was du erreichen willst.

Danke jedenfalls schon mal, aus den Fragen ergeben sich ja einige Denkanstöße ....

Erklär mal näher, welche Clients aus welchem Grund keine VPN Zugriffe ausüben (können).

Das liegt vor allem daran, dass ich das nicht administiren kann. Es sind einige Anwender, die auf den gehosteten Maildienst via Webclient oder App zugreifen. Ich habe versucht, das via VPN aufzusetzen, aber der Aufwand ist enorm, da die Anwender bei Verbindungsproblemen alle bei mir aufschlagen, ich mich aber nicht darum kümmern kann. Z.B. auf Iphone funktioniert bei mir die Skriptgesteuerte VPN on demand Steuerung nicht wirklich. Und das immer manuell steuern zu müssen ist keine nutzerfreundliche Option.

 

[diver68]

Naja, anstatt auf der DS rumzudoktern könntest Du auch einen Pi einrichten, Wireguard installieren https://www.bachmann-lan.de/raspberry-pi-mit-wireguard-und-webinterface/ und die fertigen conf Dateien an Deine clients versenden. Der Wireguard (Pi)Server verweist auf die DS über ip-allow und sonst auf nichts anderes. WG client läuft absolut sauber, auch on demand, auf iOS oder Android, Mac, Linux oder Windows.

 

[FR_NAS]

Danke, das werde ich mir auf jeden Fall mal anschauen. Allerdings sind meine Erfahrungen mit VPNs bisher, dass diese sher supportintensiv sind. Da ich für die Nutzer, die auf die Mails der Domain zugreifen können, nicht adminisitrieren kann / will (mangels Ressourcen), würde ich gerne zumindest eruieren, ob und wie eine alternative ohne VPN möglichst Sicher ausgestaltet werden kann.

Für den Maileingang brächte ich ja - unabhängig vom VPN für den Nutzer Zugriff - eh offene Ports für den Mailserver ....

 

[diver68]

Ich würden den Service gerne wie für eine Firma bereitstellen. Es ist zwar eine überwiegend private Nutzung, aber durch mehrere Personen, so dass der administrative Aufwand vergleichbar zu einem Kleinbetrieb ist.

Da ich für die Nutzer, die auf die Mails der Domain zugreifen können, nicht adminisitrieren kann / will (mangels Ressourcen),

Was nu? So einen Server zu "administrieren" ist leider immer mit Arbeit/Aufwand verbunden, ob mit oder ohne VPN... Vielleicht ist ja aber auch Nextcloud in einer Docker Umgebung eher das was Du suchst? Allerdings ist jedes update von NC meistens eine Wundertüte...

 

[Synchrotron]

Kurz ein paar Rückmeldungen:

VPN: Nutze selbst Wireguard auf einem Raspi, und als Rückfallebene VPN auf der FritzBox. Nachteil ist sicher, die Benutzer müssen wissen, wie sie damit umgehen (erst aktivieren, dann einwählen).

Switch: Klingt gut, da kannst du überlegen, ob du dein Netzwerk in ein paar VLANs aufteilst.

Mailserver: Mir erschließt sich nicht, wozu man den im privaten Umfeld benötigt. Meine (diversen) Mailaccounts sind extern gehostet, läuft und macht wenig Aufwand. Der Mailserver ist immer eine Schwachstelle, und kann als Spamschleuder unangenehm auffällig werden.

Wenn du den Zugang von außen auf bestimmt Inhalte ermöglichen willst, wäre eine Überlegung, diese Dienste auf eine DS in eine DMZ zu stellen: Router - DMZ (Zwischenzone) - zweiter Router (mit VPN-Server / echter Firewall) - internes Netz. Die DMZ ist über normale Portweiterleitungen erreichbar, dort laufen Dienste, die von außen erreichbar sein sollen. Alle Zugriffe auf das interne Netz laufen über VPN. Der zweite Router ist ein Profimodell, bei dir sinnvollerweise passend zum Switch.

 

[synfor]

Wenn du keinen Support leisten willst oder kannst, biete keine Dienste an.

 

[McFlyHH]

Die Kombination aus wenig Ahnung, wenig Zeit und wenig Aufwand ist in diesem Kontext definitiv - nennen wir es mal - suboptimal!

 

[FR_NAS]

Danke für Eure Rückmeldung.

Vorweg: Ich möchte gerne Support leisten, nur gerne so wenig wie möglich. Natürlich ist auch eine Überlegung, die ich durchgehe, die Dienste nach außen zu "vergeben"; hier suche ich aber gerade nach Möglichkeiten, wie ich mit den vorhandenen Mitteln (und ggf. zusätzlichen Investitionen) einen möglichst gut nutzbaren und dennoch möglichst sicheren Dienst selber erbringen kann.

Vor dem VPN schrecke ich jedenfalls zurück, da ich mehrfach die Erfahrung gemacht habe, dass dies in den seltensten Fällen vernünftig funktioniert und durch Anwender richtig genutzt wird. Daher meine Frage hier, ob und ggf. wie ich eine Verbesserung des Status quo ohne VPN erreichen könnte und welche Maßnahmen dafür sinnvoll sind.

@diver68 : Danke für Deine Rückmeldung. Würde mir Nextcloud denn unter Sicherheitsgesichtspunkten einen Vorteil im Vergleich zu den vorhandenen Synology Apps bringen? Ich denke auch dafür brauche ich Portweiterleitungen usw. ....

@Synchrotron : Danke für die Vorschläge; Den Mailserver nutze ich ja nur für den Empfang von Mails, für abgehende Mails nutze ich - derzeit - ausschließlich ein Relay im Internet, das nicht von mir selber betrieben wird.
Das vorgeschlagene Vorgehen mit der DMZ entspricht meiner Überlegung zum Einsatz einer zweiten DS. Das wäre ja mein bevorzugtes Vorgehen. Als Router zwischen DMZ und internem Netz würde ich dann ein Unifi USG nehmen. Ein VPN für das interne Netz würde ich dann - zunächst - gar nicht benötigen.

Würde es in diesem Fall Sinn machen, eine Firewall zwischen DMZ und Internet einzusetzen? Z.B. um den über die geöffneten Ports übertrgagenen Verkehr zu filtern und ggf. auffälliges Verhalten zu identifizieren? Die Fritz Box überwacht den Verkehr auf diesen Ports ja überhaupt nicht, sondern leitet den komplett weiter.

 

[the other]

Moinsen,
na ja, am Ende kommt es doch nur darauf an, wie sicher die Ratio zwischen Sicherheit / Nutzungsfreundlichkeit sein soll, sowohl für dich als auch die User...
1. Ich hab bis heute den Aufwand nicht verstanden, die Mails, egal wie, vom Mailprovider weg aufs NAS zu holen. Eben genau deswegen: es muss ja immer irgendwie ne Verbindung zu Stande kommen. Und ein Fileserver ist eben kein Mailserver ist eben kein VPN Server ist eben kein...irgendwas mit Muss-nach-draußen-offen-sein Server. Aber da macht ja jeder seine eigenen individuellen Nöte und Erfahrungen geltend...

2. Davon ab: wenn du VPN richtig konfigurierst, dann ist das idR EINMAL Aufwand (beim ersten, zweiten, dritten Mal), dann ist fertig und läuft. Hab ich nie anders erlebt. Wenn, dann zickt und kneift es am Anfang, dann justieren, dann gut. Der Mehraufwand für den User? Ich muss mich ins fremde WLAN/Mobilnetz einwählen (muss ich eh), dann klick ich auf die VPNClient APP, dann auf verbinden, dann KANN ich ggf. noch nach nem Passwort gefragt werden (geht auch mit Pubkey), fertig. Also nicht mehr Aufwand, als wenn ich ein Gerät einschalte und mich einlogge...wenn das zuviel ist, dann ist es eben auch okay, mit Abzügen bei deiner Netzwerksicherheit, dann musst du eben mehr oder weniger viele Löcher in deine kleine NAT-basierte "Firewall" bohren. Alle Firmen, die ich kenne, machen sowas aber mit VPN. Und alle Mitarbeiter schaffen das, jeden Tag wieder, ohne erschöpft zusammen zu brechen...

3. Klar ist es noch toller, wenn du die Knete hast: kauf dir ein 2. NAS und mach dir ne DMZ. Nimmst dazu noch einen neuen Router (Draytek, Mikrotik, APU mit pf/opensense etc). Der regelt dann sowohl das Routing, wie die Fritz, dann aber noch VPN, VLAN, Firewallfunktionen (und vieles mehr, was aber hier nicht rein passt). Ein Netzsegment ist dann als DMZ deklariert, das /die anderen als Heimnetz. Mit den Firewallregeln steuerst du dann den Verkehr zwischen den Netzen...und nach außen. VON draußen machste alles zu, außer den/die VPN Ports, über die man dann NUR auf die DMZ NAS kommt. Aber nötig ist das im Privatbereich nicht wirklich. Wenn du jetzt aber natürlich die gesamte Vereinsgesellschaft von Werder Bremen auf dein eigenes NAS zu Hause loslassen willst, dann würd ich auch eher so ein Szenario wählen...

 

[Synchrotron]

Ein Gerät in der DMZ muss ebenfalls gesichert werden. Dafür reicht ein Router (der über Portweiterleitungen vieles abblockt) und die Bord-Firewall der DS, scharf eingestellt, plus aktuell gehaltene Pakete (nur installieren, was benötigt wird). Mehr geht immer, aber das reicht bei guter Konfiguration aus.

Einen VPN-Zugang würde ich immer einrichten, und wenn er nur als Admin-Zugang für eine Fernwartung genutzt wird.

Zum Mailserver: Zu POP3-Zeiten konnte ich das noch nachvollziehen. Seit IMAP nicht mehr so wirklich. Im privaten Bereich ist mir der Nutzen nicht klar, der den Aufwand für einen aktiv betriebenen MS rechtfertigt. Meine Strategie: Gelegentlich archivieren, um den Host-Server zu entlasten, und gut ist.

 

[Tommes]

In diesem Zusammenhang werfe ich mal einen Link *hier, fang* in den Raum, wo das Thema Router Kaskaden behandelt wird. Mehr geht natürlich immer...

 

[Synchrotron]

Danke für den Artikel. Mit einem Switch, der VLAN beherrscht, kann das interne Netzwerk leichter untergliedert werden. Dann reicht ein Router, um die DMZ vom internen Netz zu trennen.

 

[the other]

Moinsen,
OT
@Tommes:


Ontopic:
Ich finde die Idee der Router kaskade weiterhin spannend. Viele haben ja doch noch ein älteres Router Modell so rumstehen. Hab darüber auch den Einstieg gefunden. Und heute hab ich immer noch ne fritzbox statt reinem Modem und dahinter dann die pfSense, doppelt nat, aber bei meinen bescheidenen Ansprüchen Merk ich nix negatives. Außerdem regelt die Fritz das ganze Telefon Gelöt.

 

[Tommes]

Mit einem Switch, der VLAN beherrscht, kann das interne Netzwerk leichter untergliedert werden. Dann reicht ein Router, um die DMZ vom internen Netz zu trennen.

Hm... also wenn ich richtig aufgepasst habe, dann muss es sich bei deinem Vorschlag aber um einen Layer 3 Switch handeln, also einer der selbständig das Routing übernimmt. Ansonsten müsste diese Aufgabe der vorgeschaltete Router beherrschen (also VLAN fähig sein) und das ist bei den meisten Consumer Produkten ala Fritzbox eher nicht der Fall.

Nach allem was ich so gelesen habe ist der Aufbau einer DMZ mittels Router Kaskaden zwar die günstigere, oftmals aber auch die schlechtere Möglichkeit. Alternativ übernimmt diese Aufgabe ein 3 Port Router, der neben dem WAN Eingang ein separates Netz für das LAN sowie ein weiteres Netz für die DMZ aufbaut, trennt und verwaltet.

Hier auch mal ein weiterer Link der das Thema (rudimentär) beschreibt... *klick*

Aber egal, wie man es letzen Endes auch umsetzt, es ist sowohl mit Layer 3 Switch als auch mit einem Router ein erheblicher Mehraufwand, als es mit einer „einfachen„ Router Kaskade umzusetzen. Ich kann da mitreden... und @the other kann das bestätigen... da ich mich in letzter Zeit viel damit auseinandersetzt habe.

 

[Synchrotron]

Hatten wir oben schon mal geklärt: „Ich habe einen Unifi Switch USW-24-POE“

24er sind normalerweise VLAN-fähig. Trotzdem würde ich auch zu einer Kaskadierung neigen. Dahinter macht ein VLAN vermutlich Sinn, und sei es nur um den IoT-Kram mit seinen bekannten Themen (wie geht Firmware-Update ?) vom Rest zu isolieren.

 

[Tommes]

Trotzdem würde ich auch zu einer Kaskadierung neigen.

Aus reiner Neugier - welche Gründe würdest du für diesen Weg anführen? Ich frage deshalb, weil ich persönlich auch der Meinung bin, das eine DMZ in einer Router Kaskade besser aufgehoben ist als hinter einem z.B. 3 Port Router in einem separaten Segment. Ich verwende hier solch einen 3 Port Router mit pfSense drauf und müsste ja auch Ports durch die pfSense zur DMZ weiterleiten.

Nichts desto trotz höre bzw. lese ich oft, das letzterer Weg der Bessere wäre. Auch hier im Forum wird zum Teil diese Meinung vertreten... darum frag ich

 

[Synchrotron]

Aus Gründen der anderen Dienste (Telefon, Faxbox etc.), die darauf laufen, setze ich am Kabelanschluss eine 6591 ein. Die würde ich auch für die DMZ nutzen, dann eine Router/Firewall/VPN-Server Lösung (das wäre bis zu dem Backdoor-Fail vermutlich eine Zyxel geworden, jetzt mal sehen), dahinter der Rest vom Netz.