Sicherheit im Internet

[AnnaM]

Hallo Zusammen,

ich habe die DS212 bereits seit fast einem halben Jahr. Soweit läuft alles, ich sichere brav Daten im LAN von 3 Clients und alles läuft supi
Nun wollte ich doch ein wenig mehr vom NAS nutzen, als nur Daten zu sichern. Ich habe nun die Idee gehabt, die Audio-Station zu nutzen, damit ich unterwegs auf meine Musik über die DS-Audio App zugreifen und hören kann. Da mein NAS noch nie im Internet war und Daten darauf liegen, wollte ich einmal nachfragen, wie es zum Thema Sicherheit steht? Ich habe mich zwar ein wenig durchgelesen, aber es sollte ja keiner auf meine Backups zugreifen.

Also hier mein Plan:
- eigener Benutzer für die Audio-Station
- IP-Blockierung auf 2-fehlerhafte-Einloogversuche einschalten
- unter Systemsteuerung/Applikationsportal einen frei wählbaren Port und ein Aliasnamen für die AudioStation wählen -> verschlüsselter Port 8801 (https)
--> normal wäre ja hier Port 5001. Aber damit kann man ja auch von Außen auf das Anmeldeportal des NASs zugreifen...
- diesen Port dann im Router weiterleiten???

Den letzten Punkt weiß ich noch nicht, wie ich es umsetzen muss :-/
Was sagt ihr? Erfahrungen? Oder Tipps zum Thema Sicherheit?

Vielen vielen Dank,
Anna

 

[fpo4711]

Hallo Anna,

deine Überlegungen sind schon völlig richtig. Wenn Du mit Anmeldeportal die Anmeldung an der DS mit Benutzername und Passwort meinst dann ist doch klar das diese in jedem Fall angezeigt werden muß. An irgendeiner Stelle muß sich ja der Benutzer authentifizieren. Wenn Du, wie schon von Dir beschrieben, im Applikationsportal einen eigenen Port angibst, dann kannst Du dich auch von aussen nur direkt an der Audiostation anmelden. Erkennt man dann an dem kleinen Piktogramm ganz unten in der Anmeldemaske. Hier landest Du dann auch direkt in der Audiostation und nicht auf der Verwaltungsoberfläche.

Und den letzten Punkt den Du einrichten mußt ist die Portweiterleitung an deinem Router. Hier einfach den (und zwar nur diesen einen) Port 8801 an die DS auch den Port 8801 weiterleiten. Und das war's. Wo genau man das einstellen muß können wir Dir erst mitteilen, wenn Du uns deinen Router verrätst.

Zusätzlich könntest Du noch die Firewall der DS aktivieren und dann auf alle anderen Dienste den Zugriff nur von den angeschlossenen Geräte zulassen. Ist aber bei einer solch restiktiven Öffnung nach aussen meiner Meinung nach nicht unbedingt nötig. Wichtig wäre nur das der Benutzer einen Benutzernamen hat der nicht unbedingt "admin" oder "root" sein sollte und ein entsprechend langes und komplexes Passwort (Das ist eigentlich immer ein hervorragender Schutz).

Gruß Frank

 

[laserdesign]

Hallo,

überlegendswert wären noch openvpn oder/und sshfs+fuse.

 

[AnnaM]

Hallo, danke für die guten Antworten. Meint ihr, es ist dann relativ Sicher, wenn ich mit den Port 8801 rein gehe? Funktioniert auch das Aufwecken meiner Station? Oder muss hier wieder was frei gegeben werden? Wie sieht es mit VPN aus? Ist das besser?

 

[fpo4711]

Hallo,
zu dem Vorschlag warum VPN sollte Fred was sagen. Ich sehe nur bei der Audioanwendung keinen Vorteil denn deine Verbindung würde ja schon verschlüsselt laufen. VPN würde erst was bringen wenn Du 1.) mehrere Dienste extern verfügbar haben wolltest oder aber 2.) die zusätzliche Sicherheit eines Zertifikats haben willst. Für Audio wäre das meiner Meinung nach völlig übertrieben. Auf jeden Fall ist hier die Konfiguration erheblich aufwendiger als nur eine Portweiterleitung.

Aufwecken ist so eine Sache. Das Forum hier ist voll mit Informationnen zu diesem Thema und hier hängt es stark davon ab was Du unter "aufwecken" verstehst.

Gruß Frank

 

[laserdesign]

Hallo,

Wie sieht es mit VPN aus? Ist das besser?

Mit besser oder schlechter kann man das nicht beantworten.

Den Vorteil, den ich bei openvpn sehe, du brauchst nur einen Port am Router forwarden
und der Client muss sich am Server zertifizieren. So wie Frank es schon beschrieben hat.
Am entfernten Standort verhält sich dein NAS so als wäre es im lokalem Netzwerk.

Ich selber verbinde mich mit dem Musikordner auf meinem NAS, per sshfs.
Dabei wird der Ordner einfach auf dem Desktop gemountet und ich kann mit einem Client die Musik abspielen.
Diese Lösung finde ich speziell für meine Audio/Video Dateien am einfachsten zu installieren.

Den Webfrontend Audiostation benutze ich nicht, ist mir einfach zu träge.

 

[AnnaM]

Also mit "aufwecken" meine ich, dass mein NAS ja dieses "wakeonlan" kann. Also ich habe es eigentlich aus, aber ich kann es momentan über mein Handy und der App anmachen. Sowas von außen.

 

[Puppetmaster]

Du kannst die DS mit deinem Handy starten? Und das obwohl WOL ausgeschaltet ist?

 

[AnnaM]

Ne, das NAS ist aus. So meinte ich das.

 

[AnnaM]

Hallo Zusammen,

also es funktioniert überhaupt nicht :-(
Habe nun unter Systemsteuerung/Applikationsportal einen frei wählbaren Port (https) und ein Aliasnamen für die AudioStation vergeben.
Port ist "8801" und Alias "audio".

Weder mit
https://nas:8801/audio
noch
https://nas:8801
bekomme ich eine Verbindung im LAN.

Ich weiß nicht mehr weiter.

 

[Puppetmaster]

Hast du es mal mit http statt https versucht?

 

[AnnaM]

Ja klar :-( Steht doch da ....

 

[AnnaM]

Muss ich noch etwas in der Firewall vom NAS einstellen?
Aber da ist auch der Port "8801" freigegeben. Steht sogar AudioStation dran :-(

Was mache ich falsch?

 

[laserdesign]

Hallo,
an der Firewall würde ich erst einmal nicht schrauben.
Wenn du https benutzen willst, musst du es in deinem NAS aktivieren.

PS: Wo steht das du es mit http probiert hast, finde ich jetzt nicht in deinen Beiträgen??

 

[AnnaM]

Oh! Das habe ich wohl gelöscht :-D Tut mir leid. Aber es funktioniert nun. Ich habe https aktiviert. Aber komischerwise hatte ich es ja vorhin auch aktiviert gehabt, da sonst auch das NAS meckert, wenn man versucht den Haken bei "benutzerdefinierten Port..." setzen will. Nun aktiviert, deaktiviert, aktiviert. Nun gehts ohne Probleme. Sehr komisch. Aber danke nochmals. Ich denke, so ist der Zugang einigermaßen sicher, oder? Nur ein Benutzer mit starken Kennwort hat Zugriff auf die Audiostation. Und freigegeben in der FritzBox ist auch nur dieser Port 8801. Was meint ihr?

 

[Puppetmaster]

Weder mit
https://nas:8801/audio
noch
https://nas:8801
bekomme ich eine Verbindung im LAN.

Wo sehe ich denn da http??

EDIT: Ok, hat sich wohl erledigt.

 

[laserdesign]

jepp, so ist es okay. Viel Spass damit.

 

[AnnaM]

Klasse. Ich danke euch vielmals.

 

[AnnaM]

Hallo nochmal. Also meine Audio-Dation läuft nun ohne Probleme Echt klasse. Aber was mich stört: Ich habe nur eine 300MB-Flatrate für mein Handy. Das Audio-Streamen nimmt hier schon ein Großteil ein. Ist es möglich die Qualität herunter zu stellen, um so Daten zu verringern? Ich habe schon einen Beitrag im Forum gefunden: http://www.synology-forum.de/showthread.html?27860-Datenraten-f%FCr-Internetstreaming-reduzieren
Aber hier gab es keine Lösung. Muss ich nun alle Lieder per Hand noch einmal transformieren? Wie würdet ihr es transformieren, um noch einigermaßen Quailät zu haben? Ich kenne mich da nicht aus.

Vielen lieben Dank aber im Voraus,
Anna


P.S.: Also ich habe ein bisschen an einer MP3-Datei gespielt, welche 6,78 MB hat. Nun hat sie 2,76 MB. Mit folgen Einstellungen:
Abtastrate: 2400
Bitrate: 96

Ich habe nämlich leider keine Ahnung davon. Aber so ist es relativ klein und von der Qualität geht es noch. Was sagt ihr dazu? Kennt sich hier jmd besser aus?
Ich benutze das Programm "XMedia Recode".

 

[Suppenesser]

Hi,

Mit 96kbit hört es sich sicherlich recht blechern an.
So empfinde ich es zumindest! Wenn du damit zufrieden bist, dann passt es aber doch, oder?
Ich habe wenigstens 196kbit und max 320kbit als variable genommen, so habe ich das beste Verhältnis zwischen klang und Dateigröße.

Das ist aber jedem Seins!