Synology vs FritzBox VPN

Status
Für weitere Antworten geschlossen.

DerIng

Benutzer
Mitglied seit
15. Jul 2012
Beiträge
90
Punkte für Reaktionen
2
Punkte
8
Hallo,

Wie der Titel schon verrät würde ich gern eure Meinung zu dem Thema hören. Wie steht das in Punkto Sicherheit um VPN Lösung in der FritzBox im Gegensatz zu dem VPN Server der Synology.
Ich hab immer die Vorstellung, wenn ein Angreifer es versucht, ist er bei der Synology Lösung schon sehr weit in meinem Netzwerk drin. Zumal der "Angreifer" dann auch schon auf der Hardware ist, auf dem meine privaten Daten liegen. Ist das nur ein "Hirngespinst", oder seht ich das ähnlich?

Momentan läuft die bei mir die Lösung mit meiner 7170 FB sehr gut, leider kann ich mein Surface (RT) nicht über das IPsec xauth Verfahren anmelden, da dies native von RT nicht unterstützt wird... daher suche ich nun andere Lösungen.

Also Feuer frei, ich würd gern die vor und Nachteile beider Lösungen diskutieren.

Gruß DerIng
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Nun ja, vorrangig würde ich immer erst auf die implementierten Protokolle schauen - da gehören die AVM-Modelle allerdings zu den besseren Varianten an Routern, was sie also nicht ausschließt. Es ist natürlich auch vorteilhaft, die Fritte als VPN-Server zu nutzen, wenn man damit auch den gesicherten Zugang in den Rest des LANs erhält - es gibt ja eventuell noch andere Geräte, die man erreichen möchte.
In gewissem Maße teile ich auch Deine vordergründige Skepsis, dass man bei der Synology-Lösung durch die Weiterleitung des Routers bereits auf der DS ist. Sollte es also dort Schwächen in der VPN-Software geben, ist der Weg zu den Daten nicht mehr allzu weit. Andererseits ist natürlich der Zugriff auch nicht sonderlich verbaut, wenn es Schwächen in der VPN-Implementierung eines Routers gäbe - da sitzt Du dann ja auch direkt in der Verteilzentrale. Gerade jüngst publizierte Schwächen bei einigen Routerherstellern warnen explizit, da der Eindringling damit sämtlichen Datenverkehr kontrolliert, von der DS bis hin zum Onlinebanking auf dem Rechner.
Kurzum: beides kann sinnvoll sein, zumal dann, wenn ein Client - wie in Deinem Fall - besondere Einschränkungen hat.
 

schmadde

Benutzer
Mitglied seit
15. Jan 2011
Beiträge
253
Punkte für Reaktionen
6
Punkte
18
Der Gedanke ist sicher nicht abwegig. Allerdings sind Fehler in gängiger VPN-Software (OpenVPN und OpenSource-IPsec), die zum Erlangen von lokalem Zugriff führen recht selten. Mir ist aus der Vergangenheit kein solcher Bug bekannt.

Bei der Qualität der FritzBox-Firmware würde ich der Synology hier eher vertrauen.

Eine Möglichkeit wäre noch Freetz auf der Fritzbox zu installieren und dort OpenVPN zu nutzen.

Was Du allerdings auch noch berücksichtigen solltest, ist dass jemand, der sich Zugriff auf die Fritzbox verschaffen kann, sämtlichen Internet-Verkehr und möglicherweise auch internen Datenverkehr (wenn alle Rechner am FB-Switch hängen) mitschneiden kann und so viel mehr Möglichkeiten hat, Unsinn zu veranstalten als wenn er auf die NAS kommt.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
Hi!

Bei der Qualität der FritzBox-Firmware würde ich der Synology hier eher vertrauen.
Könntest du deine Aussage irgendwie untermauern, da ich sie sehr schwammig und für nicht nachvollziehbar halte!
Eine Möglichkeit wäre noch Freetz auf der Fritzbox zu installieren und dort OpenVPN zu nutzen.
Ich glaub nicht, das für einen "normalsterblichen" Freetz eine gute Wahl ist. Man sollte da schon wissen was man tut, sonst richtet man eher mehr Schaden an als Nutzen.

Tommes
 

DerIng

Benutzer
Mitglied seit
15. Jul 2012
Beiträge
90
Punkte für Reaktionen
2
Punkte
8
Was Du allerdings auch noch berücksichtigen solltest, ist dass jemand, der sich Zugriff auf die Fritzbox verschaffen kann, sämtlichen Internet-Verkehr und möglicherweise auch internen Datenverkehr (wenn alle Rechner am FB-Switch hängen) mitschneiden kann und so viel mehr Möglichkeiten hat, Unsinn zu veranstalten als wenn er auf die NAS kommt.

Die NAS hängt an einem separaten Switch, über den auch der WLAN Access läuft die FB ist nur Telefonanlage und Internet Router.
Ich bin ja etwas paranoid was das angeht. Daher kontrolliere ich auch jeden Tag die Logfiles der FB.... ob sich ein "Angreifer" natürlich da drin verewigt ist weiß ich nicht...

Aber hab ich das richtig verstanden, mit dem VPN Server der DS komme ich über das Standardgateway ins Internet?
Ich nutze ja die VPN Geschichte um an öffentlichen Hotspots auch sicher surfen zu können, das würde dann ja nicht gehen, was mir nicht bewusst war.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
Ich habe auch eine Zeitlang den VPN-Server der DS genutzt um mich darüber zu verbinden. Um jedoch dahin zu gelangen, muß man im Router schonmal die entsprechenden Ports an die DS weiterleiten. Je nachdem welches Protokoll bzw. Protokolle du nutzen möchtest sind das dann gleich mehrere Ports und somit wird die Angriffsfläche größer, wenn auch in meinen Augen nicht wirklich beunruhigend.

Nutzt du hingegen den VPN-Dienst der Fritzbox, brauchst du keine Ports öffnen und weiterleiten. Auch kannst du in den Konfigurationsscript für den VPN-Zugang, den Zugriff auf dein lokales Netzwerk einschränken, oder auch angeben, das nur z.B. die IP zur DS zugelassen wird.

Und wenn jemand deine Fritzbox kapert, ist es wohl egal, ob VPN über Fritzbox oder DS. Wer erstmal root-Zugriff hat, der kommt auch überall hin.

Auch kannst du über das Fritzbox eigene VPN z.B. den gesamten Internetverkehr lenken, was beim Arbeiten in öffentlichen Hotspots ein großer Vorteil ist. Meines Wissens bietet dir das der Synology VPN-Server nicht.

Ein Nachteil hat der VPN Dienst der Fritzbox jedoch, da hier nur das IPSec Protokoll zur Anwendung kommt, was nicht für jede Anwendung in Frage kommt. Dennoch halte ich dieses Protokoll für ausreichend sicher und nutze es guten Gewissens.

Tommes
 

Peter_Lehmann

Benutzer
Mitglied seit
10. Jun 2013
Beiträge
176
Punkte für Reaktionen
10
Punkte
24
Hallo, da will ich auch mal meinen "Senf" dazu geben :)

Im professionellen Bereich, und damit meine ich die Intranetverbindungen von verschiedenen Behörden- oder mitunter auch Firmenstandorten, oder der IVBB oder der Anschluss von Heimarbeitsplätzen und externen mobilen Endgeräten bei den o.g. Einrichtungen, erfolgt die verschlüsselte Verbindung ausnahmslos über so genannte VPN- oder Sicherheitsgateways. Das sind in Hochsicherheitsnetzen die SINA-Box (zugelassen bis "STRENG GEHEIM"!) oder Genugate (meines Wissens bis GEHEIM) oder schlimmstenfalls CISCO-Router (ich erinnere an die aktuellsten Enthüllungen ...) oder auch Checkpoint-VPN (die letzten beiden meines Wissens nur bis VS-NfD). Aber es sind immer Geräte, die ausschließlich als VPN-Gateway und mitunter auch noch als Firewall dienen. Mir ist auf dieser Ebene nie ein Server o.ä. begegnet, welcher "nebenbei" noch als VPN eingesetzt wurde.
=> Deswegen tendiere ich eindeutig zum Einsatz der Fritz-Box als VPN-Endpunkt! (Es sei denn, jemand von euch hat zufällig zwei SINA-Boxen herumzustehen.)


Dann gibt es zwei für VPN gängige Verfahren: IPsec und openVPN.
Und die alte und jetzt wieder ganz neue Frage des Vertrauens.
Im Unterschied zur erwähnten SINA-Box wurde wurde weder der Code von openVPN noch der der AVM-Implementation von IPsec aber auch nicht der von Synology (!) von externen Fachleuten evaluiert. Man spricht ja immer davon, dass der Quellcode von Open Source-Produkten "von der Community" analysiert wird. Es werden auch immer wieder Schwachstellen in wichtigen Bibliotheken wie openSSL gefunden und beseitigt. Aber ich habe nie ein Dokument gesehen, wo Personen oder Organisationen oder auch Firmen mit "Stempel und Unterschrift" bestätigt haben, dass dieses oder jenes Open Source-Produkt durch diejenigen evaluiert wurde und als "sicher" zu betrachten ist. Ich habe selbst an AVM einige klare Fragen nach dem Bekanntwerden bestimmter Schwachstellen im Rauschgenerator usw. gestellt, und zumindest immer klare und auch offizielle Antworten bekommen.
Ich gehe auch davon aus, dass die Frage der Sicherheit kryptologischer Anwendungen ansich, aber auch der Hardware auf denen diese Anwendungen laufen, völlig neu betrachtet werden muss. Wer hat schon geahnt, dass unsere amerikanischen "Freunde" in der Lage sind, im Interesse ihrer eigenen nationalen Sicherheit sogar Hardware zu manipulieren?. (BTW: bei TrueCrypt fängt "man" jetzt wirklich mit gründlichen Untersuchungen an.)
=> Meine Meinung also: ein Pat zwischen IPsec, openVPN und der jeweiligen Hardware, um der es hier geht. Zumindest so lange, bis wir es besser wissen.

Weiter zu IPsec und openVPN.
OpenVPN ist relativ einfach über einen Router ins eigene private Netz zu tunneln. Bei IPsec ist das selbstverständlich auch möglich, aber auf jeden Fall etwas komplizierter. Vereinfacht gesagt, es sind da mehrere Protokolle und Ports zu tunneln.
Diese Probleme treten nicht auf, wenn der VPN-Endpunkt direkt auf dem VPN-Gateway, also bei uns auf dem Router läuft! Egal ob IPsec oder openVPN (was aber auf der Fritz-Box Freetz erfordert - was auch für ONU weniger geeignet ist!), das VPN auf der Box bietet einen sauber definierten Zugang ohne Klimmzüge auf alle Geräte im internen Netz, auf denen dieses gewünscht ist.
=> Der Punkt geht IMHO an die Fritz-Box oder an andere dafür geeignete Router.


Handhabbarkeit:
Hier kann ich nur über langjährige eigene (private) Erfahrungen mit dem IPsec-VPN von AVM berichten. Nicht, dass ich mich nicht auch mit openVPN befasst hätte, aber ich bin doch wieder zum AVM-IPsec gegangen.
Ich betreibe auf meiner 7390 ggw. sieben verschiedene VPN:
- vom Linux-, Windows- oder auch Mac-Client über das VPN nur ins eigene LAN, der andere Traffic wird direklt vom Client ins Internet geroutet. (Unter Linux wird der "Shrew-Client" genutzt)
- wie oben, aber der gesamte Traffic einschließlich DNS wird über das VPN und den heimischen Internetzugang geroutet => Lösung für fremde WLAN-Zugänge, Hotspot usw.
- eine dauerhafte VPN-Verbindung zu einer anderen Fritz-Box ("Vater-Sohn-Netzwerk" ;-))
- drei Verbindungen von den Smartphones (Android, aber auch mit iDingern getestet) zu meiner oder wahlweise auch zur Box meines Sohnes, für sicheres Telefonieren via FRITZ App Fone oder Datenaustausch. Aller Traffic übers VPN.
- ein normalerweise ständig deaktivierter Testzugang für Leute, die das mal testen wollen. Einziger Unterschied: dort sind die PSK nicht 72 Byte lang, sondern "nur 12".

Alle VPN erhalten aus meinem Netz eine eigene IP, sind also gleichzeitig zu benutzen (und das wurde jahrelang erfolgreich durch Nutzung getestet!)
Jedes VPN hat einen eigenen, selbstverständlich regelmäßig gewechselten, langen PSK.
Der auf den Linux-Rechnern genutzte "Schrew-Client" ist einfach "nur" komfortabel und stabil. Den gibt es übrigens auch für die WinDOSe - durch mich aber mangels dieses Betriebssystems nie getestet.
Gleiches äußerst positives Urteil für die auf unseren Androiden genutzte VPN-App "VPNCilla". Ein klick auf das Widget, und das voreingestellte VPN steht. Und wenn ich will, kann ich auch jederzeit zwischen meinen drei "Handyfähigen" VPNs umschalten.
=> Macht das mal mit dem Syno-VPN nach ... .


Ich möchte abschließend auch noch etwas erwähnen, was mir am AVM-VPN nicht gefällt: Ich verwende wo möglich grundsätzlich X.509-Zertifikate (nein, nicht von irgend einem amerikanischen oder israelischen Trustcenter, sondern von meiner eigenen Privat-CA). Leider hat AVM bei seiner eigenen IPsec-Implementierung die Verwendung von X.509-Zertifikaten nicht vorgesehen. Es können also nur PSK genutzt werden. Denke aber bei 72 Byte dürfte das auch ausreichen ;-)


MfG Peter
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
Hallo, da will ich auch mal meinen "Senf" dazu geben :)

.....

MfG Peter

WOW, der hat gesessen.

Da muss ich jetzt erstmal eine Nacht drüber schlafen. Vorher Speicher ich mir den Link zu deinem Beitrag aber noch ab. Ich glaub, den könnte man hier noch öfter brauchen.

Dank dir auf jeden Fall schonmal für deine Ausführungen.

Tommes
 

DerIng

Benutzer
Mitglied seit
15. Jul 2012
Beiträge
90
Punkte für Reaktionen
2
Punkte
8
Von mir auch ein dickes Danke.
Anscheinend bist du sehr gut mit der Materie vertraut. Gibt es deines Wissens eine Möglichkeit Windows nativ, ohne dritt Software, mit der Fritzbox VPN zu verbinden? Denn wenn das klappt, dann geht auch das sicher auch mit Win RT

Gruß dering
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Vielleicht noch eine Ergäzung zu den wirklich sehr guten Ausführungen von Peter:
die SINA-Box an sich beschreibt nur eine Implementierung auf Basis von IPSec in einem speziell gehärteten Linux, die in einer softwarebasierten Variante (S-Box, nur bis VS freigegeben) und in einer hardwarebasierten HSM-Variante (H-Box, dann bis Streng geheim) verfügbar ist. Die besondere Sicherheit steckt dabei neben der Verwendung eines besonders gesicherten Kryptochips bei der H-Box aber vorrangig in der Verwendung von nicht allgemein verfügbaren Kryptoalgorithmen wie Chiasmus oder Libelle, die in erster Linie der hochsicheren Behördenkommunikation vorbehalten sind, und der Schaffung von geschlossenen Benutzergruppen durch einige zusätzliche Erweiterungen des Algorithmus (bspw. über Smartcard-Token). (Übrigens sind diese Implementierungen von Erweiterungen/Algorithmen auch nicht von externen Fachleuten begutachtet worden, da muss man schon dem BSI vertrauen.)
Eine S-Box kann sich aber jeder selbst aufbauen, sie läuft auf praktisch jeder üblichen Hardware (die Dokumentation dazu ist beim BSI verfügbar). Und wie gesagt - das zugrundeliegende Protokoll ist IPSec, wie es standardisiert ist, vollständig kompatibel zu anderen Implementierungen wie bspw. in der Fritzbox (habe ich selbst ausprobiert).

@DerIng
Nur so als Hinweis: Windows RT ist eine sehr eigene Version - einiges von dem, was Du in anderen Windows-Versionen kannst, wird Dir dort nicht gelingen.
Aber selbst ein "normales" Windows bietet nativ keine IPSec-Implementierung zu einer Fritzbox. Um ein Dritt-Tool wirst Du nicht umhinkommen.
 
Zuletzt bearbeitet:

Peter_Lehmann

Benutzer
Mitglied seit
10. Jun 2013
Beiträge
176
Punkte für Reaktionen
10
Punkte
24
Oh, was habe ich nur getan ... .
Ja, ich war einige Jahre sehr tief mit SINA befasst. Wollte allerdings nicht so deutlich werden, wie es Frogmann gemacht hat, weil es hier IMHO nicht notwendig ist.
Nur so viel: SINA wird von der Firma Secunet hergestellt, die für die Zulassung für amtliche Geheimhaltungsgrade notwendige Evaluierung erfolgt nun mal immer durch das BSI. Und dieses erfolgt - und darauf könnt ihr euch verlassen! - äußerst gründlich. Es geht immerhin um eine Einstufung mit dem in Deutschland höchsten Geheimhaltungsgrad.
Und klar "läuft" die SINA-Software (für die reine Software-Box) auf jedem Rechner aus dem Discounter. Wird ja darin nicht mal eine HD benötigt. Den Unterschied macht die Evaluierung der gesamten Hardware, vom BIOS bis zur Netzwerkkarte, alles wurde genauestens überprüft.
So, damit für mich dieses Thema "durch".

@Dering:
Wie ich bereits geschrieben habe ("durch mich aber mangels dieses Betriebssystems nie getestet.") lebe ich privat völlig Windowsfrei. Und meine MCSE-Lehrgänge liegen 13 Jahre zurück. Ich weiß, dass man mit Windows nativ auch VPN-Verbindungen herstellen kann. => Virtual Private Network ( VPN ) unter Windows 7 einrichten. Mehr weiß ich nicht, mehr interessiert mich nicht. Ich kann also wirklich nicht sagen, ob es sich nur im das (als unsicher geltende, weil vom Kontopasswort abhängige) VPN-Protokoll PPTP (Point to Point Tunneling Protocol) handelt, oder ob die modernen WinDOSen auch IPsec nativ beherrschen.
Ich weiß auch nicht, ob es den Shrew-Client oder meinetwegen den NCP-Sclient auch für WIN RT gibt. => Suchen, fragen ... .


MfG Peter
der hier "seinen Senf" zur Frage "Synology vs FritzBox VPN" abgeben wollte, und wieder mal total nach [OT] abgedriftet ist.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
...der hier "seinen Senf" zur Frage "Synology vs FritzBox VPN" abgeben wollte, und wieder mal total nach [OT] abgedriftet ist.

Aber auf jedenfalls sehr interessant zu lesen und in meinen Augen auch sehr informativ. Und da ich nicht im entferntesten etwas mit der IT-Branche zu tun habe, finde ich grad sowas hier immer spannend zu lesen.

Tommes
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Oh, was habe ich nur getan ... ....
Ja, die Geister, die man ruft :D Aber im Ernst, mir ging es dabei um den Hinweis, dass IPSec als Basis eben auch in der hochsicheren Implementierung verwendet wird, aus guten Gründen. Und das letzte Quentchen obendrauf zur Spitze ist dann eben die Einbeziehung "nichtöffentlicher" Komponenten wie selektierte Algorithmen, zusätzliche ID-Token und besonders gesicherte Hardware. Der gemeine User zu Hause kann damit aber hinreichend sicher sein, mit einem Fritzbox-VPN (und das war ja der Aufhänger) keiner alltäglichen Gefahr ausgesetzt zu sein (es sei denn, irgendwelche Schlapphüte stehen im Van vor der Tür und nehmen die Fritzbox unter Beschuß) :)
 

Peter_Lehmann

Benutzer
Mitglied seit
10. Jun 2013
Beiträge
176
Punkte für Reaktionen
10
Punkte
24
Der gemeine User zu Hause kann damit aber hinreichend sicher sein, mit einem Fritzbox-VPN (und das war ja der Aufhänger) keiner alltäglichen Gefahr ausgesetzt zu sein (es sei denn, irgendwelche Schlapphüte stehen im Van vor der Tür und nehmen die Fritzbox unter Beschuß) :)

full ack!
(Und ich gehe jetzt bewusst nicht auf TEMPEST-Angriffe ein!!!!)
 

DerIng

Benutzer
Mitglied seit
15. Jul 2012
Beiträge
90
Punkte für Reaktionen
2
Punkte
8
Oh da hab ich wohl was losgetreten.... :)
Find ich aber sehr gut, dümmer wird man durch eure Beiträge jedenfalls nicht.

Also Windows selbst (8.1 und 8.1 RT) kann L2TP/IPSec und diverse Authentifizierungsmethoden, daher hatte ich gehofft eine Einstellung würde den Weg in die Fritzbox schaffen?
Gibt es denn andere Hardware die man in eine DMZ stellen kann (für Privatanwender :) ) ?
 

schmadde

Benutzer
Mitglied seit
15. Jan 2011
Beiträge
253
Punkte für Reaktionen
6
Punkte
18
Hallo, da will ich auch mal meinen "Senf" dazu geben :)
Ohgott. Vielleicht entscheidest Du Dich mal, ob Du Open Source jetzt gut oder schlecht findest. Die von der angesprochenen Geräte basieren ja schliesslich auch auf open source komponenten. Meine Erfahrung die durchaus auch schon ein paar Jahrzente umfasst ist, dass 'Personen oder Organisationen oder auch Firmen mit "Stempel und Unterschrift"' in den meisten Fällen einfach nur bedeuten, dass da ein Stempel und eine Unterschrift drauf ist. Über die Qualität eines Code Reviews sagt das null komma nichts aus. Ich würde zwar nicht blind jedem open source projekt trauen, aber ich bin überzeugt, dass die populäreren opensource Projekte um Klassen besser untersucht sind als ein beliebiges kommerzielles closed source Produkt.

Wenn ichs wirklich ernst meine, stelle ich mir eine OpenBSD Box hin - da habe ich mehr Sicherheit als mit Checkpoint oder ähnlichem. Und keine Backdoor von NSA oder Mossad drin :)

Die Fritz-Firmware ist mir einigermassen suspekt, speziell der IPsec Teil. Die Firma bringt es ja nichtmal fertig, das Format der Konfigurationsdatei zu dokumentieren. Wenigstens kann man das mit der allerneuesten Firmware schon ohne Windoze Rechner einrichten - welch ein Fortschritt :rolleyes: Ich sage jetzt nicht, dass das VPN der Fritzbox unsicher sein muss (die verwenden ja auch nur irgendeine bekannte Komponente), aber bei der Qualität der sonstigen Firmware würde ich mir nicht allzuviel davon erwarten. Aber wenn das Ding angreifbar ist, kann der Angreifer mindestens den gesamten Internet-Verkehr mitlesen, das ist vermutlich sogar viel interessanter für einen Angreifer als die Urlaubsbildchen, Warez und Pornos auf der NAS, die er auch anderswo bekommt.
 

Flori73

Benutzer
Mitglied seit
05. Jun 2010
Beiträge
116
Punkte für Reaktionen
0
Punkte
16
Ich finde das Thema hochinteressant. Frage mich auch, wie sich der Privatanwender via VPN am einfachsten und möglichst sicher an seine Synology kommt.
Die Lösung Fritzbox und Synoogy hab ich schon getestet, aber die Fritzlösung behagt mir nicht ...
Villeicht gibts unter Raspberry PI irgend eine Lösung ?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...Wenn ichs wirklich ernst meine, stelle ich mir eine OpenBSD Box hin - da habe ich mehr Sicherheit als mit Checkpoint oder ähnlichem. Und keine Backdoor von NSA oder Mossad drin :)
...
Na, nun wird's lustig. Ich teile ja Deine Ansicht hinsichtlich eines CodeReviews, und nicht das erste Mal wäre es so, dass der untersuchte Code nicht mit dem übereinstimmte, der dann implementiert war (siehe gerade auch die altbekannten Diskussionen bei Truecrypt).
Dennoch besteht Sicherheit aus deutlich mehr als einem CodeReview. Die oben von Peter angedeuteten TEMPEST-Szenarien bspw. gehören dazu diskutiert (Stichwort abstrahlungsgesicherte Hardware), auditierte Hardwarelieferanten, die in gesicherter/begleiteter Produktion arbeiten müssen - Du würdest Dich vielleicht wundern, wie vielfältig heutzutage Systemangriffe sein können.

Und was nun den normalen SOHO-Benutzer angeht - auch wenn Dir die Fritzbox suspekt erscheinen mag, gemessen an erkannten Sicherheitsschwächen sind diese deutlich im unteren Drittel der auf dem Markt befindlichen Modemrouter anzutreffen. Einige Dinge, die mir bekannt sind, beruhten darüber auf Vorgaben, die Provider für ihre OEM-Geräte haben wollten - naja, ist aber eine andere Geschichte.
Ansonsten steht Dir ja frei, Freetz zu nutzen, nur wenige andere Geräte bieten eine soche Möglichkeit, genau das zusammenzustellen, was man haben möchte.
 

Flori73

Benutzer
Mitglied seit
05. Jun 2010
Beiträge
116
Punkte für Reaktionen
0
Punkte
16
Wollte mal kurz noch einwerfen: Freetz ist nicht immer die beste Loesung, gerade dann wenn die Fritzbox vom Provider bereitgestellt wird und die Zugangsdaten aus der Ferne konfiguriert werden.
 

Neuling55

Benutzer
Mitglied seit
14. Aug 2011
Beiträge
60
Punkte für Reaktionen
0
Punkte
12
Ich finde das Thema hochinteressant. Frage mich auch, wie sich der Privatanwender via VPN am einfachsten und möglichst sicher an seine Synology kommt.
Dem stimme ich voll und ganz zu.

Ich glaub nicht, das für einen "normalsterblichen" Freetz eine gute Wahl ist. Man sollte da schon wissen was man tut, sonst richtet man eher mehr Schaden an als Nutzen.
Und dem (von weiter oben) auch.

btw ....... @Peter_Lehmann: Wenn du der Peter bist den ich vermute (Stichwort Donnervogel und fritzBox) dann freue ich mich, dass du nun auch hier anzutreffen bist. Auch ich bin seit neuestem Besitzer einer DS. Wenn du allerdings ein anderer Peter bist, dann freue ich mich ebenso, denn deine Beiträge zeugen von Fachwissen, welches in einem Forum immer von Vorteil ist. Also besonders dir ein freundliches Hallo.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat