SMB1 Sicherheit innerhalb des Netzwerkes bzw. Zugriff von außen

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.994
Punkte für Reaktionen
1.203
Punkte
288
VPN-Endpunkt ist der Router VOR dem Netz nicht irgendwas mittendrin.

warum?
Nur dauernd so was zu wiederholen macht es nicht viel besser.
Als ob so was überall so wäre.
Es ist durchaus üblich den VPN Server im Netz zu haben und die Anfragen dorthin zu leiten.

Gerade komme ich von einer Wartung in einem Netz, das ist kein Hobby Netz, etwas profi mässiges. Dort ist der VPN Server auch im Netzwerk und nicht auf irgendeinem Router.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Wenn jemand die Weiterleitung und die Firewall professionell einrichtet und betreibt, kann man vieles machen. Der Querschnitt im Forum zeigt nur, dass das Aufmachen schneller geht als das Absichern.

Dies und das Vorhandensein einer ordentlichen VPN-Lösung auf den bei uns weit verbreiteten AVM-Routern führt dazu, dass der Hinweis „VPN-Server auf dem Router einrichten“ durchaus berechtigt ist. Den bekommt „jeder“ mit einem Hilfetext in Länge einer knappen A4-Seite ordentlich eingerichtet, und hat praktisch keine Chance, dabei sein Heimnetzwerk zu entblößen.

Wird demnächst mit WG nochmal besser.
 
  • Like
Reaktionen: EDvonSchleck

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
  • Like
Reaktionen: Synchrotron

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.994
Punkte für Reaktionen
1.203
Punkte
288
mich wundert nur dass hier alle gebetsmühlenartig immer das gleiche wiederholen, aber kaum jemand weiss warum so was erzählt wird.

Es ist einfach kaum möglich einen VPN Server direkt auf dem Eingangsrouter zu haben, weil die meisten Router weltweit allenfalls vom Provider konfigurierbar sind und dieser wird so was nicht anbieten.

Darum gibt eben Markt für VPN Server die man im Netzwerk bereitstellen kann.
 
  • Like
Reaktionen: EDvonSchleck

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
mich wundert nur dass hier alle gebetsmühlenartig immer das gleiche wiederholen, aber kaum jemand weiss warum so was erzählt wird.
Weil es Sinn ergibt den VPN-Endpoint nicht auf DEM zentralen Gerät im Netz laufen zu lassen auf dem dann auch noch alles andere liegt. Aber wie schon gesagt. Netzwerkarchitektur ist ja schon von anderen gut(und aus meiner Sicht nachvollziehbar) durchdacht worden. Wenn man das so nicht machen will oder kann? Dann macht man es von mir aus anders oder vielleicht auch mal garnicht. Egal. Ist hier o.t. und ich bin hier raus.

gruss,sky
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Die FRITZ!Boxen lassen sich entsprechend konfigurieren - egal ob vom Provider oder vom User verwaltet. Sowohl der bordeigene VPN-Server wie auch die Portweiterleitung.

Wo die FB etwas schmalbrüstig ist, ist bei einer parametrierbaren Firewall. Aber das sind SoHo-Router, und dafür sehr in Ordnung.

Wer sich eine DMZ basteln will, braucht nur eine zweite davon, als Kaskade.
 

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
Nirgendwo steht geschrieben das Netzwerkzugangspunkte, WLAN Accesspoints und Router alles Fritzboxen sein müssen.
Ich verstehe auch die Unterscheidung zwischen privat und Profimässig nicht. Es geht um den Schutzbedarf dessen was im Netz betrieben wird und da ist den meisten hier das was "privat" ist deutlich wichtiger als wenn die Firma einen Datenverlust hat.
Muss jede/r selber entscheiden was er/sie da braucht, insbesondere was den Zugang von aussen betrifft. Aber auch da gibt es eine Menge Mechanismen die einen solchen Zugang einigermaßen absichern können. Dazu gehört dann eben auch eine vernünftige Netzarchitektur und das heisst das VPN terminiert idealerweise in einer DMZ, mindestens aber VOR der Firewall. Ich will ja WISSEN was durch die FW geht und nicht glauben das im VPN Tunnel nur brave Leute sind.

Und nochmal zurück zum SMB1. Das ist numal seit einer Ewigkeit als unsicher eingestuft und KANN hervorragend genutzt werden um solche Dinge wie Emotet und Wanacry zu transportieren. Wenn dann auch noch der "gute" Hinweis gegeben wird das man auf der Syno ja keinen Virenscanner braucht weil es ja keine Viren für Linux gibt befeuert man das ganze noch.

Netzwerk- und Datensicherheit besteht aus tausend und mehr Einzelteilen und Kleinigkeiten. Da wo sich die Fehler aufsummieren (mäßig abgesicherter Netzzugang, unsichere Protokolle, veraltete Software, löchriges Backupkonzept) geschehen dann die Katastrophen.

gruss,
sky
 

Thlat

Benutzer
Mitglied seit
11. Jul 2022
Beiträge
43
Punkte für Reaktionen
5
Punkte
8
Also Freunde, dann setzen wir die Frage mal neu auf, ich sehe, man muss weiterdenken und dann muss ich wohl auch noch mehr Infos nachschieben.

Auf meinem Router (Unifi) läuft schon lange ein L2TP VPN, mit dem ich von unterwegs auf mein Netzwerk inklusive meiner DS-920 zugreifen kann.

Mein Bruder nutzt eine Fritzbox 7590 und eine DS-420.

Der Grund, warum ich mich bisher nicht über die Möglichkeit des Backups per VPN informiert habe ist, dass ich erstens über das RemoteBackup bislang noch nirgends etwas negatives gelesen habe, so dass ich hierüber schlicht nicht nachgedacht habe.

Und zweitens: Weil ich nicht wollte, dass das Netzwerk meines Bruders dauerhaft mit meinem verknüpft ist.

Kann ich seine Fritzbox oder sein NAS so einstellen, dass es ein oder zwei Minuten vor den geplanten Backups (egal ob von mir zu ihm oder von ihm zu mir) den Tunnel in mein Netzwerk aufbaut und nach erfolgtem Backup auch automatisch wieder schließt?

Dass der Tunnel nämlich nach dem Backup geschlossen wird, halte ich wirklich für wichtig. Ich kann mir noch vorstellen, dass ein Backup von ihm zu mir das hinbekommt, immerhin ist seine Seite die, die die Verbindung herstellt und dann, wenn sie mit einem Task fertig ist auch wieder schließen kann. Aber in die andere Richtung geht das nicht. Er stellt die Verbindung her, ich schaufele Daten rüber, bin halb durch und nach einer Stunde schaltet der VPN mitten im Backup wieder aus.


Wie habt ihr denn RemoteBackups via VPN gelöst?
 

Thlat

Benutzer
Mitglied seit
11. Jul 2022
Beiträge
43
Punkte für Reaktionen
5
Punkte
8
warum?
Nur dauernd so was zu wiederholen macht es nicht viel besser.
Als ob so was überall so wäre.
Es ist durchaus üblich den VPN Server im Netz zu haben und die Anfragen dorthin zu leiten.

Gerade komme ich von einer Wartung in einem Netz, das ist kein Hobby Netz, etwas profi mässiges. Dort ist der VPN Server auch im Netzwerk und nicht auf irgendeinem Router.


Hallo. Nur zum Verständnis, die ganze Diskussion über Backup via VPN statt über Portfreigabe für den Hyperbackup-Port ging doch nur los, weil es eben als unsauber angesehen wurde, den Hyperbackup-Port zu öffnen bzw. an die DS weiterzuleiten.

Meine Frage etwas weiter vorher, ob man auf der DS einen temporär aktiven VPN schalten kann, war vor dem Hintergrund zu kurz gedacht, denn dann muss eben der VPN-Port vom Router auf die DS weitergeleitet werden, wohingegen es Stationary in Beitrag 9 ja anscheinend genau darum ging, die Portweiterleitung an die DS abzuschalten und eben alles über einen VPN zu machen.

Dass der dann natürlich nicht auf der DS über eine Portweiterleitung sitzen sollte, ist irgendwie logisch, Ziel des VPN wie von Stationary gedacht ist ja, die Portweiterleitung auf die DS wieder rausnehmen zu können.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Du kannst dich ja auch mit der jeweiligen DS per VPN mit dem Router der Gegenseite verbinden. Dann hast du keine LAN-LAN Kopplung
 

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.238
Punkte für Reaktionen
328
Punkte
109

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
Unabhängig davon wo das jeweilige VPN terminiert ist aus meiner Sicht in dem Fall der richtige Weg das VPN per Script vor dem Backup aufzubauen und anschließend wieder zu beenden. Dabei kümmert sich um den Verbindungsaufbau die Syno die das VPN braucht um ihr Ziel zu finden. Diese ist in dem Moment ein Client und darf in dem Fall auch mitten im Netz stehen. Ist ja eine Vertrauenswürdige Verbindung die da aufgebaut wird. Zum Script gesteuerten Aufbau des VPN kann man mal hier schauen.

https://mickderksen.wordpress.com/2016/06/08/how-to-schedule-a-vpn-connection-on-synology/

gruss,
sky
 
  • Like
Reaktionen: plang.pl

Thlat

Benutzer
Mitglied seit
11. Jul 2022
Beiträge
43
Punkte für Reaktionen
5
Punkte
8
OK.

Dafür müsste ich dann bei meinem Bruder auch einen VPN auf dessen Fritzbox einrichten, weil dann seine Syn sich in meinen VPN einwählen muss, um ihr Backup zu starten und meine sich bei ihm einwählen muss, um mein Backup zu starten.

Das ist allerdings tatsächlich machbar.

Theoretisch könnte ich auch meinen WebDAV abschalten und meinen Handyscanner nur verwenden, wenn das Handy im VPN drin ist. Ist ne Option. Danke soweit.

P.S. um das Eingangsthema abzuschließen: Der Bruder orderte sich einen Epson mit SMB2/3 statt des Canons mit SMB1. Der hat zwar kein Dual-Duplex sondern ein Wende-Duplex, ist daher beim Digitalisieren zweiseitiger Dokumente WESENTLICH langsamer, aber für die fünf doppelseitigen Dokumente, die der pro Monat zu digitalisieren hat sollte das kein großes Thema sein.
 
Zuletzt bearbeitet von einem Moderator:
  • Like
Reaktionen: Synchrotron

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Ich finde es genau umgekehrt nervig, dass hier ständig gebetsmühlenartig geschrieben wird VPN wäre auf der Syno ok!

Die Aussage von weiter oben, dass auch in profesionell aufgebauten Netzen der VPN-Server im LAN steht ist absolut richtig. Stehen dafür die Mittel zur Verfügung würde ich dies IMMER so machen.
Das ist aber bei der Syno wohl etwas anders und der feine Unterschied macht es nun mal.
Ein VPN Server im pro Netzwerk ist ein alleinstehender Server. Der macht nix anderes als VPN.
VPN mittels Syno wird aber auf einem Fileserver betrieben und nochmal: Wer ist so bekloppt und hängt seinen Fileserver mit einem Bein ins Internet???
Das werde ich auch in Zukunft gebetsmühlenartig wiederholen!
Das die Syno viele Serverdienste abdecken kann ist richtig, das heisst aber nicht, dass man die auch alle auf einem System nutzen sollte!
 

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
Die Aussage von weiter oben, dass auch in profesionell aufgebauten Netzen der VPN-Server im LAN steht ist absolut ririchtig
Kommt drauf wie man "im LAN" definiert. Aus meiner Sicht gehört der VPN Endpunkt VOR die Firewall.

gruss,
sky
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Da müssen wir trennen, denke ich:

In SoHo- Heimnetzwerken deckt der Router viele Funktionen gleichzeitig ab. Der Router ist auch Kabel- bzw. DSL-Modem und Firewall. Dort bekomme ich den VPN-Server nicht „vor“ die Firewall, weil vor dem Router nicht geht.

Da ist der VPN-Server auf dem Router der günstigste mögliche Fall, gefolgt von einem auf einem eigenen Gerät im Netzwerk, sauber durchgeleitet und abgesichert. Auf dem Netzwerkserver ist der schlechteste Ort für einen VPN-Server.

In professionellen Netzwerken gibt es mehr Möglichkeiten, die Dinge anzuordnen. Da kann „vor der Firewall“ Sinn machen, solange der VPN-Server darauf ausgelegt ist, „auf sich selbst aufzupassen“.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Da der Ausgang eines VPN Servers bereits zB SMB Verkehr ermöglicht hat er vor der Firewall NICHTS zu suchen! Selbst in einer DMZ halte ich es noch für problematisch. Ein derartiges Konstrukt müsste durch eine Firewall doppelt abgesichert werden, da ja auch der ausgehende Verkehr wieder den VPN Server passieren muss. Die Probleme mit DHCP etc kommen noch dazu.
Ich sehe daher nicht einen einzigen Grund oder Vorteil einen VPN Server vor dem Router zu platzieren, im Gegenteil ich bezeichne es als Humbug.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.955
Punkte für Reaktionen
3.798
Punkte
344
Ich finde es genau umgekehrt nervig, dass hier ständig gebetsmühlenartig geschrieben wird VPN wäre auf der Syno ok!
Sehe ich nicht so, im Normalfall wird hier immer VPN über den Router (z.b. FritzBox) als bevorzugt zu verwendeten Weg empfohlen.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat