Thema: Synology NAS aus dem Internet erreichbar machen – ist mein Heimnetz sicher?

[valeriusme]

Hallo zusammen,

ich möchte meine Synology NAS aus dem Internet erreichbar machen und sicherstellen, dass mein Heimnetz dabei nicht gefährdet ist. Ich habe bereits VLANs und Firewall-Regeln in OpenWrt konfiguriert, aber bevor ich die Ports öffnen würde, würde ich gerne eure Meinung zur Sicherheit meines Setups hören.

Mein aktuelles Setup:


- FritzBox (Vodafone Kabel) verwaltet mein Heimnetz und hat eine eigene Öffentliche IP.

- GL.iNet-Router mit OpenWrt läuft als zweite Instanz mit eigener Öffentlicher IP.

- Bridge Mode auf LAN 2 der FritzBox, worüber der GL.iNet-Router das Internet erhält.

- VLAN auf dem GL.iNet-Router für eine zweite Synology NAS, die aus dem Internet erreichbar sein soll (für Webseiten und MailPlus).

- Ports für die Synology NAS im VLAN werden geöffnet.

- Firewall und VLANs in OpenWrt konfiguriert:

- Ping-Test von VLAN zu GL.iNet-LAN: abgebrochen gut

- Ping-Test von VLAN zur FritzBox: abgebrochen (war ja zu erwarten)

- Ping-Test von GL.iNet-LAN zu VLAN: funktioniert -> Ist das normal, oder sollte ich das irgendwie blockieren?

Meine Hauptfrage:

- Ist mein Heimnetz ausreichend abgesichert, falls die Synology NAS im VLAN gehackt wird?

- Gibt es zusätzliche Maßnahmen, die ich in OpenWrt konfigurieren sollte, um das Heimnetz besser zu isolieren?


Ich freue mich über jede Empfehlung!

Viele Grüße

 

[maxblank]

Servus @valeriusme!

Das klingt alles gut und du scheinst dir Gedanken gemacht zu haben. Allerdings reicht eine nicht passende Firewall-Regel und das komplette Sicherheitskonzept ist für die Katz. Ohne diese Regeln und Konstellation entsprechend gesehen bzw. geprüft zu haben, kann dies niemand in einem Forum beantworten.
Ich möchte das auch nicht, sondern nur ein paar allgemeine Hinweise geben.

Warum willst du das NAS extern in dieser Art und Weise erreichbar machen? Was ist dein Ziel? Was soll freigegeben werden?

Viele Grüße
maxblank

 

[valeriusme]

Servus @maxblank,

danke für deine Hinweise! Ja, ich habe mir Gedanken gemacht, für mich ist das Wichtigste, dass niemand über die Bridge in die FritzBox und damit ins private Netz kommt. Solange das sichergestellt ist, ist das Risiko begrenzt.

Warum ich das NAS extern erreichbar mache? Hauptsächlich nutze ich es für PHP-Skripte, zur Verwaltung einer Radiostationsliste in mariadb. Ich habe mir eine eigene iOS-App geschrieben, ähnlich wie radio.de, aber ohne Werbung, damit ich unterwegs Zugriff habe. Außerdem laufen dort noch weitere private Projekte, bei denen es nicht schlimm wäre, wenn etwas passiert – Backups habe ich natürlich.

Mir geht es vor allem darum, dass mein privates Netz geschützt bleibt, egal was mit dem Server passiert.

Viele Grüße
valeriusme

 

[Synchrotron]

Der Schutz des Heimnetzwerks "egal was mit dem Server passiert" ist nicht trivial. Da musst du schon ziemlich viel Zero-Trust umgesetzt haben, d.h. die Geräte im Heimnetzwerk dürfen sich nicht gegenseitig vertrauen. Jede Interaktion setzt eine Anmeldung voraus.

Das wird schnell so nervig, dass man es eben nur teilweise implementiert. Die Übernahme des Servers ist kritisch, einmal weil er meist zentral im Netzwerk sitzt, zweitens weil die dort liegenden Daten gefährdet sind. Wenn der Server übernommen wird, ist eine größere Aktion die Folge, um ihn wieder unter Kontrolle zu bringen.

Daher ist die Lösung oft eine andere: Es wird ein Server in einer DMZ installiert. Der ist außerhalb des Heimnetzwerks und hat nur sehr kontrollierte Zugänge dorthin, zum Beispiel nur durch Dateiübertragung. Dabei werden die Dateien in der DMZ bereit gestellt, aber dort "von innerhalb" abgeholt (Pull-Prinzip).

Der Server in der DMZ wird geschützt, kann aber ggf. geopfert werden, falls etwas schief läuft.

 

[Ronny1978]

für Webseiten und MailPlus

Beides ist nicht so einfach umzusetzen und du musst dich sehr genau damit befassen. Ich habe immer noch beiden sein gelassen. Eine Website ist am besten beim Hoster aufgehoben. Die Mails eigentlich genauso, außer man hat entsprechende Voraussetzungen (feste öffentliche IP) und Kenntnisse zu den ganzen Einstellungen bei Mailservern (habe ich alles nicht).

falls die Synology NAS im VLAN gehackt wird

Ich denke, hier sollte das oberste Augenmerk darauf gelegt werden.

- 2FA für die Nutzer aktivieren
- Admin nicht als "Dauer"nutzer
- separate Nutzer mit den Berechtigungen nur das was wirklich gebraucht wird
- DS Firewall aktivieren
- ich weiß nicht genau, ob OpenWrt mit Bloglisten umgehen kann
- wenn du technisch so weit bist, macht da nicht eine OpnSense / pfSense statt dem GL.inet mehr Sinn???
- @maxblank hat es ja gesagt: Ohne die Firewallregeln genau zu kennen, wird es schwierig und auch hier gilt: Nur die nötigsten Zugriff für die "freigegebene" DS in Netz erlauben

 

[Hagen2000]

Mir ist nicht ganz klar, wozu Du überhaupt VLAN eingerichtet hast, vielleicht kannst Du das kurz erläutern.

Wenn Du VLAN benutzt, dann sollten alle nicht-vertrauenswürdigen Geräte - und dazu gehört ja dein zweites NAS - am Access-Port eines VLAN-fähigen Switches hängen. Die VLAN-Konfiguration solltest Du nicht auf dem NAS selbst vornehmen, denn sonst könnte ein Angreifer, der das NAS übernommen hat, aus dem VLAN ausbrechen. Jedes Gerät, das Du nicht zu 100% selbst kontrollierst, sollte von VLAN gar nichts wissen.

 

[Stationary]

Warum ich das NAS extern erreichbar mache?

Da die Fritzbox eine öffentliche IP hat, warum kann das nicht einfach über Wireguard per VPN gelöst werden? Hätte den zusätzlichen Vorteil, daß man sich ins Heimnetz einen pihole stellt, der auch von den Mobilgeräten unterwegs als DNS-Server genutzt wird und die Werbung weitgehend herausfiltert, auch aus iOS-Apps, die werbebasiert arbeiten.

 

[metalworker]

Vielleicht kannst auch mal ne kleine Grafik machen.

Machen kannst das eigentlich alles auch mit einem gutem Router
Ich kenne mich bei OpenWRT nicht aus .
Aber wenn du da ne DMZ erstellst , und dort die Synology reinpackst . DAnn bist schon recht sicher.
Es gibt natürlich ni nen 100% Schutz . Aber so kann man sich schon gut schützen.