Sicherheit - VPN vs Portforwarding mit Reverse Proxy

[swissmaster]

Guten Abend zusammen,
Vor längerer Zeit habe ich einige Port meiner DS nach aussen hin geöffnet und benutzte auch den Reverse Proxy der DS. Es funktionierte grundsätzlich alles tadellos. Nur stellte ich bei verschiedenen Diensten auf der DS täglich unzählige Login versuche fest und habe dann auch vermehrt von Synology-Nutzern gelesen, welche auf unbekannte Art und Weise Opfer von Ransomware wurden. In der DS Firewall hatte ich da bereits Geoblocking Einstellungen vorgenommen, was sicher auch etwas geholfen hat. Ich stellte dann mal alles um, so dass nur noch der OpenVPN Port von aussen zugänglich ist und griff fortan nur noch so auf die DS zu. Alle anderen Ports habe ich geschlossen. Das funktioniert grundsätzlich absolut problemlos und stelle seither auch keine loginversuche fest. So weit so gut. Mittlerweile finde ich es ein wenig lästig, jedes Mal, wenn ich auf die DS zugreifen, meine Mails abfragen, den Kalender synchronisieren usw. zuerst mit OpenVPN eine Verbindung herzustellen und dann jeweils wieder zu schliessen. Eine Dauerverbindung von meinem Handy aus, saugt meinen Akku sauschnell leer. Kommt dazu, dass ich aufgrund der Tatsache, dass ich nun alle Ports wieder geschlossen habe, z.Bsp. vom PC im Geschäft nicht mehr auf meine DS zugreifen kann, da ich dort keine VPN Verbindung herstellen kann. Auch kann ich so keine Dateifreigaben an Kollegen mehr machen, ausser ich öffne wieder einen Port. Dann habe ich jedoch wieder diese Loginversuche etc.
Wie macht ihr das? Mich interessiert vor allem der Sicherheitsaspekt, nicht die konkreten Einstellungen.
Bestimmt nutzen einige den Reverse Proxy der DS und öffnen so nach aussen nur den Port 80 bzw 443?! Aber wozu den dann noch eine VPN Verbindung?

 

[alexhell]

Hallo,
ich bin jetzt kein Sicherheitsexperte, aber ich habe aktuell nur Port 80, 443 und 1194 offen. Zusätzlich 2FA für einen Adminuser aktiv. Ich greife auf alle Dienste per Reverse Proxy zu. Ich hab eine eigene Domain und eine bestimmte Subdomain zeigt auf meine NAS. Mein Aufbau ist dann immer folgender: dienst.meinesubdomain.meinedomain.de.
Ich habe bis jetzt noch keine Loginversuche oder ähnliches mitbekommen. VPN hatte ich sonst immer auf der Fritzbox laufen, aber das ging von heute auf morgen nicht auf meinem Android. Und inzwischen finde ich OpenVPN auch besser als das von der Fritzbox. VPN nutze ich, weil ich bestimmte Dienste doch nur intern nutze und auch nicht will, dass man von außen erreicht.

 

[NSFH]

Sicherheitstechnisch gibt es keine Alternative zum VPN!
Infektionen durch Ransomware entstehen entweder durch Befall von Innen oder durch IoT Programme, welche nicht abgesichert waren, aber nicht durch Hacken der Synozugänge. Auch die IoT Infektionen ermöglichten erst einen Zugang zum NAS und dann wurde verschlüsselt.
Absoluter Schwachpunkt sind alle unverschlüsselten Zugänge zum eigenen LAN.
Hacker suchen auch keine Domainnamen, eine Subdomain ist kein Schutz. Scans im Internet erfolgen immer auf IP Basis. daher ist am wichtigsten der Router. Hier kann man schon eine Menge herausfiltern, wenn es ein gutes Gerät ist. Ich stufe aber alle SoHo Router nicht unter "gut" sondern nur als "brauchbar" ein.

 

[Puppetmaster]

Eine Dauerverbindung von meinem Handy aus, saugt meinen Akku sauschnell leer

Dem kann man durch geeignete Maßnahmen entgegenwirken. Z.B. indem man den VPN Service auf dem Handy stilllegt, wenn das Display aus ist. Dann kommen allerdings auch keine Nachrichten rein (whatsapp, Mail, ...).
Oder mal wireguard versuchen, das macht obiges schon automatisch, zumindest bei meinem Androiden.

 

[swissmaster]

Dem kann man durch geeignete Maßnahmen entgegenwirken. Z.B. indem man den VPN Service auf dem Handy stilllegt, wenn das Display aus ist. Dann kommen allerdings auch keine Nachrichten rein (whatsapp, Mail, ...).
Oder mal wireguard versuchen, das macht obiges schon automatisch, zumindest bei meinem Androiden.

Das heisst du greifst auch auf alle Dienste deiner DS nur per VPN zu? Siehst du Sicherheitsbedenken ohne VPN? Ich glaube das mit dem VPN aus, wenn das Display aus ist, geht mit dem Iphone nicht. Wie hast du Wireguatd auf der DS installiert? Mit Docker?

wie greifst du von Computer bei deiner Arbeit auf die DS zu, wenn du keine VPN Verbindung herstellen kannst?

Wie nutzt du in der Filestation beispielsweise die Dateifreigabe für „Kollegen“ wenn du nur mit VPN auf die DS zugreifst?

 

[Puppetmaster]

Das heisst du greifst auch auf alle Dienste deiner DS nur per VPN zu? Siehst du Sicherheitsbedenken ohne VPN?

Ja, auf DS fast nur per VPN. Lediglich PhotoStation ist per https erreichbar (Port 443).

Ich glaube das mit dem VPN aus, wenn das Display aus ist, geht mit dem Iphone nicht. Wie hast du Wireguatd auf der DS installiert? Mit Docker?

Läuft separat auf einem RaspPi.

wie greifst du von Computer bei deiner Arbeit auf die DS zu, wenn du keine VPN Verbindung herstellen kannst?

Von der Arbeit? Gar nicht. Da würde mir mein Arbeitgeber auch schon auf's Dach steigen. Aber dazu habe ich ja ein smartes Phone, damit kann ich jederzeit mit privatem Client auf mein privates Netz zugreifen.

 

[swissmaster]

Ja, auf DS fast nur per VPN. Lediglich PhotoStation ist per https erreichbar (Port 443).

Läuft separat auf einem RaspPi.

Von der Arbeit? Gar nicht. Da würde mir mein Arbeitgeber auch schon auf's Dach stiegen. Aber dazu habe ich ja ein smartes Phone, damit kann ich jederzeit mit privatem Client auf mein privates Netz zugreifen.

Alles klar. Was ist der Grund, dass du auf die Photostation ohne VPN zugreifst?

 

[Puppetmaster]

Weil da auch Omas und Opas etc. drauf zugreifen.

 

[schmadde]

Sicherheitstechnisch gibt es keine Alternative zum VPN!

Auch ein VPN kann angegriffen werden. Die Angriffsfläche ist erheblich kleiner, aber dafür ist es in vielen Situationen auch nicht möglich es zu nutzen. Ich fahre auch Reverse-Proxies - wenn man es etwas sicherer haben will, erlaubt man nur Zugriff via TLS und Client-Zertifikat, dann beschränkt sich das Problem auf Bugs im TLS Stack, wo mir in den letzten Jahrzehnten keine relevanten in Erinnerung waren.

Ransomware kommt praktisch immer über einen infizierten Client-Computer, meist per Email und nicht über einen Remote-Exploit.

Bei ständig aktuellem Patchstand halte ich das Risiko bei der Nutzung von Reverse Proxies für äußerst gering, falls man VPN nutzen kann, ist das natürlich besser, aber ich könnte es nicht.

 

[swissmaster]

Danke für deine Antwort. Was meinst du mit „erlaubt man nur Zugriff via TLS und Client-Zertifikat“? Ein normales SSL Zertifikat, das der Synology hinterlegt ist?

 

[fox89]

@schmadde würde mich auch interessieren.

 

[NSFH]

Ein LE Zertifikat hat den Luxus, dass es automatisch von allen Browsern als zuverlässig akzeptiert wird.
Es spricht aber nichts dagegen selbst erstellte Zertifikate (auch die aus der Syno) zu nutzen. Sicherheitstechnisch liegen beide auf gleichem Level, wenn identische Schlüssellängen und Verfahren für das eigene Zertifikat genutzt werden.
Dieses Zertifikat muss man aber dann selbst mit alle seinen anzuschliessenden Geräten "bekannt" machen.