Sicherheitsbetrachtung bei Hyper Backup via Internet zwischen zwei Syno NAS

[JLieber]

Hallo zusammen,

ich habe zwei NAS, welche sich gegenseitig per Hyper Backup übers Internet sichern sollen.
Testweise hab ich das ganze auch schon mal mit einzelnen Testordnern/datein zum Laufen bekommen:
- Port 6281 im Router freigegeben
- DDNS synology.me eingerichtet
- Hyper Backup: * Haken gesetzt bei "Clientseitige Verschlüsselung aktivieren"
* Übertragungsverschlüsselung EIN

Mir ist klar, dass mein NAS nun über das Internet erreichbar ist. Nur kann ich nicht beurteilen, ob die oben genannten Schritte für eine vernünftige Sicherheit bzgl. unbefugte Zugriffe/Datenklau usw. bereits genügen. Oder ob noch weitere Maßnahmen sinnvoll wären. Z.b. eine VPN Verbindung.

Danke und beste Grüße
Jürgen

 

[the other]

Moinsen,
zermartere dir nicht lange das Hirn: sicherer ist der VPN Zugang, denn
1. sind die Daten bei der Übertragung zusätzlich verschlüsselt
2. sparst du dir eine weiter (?) Portfreigabe und -weiterleitung

 

[nas-central.de]

HypverBackup Vault startet den img_backupd Dienst auf Port 6281. Was der genau macht weiß wohl nur der Hersteller. Deswegen kann man gar nicht beurteilen, wie sicher das ist. In jedem Fall ist man damit vom Hersteller abhängig. Wir raten davon ab, solche Dienste vom Internet aus frei zugänglich zu machen.

Ein VPN ist die wesentlich bessere Lösung, entweder direkt zwischen den beiden Routern oder einfacher noch als OpenVPN zwischen den beiden NAS. Die OpenVPN Lösung empfiehlt sich auch, wenn deine Router mit dem VPN Datendurchsatz überfordert sind.

 

[the other]

Moinsen,
jep. Und das NAS als VPN Server sollte nur die allerletzte Möglichkeit sein, eher nur als Übergang, bis ggf. ein potenterer Router am Start ist. Denn den Fileserver als VPN Server zu mißbrauchen sollte eigentlich vermieden werden...

 

[nas-central.de]

Das VPN würde in dem Fall ausschließlich für das Backup aufgespannt. Von allen Ports, die man am NAS aufmachen kann, ist der OpenVPN Port noch einer der unkritischsten. Ein weiterer Vorteil ist, dass OpenVPN über den normalen SSL Port läuft, was so gut wie immer funktioniert, auch wenn andere VPNs nicht möglich sind.

Aber grundsätzlich hast du natürlich Recht, dass jeder offene Port, der sich am NAS vermeiden lässt auch vermieden werden soll. Ein VPN zwischen den Routern oder zumindest vom NAS auf den Ziel-Router ist die eleganteste Lösung.

 

[the other]

Moinsen,
auch da

Ein weiterer Vorteil ist, dass OpenVPN über den normalen SSL Port läuft, was so gut wie immer funktioniert, auch wenn andere VPNs nicht möglich sind.

bin ich absolut bei dir. Daher ja der Hinweis, sich ggf. mal einen besseren Router anzuschauen, wenn die Erreichbarkeit eine Rolle spielt. Zur Not tut es ja auch ein Raspi...
Und auch da bin ich bei dir: gemessen an so manch einer hier im Forum dargestellten Erreichbarkeitslösung ist der eine openVPN Port sicherlich relativ unbedenklich...aber eben nicht ganz (mal davon abgesehen, dass auch die openVPN Versionen von synology oft ziemlich hinterherhinken).

 

[nas-central.de]

Wem OpenVPN an sich zu unsicher ist, der kann noch ein Geo-Blocking über die Firewall aufsetzen oder sogar auf die Provider-IPs des Quell-NAS filtern. Spätestens dann ist es ein vertretbares Sicherheits-Niveau.

 

[manu_syn]

So schlecht ist dein Setup nicht. Du verschlüsselst die Daten ja schon clientseitig... Und die Übertragung ist ebenfalls verschlüsselt. Eine zusätzliche VPN Verschlüsselung bringt hier für den Datenaustausch meiner Meinung nach keinen wirklichen Mehrwert.

Jetzt wo dein NAS im Netz steht können natürlich noch andere Dinge passieren als dass deine Verbindung abgefangen wird. Eine Sicherheitslücke im hyper Backup wäre doof. Genauso könnte es aber auch ein Sicherheitslücke im VPN Server geben. Nimmt sich also nicht so viel.
Stell sicher dass du alle Dienste die du nicht brauchst auch nicht für den externen Zugang freigibst wie zB DSM Oberfläche etc.

 

[JLieber]

Hallo zusammen,
erstmal vielen Dank für die vielen Antworten.
Eine VPN Verbindung wäre also ggf. zusätzlich einzurichten. Bevorzugt von Router zu Router. In meinem Setup habe ich einen
- Standort1: Telekom Speedport W724V (welche wohl keine VPN aufbauen kann) und eine
- Standort2: Schweizer Sunrise Internet Box (hier gibt es zumindest den Punkt VPN im Router-Menü).
Somit wäre denkbar, via NAS am Standort1 eine VPN Verbindung zum Router an Standort2 herzustellen. Oder eben direkt von NAS zu NAS.
Werde mal ein wenig rumprobieren...

 

[the other]

Moinsen,
rein aus Interesse mal nachgesehen und eher nix gefunden:
https://www.sunrise.ch/content/dam/...buch_Sunrise_Internet_Box_neue_firmware_d.pdf

Falls das dein Modell sein sollte...

Alternativ eben den VPN Server auf einem Raspi 4 einrichten, da gibt es eine gute Community zu...kostet ca 100 Euro.
Dein NAS sollte durchaus die Verbindung zum VPN Server aufbauen können, das ist auch nicht der unsichere Teil. Unsicher ist es, das NAS als VPN Server zu nutzen.

 

[Synchrotron]

Persönlich halte ich die Frage, wie ich einen spezifischen Dienst abgesichert bekomme, für etwas kurz gesprungen.

Eine VPN-Verbindung zweier (Heim-)Netze sorgt für die sichere Verbindung, unabhängig davon, welche Dienste dann darüber laufen sollen. Das ist eine Basislösung, die z.B. ein sicheres Backup ermöglicht, ohne dafür extra noch etwas einzurichten.

Du kannst natürlich deine allein stehende Backupverbindung aufsetzen, das sah für mich ganz ordentlich aus. Nur löst du damit nur den Backupfall, keine weiteren Anwendungsfälle.

Mit einem Raspi 4 an beiden Enden (je ca. 100€) lässt sich eine VPN-Brücke unabhängig vom Router und dem NAS einrichten. Ich würde WireGuard nehmen, das ist deutlich schlanker und performanter als OpenVPN.

 

[XenBo]

Persönlich halte ich die Frage, wie ich einen spezifischen Dienst abgesichert bekomme, für etwas kurz gesprungen.

Wenn man nur den einen Dienst braucht ist das doch ok.

Mit einem Raspi 4 an beiden Enden (je ca. 100€) lässt sich eine VPN-Brücke unabhängig vom Router und dem NAS einrichten. Ich würde WireGuard nehmen, das ist deutlich schlanker und performanter als OpenVPN.

Wo ist der Vorteil, wenn du dir zwei Raspis ins Netz hängst und darüber das VPN aufbaust? Dann kannst du es auch gleich über die beiden NAS machen. Wenn das VPN angreifbar ist dann ist ein Angreifer in beiden Fällen in deinem Netz.

 

[Synchrotron]

Die VPN-Lösung der DS ist eine „Sparversion“ von OpenVPN. Zugleich ist das VPN auf dem Server sicherheitstechnisch die schlechteste Lösung. Wer damit glücklich wird …

Sicherheitstechnisch die beste Lösung ist die Installation am Netzwerkzugang, also eine VPN auf dem Router. So wie ich die hier vorhandenen Router lese fällt das hier weg.

2 neue Router mit einer guten VPN-Lösung sind deutlich teurer als 2 Raspis.

 

[XenBo]

Die VPN-Lösung der DS ist eine „Sparversion“ von OpenVPN

Warum das? Was fehlt dem OpenVPN Server?

 

[Synchrotron]

Hier findest du einige der Dinge, die standardmäßig fehlen und in vielen Fällen über die Oberfläche selbst nicht aktiviert werden können bzw. durch den Benutzer spezifisch einzurichten sind.

https://www.synology-wiki.de/index.php/OpenVPN_härten

Mit dem OpenVPN meines Teltonika-Routers konnte ich keine Verbindung herstellen. Dazu gibt es einen anderen Thread.

 

[XenBo]

Ich sehe da keine wirklichen Einschränkungen. Der Beitrag ist auch schon fünf Jahre alt. Ich hatte nie Probleme mit dem OpenVPN der Synos. Wenn es gar nicht anders geht kann man die Konfigurationsdatei auch manuell anpassen.

Nach wie vor sehe ich den Gewinn von zwei Raspis nicht. Das sind zwei weitere Geräte die gewartet werden müssen und ausfallen können. Der Sicherheitsgewinn ist auch nicht wirklich da, weil sowohl die Raspis als auch das Nas hinter dem Router stehen.

 

[the other]

Moinsen,

Nach wie vor sehe ich den Gewinn von zwei Raspis nicht. Das sind zwei weitere Geräte die gewartet werden müssen und ausfallen können. Der Sicherheitsgewinn ist auch nicht wirklich da, weil sowohl die Raspis als auch das Nas hinter dem Router stehen.

Das stimmt.
Aber: der mögliche Ausfall ist kein Argument, denn das kann auch dem Router / NAS / VPN Server passieren.
Außerdem hinkte in der Vergangenheit synology mit dem VPN Paket der aktuellen Version hinterher. Da sich das Paket auf dem NAS selbst befindet, steigt die Gefahr, dass durch veraltete /fehlerhafte Versionen der VPN Software die Angriffsgefahr steigt. Der Angreifer ist dann ggf. schon auf dem NAS. Mit einer eigenen separaten VPN Server Variante müsste der Angreifer trotzdem noch den Zugang zum NAS erarbeiten.

Und klar: sowas gehöt eigentlich an die Peripherie des Netzwerkes, nicht mitten rein. Und wenn wir schon am Träumen sind: dann wäre auch eine strenge Segmentierung des Netzwerkes mit zugehörigen Routingregeln schick, damit dem VPN Angreifer nicht gleich das ganze Netzwerk offen steht.
jm2c

 

[Synchrotron]

Persönlich nutze ich WireGuard als schlankeres, performanteres Protokoll auf Raspis.

Daher habe ich den VPN-Client der DS seit meinen Gehversuchen ruhen lassen.

 

[XenBo]

Aber: der mögliche Ausfall ist kein Argument, denn das kann auch dem Router / NAS / VPN Server passieren

Mit der Lösung hast du zwei Geräte, die ausfallen können. Fällt der Router aus ist der Raspi auch weg. Ausfallwahrscheinlichkeit also verdoppelt. Sicherheitsgewinn lasse ich mal dahin gestellt.

Außerdem hinkte in der Vergangenheit synology mit dem VPN Paket der aktuellen Version hinterher

Ist mir nicht bekannt, dass Synology Sicherheitslücken im VPN Server offen lässt. Alleine in diesem Jahr gab es schon fünf Updates

https://www.synology.com/de-de/releaseNote/VPNCenter

 

[the other]

Moinsen,
Ja, aber fällt der Router aus, ist das NAS auch weg, oder?
Und du brauchst für openvpn doch auch nur 1 raspi als Server.
Irgendwas kann eh immer ausfallen.
Ich will hier aber auch niemanden bekehren, nur best practice ist eben die Peripherie des Netzwerkes für vpn zu nutzen.
EinE jeder nach eigener fasson...