Sicherheit: VPN oder Portweiterleitung?

[freeson]

Deine/Eure Expertenmeinung gefragt:

Hintergrund:
-Kleines Unternehmen (5 Mitarbeiter). Jeder Mitarbeiter (5) nutzt jeweils Android und Windows 8/10 Clients.
-Büro mit FritzBox 7270 Router. Dahinter die Synology NAS, DSM 6.x.
-Genutzte Dienste: CalDAV/CardDAV Dienst und Cloudstation für die Mitarbeiter. Bisher über gesichertes httpS mit eigenem Zertifikat und Portweiterleitungen der Fritzbox auf die SynoNas

Deine/Eure Meinung:
Welche der folgenden Optionen würdet Ihr empfehlen:
1. Synchronisation aller Endgeräte über gesichertes httpS mit eigenem Zertifikat und Portweiterleitungen der Fritzbox auf die SynoNas.

ODER alternativ:

2. Keine Portweiterleitungen (d.h. das Büro Netz nach aussen abschotten), dafür aber gesicherte VPN Verbindung der Clients ins FritzBox-Netzwerk (FritzVPN), in dem der Synology Server steht. Dort auch Synchronisation aller Endgeräte übergesichertes httpS mit eigenem Zertifikat mit SynoNas über interne IPs im VPN Netz.

Unsere Gedanken zu Vor/Nachteilen:

A) VPN: Wohl sehr sicher, aber:
Möglicher Nachteil: Gesamtes Büro Netzwerk wird für alle Clienten von aussen komplett geöffnet.

B) Ist VPN aber sonst wohl „sicherer“, als die Synology Dienste nach außen via Portweiterleitungen zu öffnen? Oder sind die Portweiterleitungen an die CalDAV/CardDAV und Cloudstation Dienste der Synology Box „genauso sicher“ (vorausgesetzt natürlich sichere Passwörter, und korrekte Einrichtung der NAS).

C) Was wenn ein Mitarbeiter mit VPN Zugang ein Endgerät verliert/es geklaut wird? Dann ist eine Fremdperson im Nu im Büronetzwerk, bis die VPN Verbindung blockiert wird…

C) Und zur Anwenderfreundlichkeit: Portweiterleitung macht die Einrichtung der Endgeräte ja sehr leicht.
VPN hört sich schwieriger an: Kann auf Android Endgeräten die VPN Verbindung zur FritzBox automatisch beim Start erfolgen, damit der Mitarbeiter sich nicht um die Kalender/Addressbuchsynchronisation aktiv kümmern muss?

 

[jugi]

Was wäre mit einer Routerkaskade mit einem "öffentlichen" und einem "privaten" Netz?

- Router1 (Fritzbox) hängt am Internet und leitet die Ports für die gewünschten Services an eine "öffentliche" DS weiter.
- Diese "öffentliche" DS beherbergt nur die Daten und Services, die auch aus dem Netz erreichbar sein sollen/dürfen
- Router2 hängt ebenfalls an der Fritzbox und schirmt das interne Netz ab
- Eine zweite "private" DS steht im internen Netz und ist auch wirklich nur von intern zu erreichen.
- sämtliche weiteren Lokalen Clients hängen ebenfalls an Router2 (Kunden können ggf. an Router1, wenn sie nicht ins Internet Netz sollen)

Je nach Struktur eurer Daten kann das ganz praktikabel sein und man kann ggf. sogar einen OpenVPN-Server im internen Netz laufen lassen (auf den dann aber bitte nur der Admin darf)

--------

Generell sind deine Gedanken schon richtig, einerseits ist VPN erstmal sicherer, andereseits auch teilweise sehr unkomfortabel.
Was und wie viel ihr letztendlich "öffnet" müsst ihr aber schon selber entscheiden, da es von euren Daten abhängt

 

[PsychoHH]

Wenn du VPN nutzt, musst du ja kein https nutzen. Ist ja veschlüsselt.

Wenn es geklaut wird ist es ja eigentlich egal ob Port oder VPN das Netzwerk ist dann ja verfügbar, wenn man das Gerät nicht abgesichert hat.

Bei Android kann man glaub ich VPN vom Start an erfolgen. Als Default aber nur mit Pin, was ich eh bevorzugen würden.
Sonst gibt es noch eine gute App VPNCilla.

Du kannst ja trotz VPN einfach die Benutzereinstellungen vorgeben, wer welche Anwendungen nutzen darf.

Und so schwer ist das auch nicht einzurichten.

Wenn es mal geklaut wird einfach das eine VPN Profil löschen und zusätzlich den DSM Benutzer ändern.

 

[frankyst72]

Die erste Frage wäre von außen VPN zur FritzBox, oder von außen VPN zur DS. Ich persönlich würde VPN zur FritzBox machen, das kann ich aber nicht anständig begründen, ggf. einfach deshalb, weil ich das schon mal eingerichtet habe und zur DS noch nicht,

 

[freeson]

Was wäre mit einer Routerkaskade mit einem "öffentlichen" und einem "privaten" Netz?

Gute idee. ABer etwas zu umständlich für den Admin...(das bin ich)

Generell sind deine Gedanken schon richtig, einerseits ist VPN erstmal sicherer, andereseits auch teilweise sehr unkomfortabel.
Was und wie viel ihr letztendlich "öffnet" müsst ihr aber schon selber entscheiden, da es von euren Daten abhängt

DIe Frage die ich mir stelle: Wie unsicher ist es, diese 3 Ports für Cal/CardDAV und Cloudstation zu öffnen? Ist ein "Angriff" auf diese Ports und die DS so viel leichter? Wie "einfach" ist ein solcher Angriff auf diese Ports in der PRaxis?
rächte da wirklich mal Fakten.

 

[freeson]

Wenn du VPN nutzt, musst du ja kein https nutzen. Ist ja veschlüsselt. [...]

Das stimmt ja alles.

Die Frage in kurz: Was ist nun "besser" in meinem konkreten Fall? Portweiterleitungen oder VPM?

 

[jugi]

Das hängt davon ab, wie paranoid du bist und um was für daten es geht…

Die ganzen synology pakete sind "relativ" sicher, aber wenn da jemand ein passwort rausbekommt sind halt alle Daten, auf die dieser user zugriff hatte, potentiell weg. Wenn das "nur" caldav und CS ist, ist das ärgerlich, wenn das ein vpn zugang ist, ists ggf richtig doof… dafür sind andererseits die daten der CS potentiell einfacher rauszutragen (bei bug in der software o.ä. lassen sich "mal eben" die daten von sämtlichen Synologys weltweit raustragen...)

Also wichtiger, als die frage ports oder vpn, ist eigentlich ein gutes rechtemanangement und mehr als eine hürde (kaskaden sind nun wirklich nicht viel aufwand…)

 

[BigRonin]

Wenn die Zugangsdaten oder das entsprechende Gerät abhanden kommen ist es ziemlich egal was man an Vorkehrungen getroffen hat, der Finder / Dieb kommt solange der Zugang nicht gesperrt ist an "alle" freigegebenen Daten ran. Vorrausgesetzt der Finder / Dieb kann das gefundene / gestohlene Gerät entsperren. Insofern würde ich die Portweiterleitung zu den entsprechenden Diensten machen. So sind tatsächlich "nur" die freigegebenen Daten zugängig und nicht versehentlich die ganze Infrastruktur.

Das die Clients Zugangsperren / Zugangsbeschränkungen haben versteht sich von selbst.

Gruß, BigRonin