- Mitglied seit
- 12. Nov 2015
- Beiträge
- 377
- Punkte für Reaktionen
- 36
- Punkte
- 34
Hallo,
Ich bin wieder mal bei der Absicherung meiner DS gelandet und würde mich über Feedback bzw. Tipps freuen.
Derzeit sieht mein Konzept so aus:
Im Router (Fritzbox) ist nur ein einzelner, benutzerdefinierter Port freigegeben, der auf meine DS weitergeleitet wird. Auf der DS teilt dann der Reverse Proxy Subdomains in Verbindung mit dem einen extern freigegebenen Port auf die jeweiligen Dienste und deren Ports auf.
Alle Dienste verwenden benutzerdefinierte Ports und nur die https-Variante ist verwendbar (Let's Encrypt Zertifikate).
Es gibt im Reverse Proxy 3 Einträge, 2 für Synology-Anwendungen und einen für Nextcloud auf dem Webserver der DS.
Im LAN sind noch weitere Anwendungen erreichbar, die haben aber keinen Reverse Proxy konfiguriert.
Auf der DS ist zusätzlich die Firewall konfiguriert (Whitelist), die die 3 extern freigegebenen Dienste nochmal auf den Zugriff aus dem eigenen Land begrenzt und alle lokal verfügbaren Dienste auf einzelne Geräte im LAN einschränkt.
Auf der DS sind alle Sicherheitsvorkehrungen aktiviert (DoS-Schutz, IP/Konto blockieren nach x Fehlversuchen, etc). Nextcloud ist ebenfalls mit diesen Mechanismen geschützt. Alle Logins (DS und Nextcloud) sind mit 2FA geschützt.
Die DS wird regelmäßig auf eine 2. DS gesichert (die nur während dem Backup in Betrieb ist) und es existiert ein weiteres Backup auf einem externen Datenträger.
Primär greifen nur 2 Personen auf die Dienste der DS zurück, ausgenommen gelegentlicher (gesicherter und zeitlich begrenzter) Freigaben über Nextcloud.
Dass es keine absolute Sicherheit gibt, ist mir durchaus bewusst, mir geht es eher darum Kosten/Nutzen weiterer Maßnahmen auszuloten.
Firewall und Reverse-Proxy direkt auf der DS laufen zu haben ist nicht optimal, daher habe ich mir überlegt einen Pi einzusetzen. Was würde auf dem Pi mehr Sinn machen, die Firewall oder der Reverse Proxy? Brächte mir der Pi überhaupt einen Mehrwert? Sollte ich sonst noch Änderungen vornehmen?
Ich bin wieder mal bei der Absicherung meiner DS gelandet und würde mich über Feedback bzw. Tipps freuen.
Derzeit sieht mein Konzept so aus:
Im Router (Fritzbox) ist nur ein einzelner, benutzerdefinierter Port freigegeben, der auf meine DS weitergeleitet wird. Auf der DS teilt dann der Reverse Proxy Subdomains in Verbindung mit dem einen extern freigegebenen Port auf die jeweiligen Dienste und deren Ports auf.
Alle Dienste verwenden benutzerdefinierte Ports und nur die https-Variante ist verwendbar (Let's Encrypt Zertifikate).
Es gibt im Reverse Proxy 3 Einträge, 2 für Synology-Anwendungen und einen für Nextcloud auf dem Webserver der DS.
Im LAN sind noch weitere Anwendungen erreichbar, die haben aber keinen Reverse Proxy konfiguriert.
Auf der DS ist zusätzlich die Firewall konfiguriert (Whitelist), die die 3 extern freigegebenen Dienste nochmal auf den Zugriff aus dem eigenen Land begrenzt und alle lokal verfügbaren Dienste auf einzelne Geräte im LAN einschränkt.
Auf der DS sind alle Sicherheitsvorkehrungen aktiviert (DoS-Schutz, IP/Konto blockieren nach x Fehlversuchen, etc). Nextcloud ist ebenfalls mit diesen Mechanismen geschützt. Alle Logins (DS und Nextcloud) sind mit 2FA geschützt.
Die DS wird regelmäßig auf eine 2. DS gesichert (die nur während dem Backup in Betrieb ist) und es existiert ein weiteres Backup auf einem externen Datenträger.
Primär greifen nur 2 Personen auf die Dienste der DS zurück, ausgenommen gelegentlicher (gesicherter und zeitlich begrenzter) Freigaben über Nextcloud.
Dass es keine absolute Sicherheit gibt, ist mir durchaus bewusst, mir geht es eher darum Kosten/Nutzen weiterer Maßnahmen auszuloten.
Firewall und Reverse-Proxy direkt auf der DS laufen zu haben ist nicht optimal, daher habe ich mir überlegt einen Pi einzusetzen. Was würde auf dem Pi mehr Sinn machen, die Firewall oder der Reverse Proxy? Brächte mir der Pi überhaupt einen Mehrwert? Sollte ich sonst noch Änderungen vornehmen?
