Sicherheit: Separates oder Internes VPN?

[themk]

Hallo zusammen,

ich habe kein Problem, sondern will mich einfach nur einmal bei euch Kundigen informieren, da mir der Gedanke schon länger im Kopf schwirrt. Stellen wir uns folgende Situation vor:

• Zugriff von außen auf die DS soll über VPN erfolgen
• VPN Server auf DS funktionstüchtig
• VPN über externes Gerät (z.B.: Raspberry) funktionstüchtig

Wie schaffe ich den sichersten Zugriff/Gibt es Unterschiede in der Sicherheit, wenn ich...

1. über den DS VPN Server gehe
2. den VPN des externen Gerätes nutze, aber DS VPN funktionsfähig lasse
3. den VPN des externen Gerätes nutze, aber alle Verbindungen der DS nach außen kappe

Mein stupider Gedanke ist dabei schlichtweg die Möglichkeit eines externen Zugriffs von Dritten auf den Server so gut es geht zu unterbinden (indem ich eine (virtuelle) Anwesenheit in meinem Heimnetzwerk voraussetze). Für mich führt daher von diesem Prinzip her gedacht, ein VPN Server auf der DS das Konzept ad absurdum, da ich doch den Server von außen erreichen muss, um den VPN überhaupt nutzen zu können?

Zusätzlich würde mich noch interessieren, ob es generell Bedenken an einem solchen Konstrukt gibt (abgesehen von schlechterer Performance)?

Viele Grüße
themk

 

[godlaya]

Hi themk,

ehrlich gesagt verstehe ich nicht was Du genau meinst?! Du willst einen VPN Server aufstellen und verhindern das Dritte unberechtigt Zugriff haben? Soll das heißen dass das nur Du von extern Zugriff auf die DS hast, oder willst Du den Zugriff per VPN für Dritte explizit z.B. zeitlich regeln.

Generell musst Du wenn Du einen VPN Server von außen erreichen willst, diesen nach außen sichtbar machen ... sprich ... entweder per fester-IP oder per DynDNS Adresse. Ohne eine der beiden Wege läuft nix von Außen nach innen.

mehr kann ich Dir ohne weitere Infos dazu nicht sagen.

PS: am Besten beschreibst Du kurz was Du vor hast.

vg, Kai

 

[Ameisentaetowierer]

Ich mache VPN über meine Fritzbox.

Vorteile:
- wenn jemand die FB hackt, muss er immer noch meine DS hacken, um an die Daten zu kommen
- die DS hat WOL und schaltet sich nach 2 Stunden Idle automatisch ab

Nachteile:
- noch keine gefunden

 

[themk]

Genau wie Ameisentaetowierer es beschreibt geht es mir hierbei darum eine Art Zwischenstufe für Dritte einzubauen, um überhaupt die Möglichkeit zu haben die DS anzusprechen. Wenn die DS selber ein VPN Server ist, muss sie ja wie bereits beschrieben von außen erreichbar sein. Für mich ist nur die Frage, ob das Ganze paranoid gedacht ist, oder ob man hierbei von einem echten Mehrwert an Sicherheit ausgehen kann, wie es Ameisentaetowierer z.B. auch mittels WOL betreibt? Ich hoffe das ist verständlicher

 

[heavy]

Jeder VPN server muss nach außen erreichbar sein, egal ob es die DS oder deine FB ist. Die Frage wo ist der VPN server besser integriert. Bei der FB ist mir z.B. nicht klar was genau als Protokoll verwendet wird bei der DS kannst du wählen. Klar eine ausgeschaltete DS kann man nicht häcken, hast du wol aktiv spielt das aber auch schon wieder keine Rolle. Und ganz ehrlich wenn sich jemand die Mühe macht dich zu häcken und egal welches VPN Protokoll du verwendest ist das mit Aufwand verbunden dem ist es egal wo er landet so lange die DS in den Logs der FB auftaucht, wird er danach suchen und wenn du dann auch noch Admin/leer als Passwort verwendest nützt es gar nichts mehr, wenn er in der FB als erstes landet. Ich habe den VPN in der DS und nach dem einfügen einer kleinen php Datei sind auch die "angriffe" auf meine Webseite verschwunden.

 

[whitbread]

Beste Lösung für Dienste, die nur Dir oder wenigen zur Verfügung stehen sollen ist Port-Knocking.
Und VPN gehört für mich auf den Router nicht auf die NAS!

 

[themk]

Vielen Dank, das ist doch ein schöner Schlusssatz