Verschlüsselter Zugriff

[MicroCell]

Hallo,

ich beschäftige mich gerade mit den Sicherheitsmaßnahmen auf der DS211+ und habe leider leichte Verständnisprobleme beim Thema SSL, Sicherheitsschlüssel, Zertifikate und so weiter. (Was jetzt folgt, könnte als Verbesserungsvorschlag gesehen werden für die SSL Erstellung auf der DS und für die Erklärung im SYNOLOGY-WIKI.)

Ich muss in Zukunft über Internet (IP bekannt) als Admin (da ich der auch bin) auf die DS drauf und das natürlich so sicher wie möglich. Nur ein langes Passwort reicht mir da nicht aus. Die Daten sollen dabei auch sicher übertragen werden und der Zugriff sollte explizit beschränkt sein. Ein SSL-Zertifikat wäre schon mal gut, damit die Verbindung verschlüsselt ist. Ich würde nur Port 5001 freigeben, bzw. im Router weiterleiten. Ich habe auch nach synology-wiki versucht ein eigenes Zertifikat zu erstellen, wobei ich leider beim vi Editor schon nicht mehr weiter komme. Ist mir etwas zu kompliziert. Dann ist mir aufgefallen, das ja bereits ein Zertifikat auf der DS vorhanden ist, wo man im Browser diesem nur Vertrauen schenken muss. (noch im lokalem LAN getestet)

Mir stellt sich jetzt nur die Frage, ob dies über Internet sicher ist, da dieses Zertifikat ja wahrscheinlich standardmäßig auf der DS ist. Verschlüsselt wird, aber ist dies auch sicher?

Dabei bin ich auf eine allgemeine Frage gestoßen, worauf ich auf vielen Seiten mit SSL Erklärungen, leider keine Antwort gefunden habe.

Was macht eine SSL Verbindung eigentlich sicher? Das der Anbieter, in dem Fall ja ich selber, unbekannt ist, also nicht verifiziert wird, ist mir eigentlich egal. Wichtiger ist mir der Schlüssel, der ja scheinbar ausgetauscht werden muss und das übers Netz.

Bekommt jeder Browser, der auf den Server zugreift, seinen eigenen Schlüssel zum Entschlüsseln? Wird der Schlüssel auch verschlüsselt übertragen? Ich lese immer was von Key-Zertifikat, was bei mir die Vermutung auslöst, einen entsprechenden Schlüssel generieren zu können, den ich nur Personen gebe, die auf die DS zugreifen dürfen. Zum Beispiel wie beim HBCI-Banking oder bei ELSTER. Also eine Kombination aus Passwort, Schlüssel und Verschlüsselung. Geht das?

Es wäre jedenfalls wirklich hilfreich, wenn man die Zertifikaterstellung mit openSSL über eine leicht bedienbare Oberfläche über DSM erledigen könnte.
Ich habe auch nach einem Tool (GUI) für openSSL gesucht, aber leider keine einfache Lösung gefunden. Kann man überhaupt ein OpenSSL Zertifikat auf einem Win-Rechner erstellen und dann auf die DS übertragen?

 

[Trolli]

Ja, mit dem Synology-Zertifikat wird die Verbindung genauso verschlüsselt, wie mit einem selbsterstellten Zertifikat. Man hat halt nur die Browser-Warnung.

Ja, man kann ach den Austausch des Schlüssels beim Webserver der DS unterbinden. Dann kann nur noch der zugreifen, der das entsprechende Client-Zertifikat hat. Das kann glaug ich irgendwo in der httpd.conf konfiguriert werden.
EDIT: Hier findest Du eine Lösung:
-> http://www.synology-forum.de/showthread.html?t=5387

Du kannst auch im Disk Station Manager ein bereits vorgefertigtes Zertifikat importieren. Damit hab ich mich aber bisher noch nicht beschäftigt.

Hier findest Du auch noch weitere Anregungen zum Absichern des DSM: -> http://www.synology-wiki.de/index.php/3rd_Party_Applications_absichern

PS: Wenn Dir bei den Formulierungen im Wiki etwas besseres einfällt, kannst Du das gerne aktualisieren.

 

[MicroCell]

Danke Trolli, das ist genau das was ich suche. Bestätigt auch gleich die Vermutung mit dem Schlüssel.

Wäre nur toll, wenn man das über die DSM Oberfläche per "Häkchen setzen" erledigen könnte.

Ich bin sonst echt begeistert von der einfachen und vor allem deutschen Bedienung der DS. Wirklich super gemacht von Synology. Die meisten Sachen kann man eben sehr einfach und mit schnellem Zugriff auf die Hilfe, über die Oberfläche gut konfigurieren, aber leider die Sache mit dem SSL Zertifikat erstellen und absichern nicht.

 

[Trolli]

Ja. Schreib denen doch ruhig mal eine Mail. Je mehr Leute nach sowas fragen, desto höher ist die Wahrscheinlichkeit, das sowas mal kommt.

 

[itari]

Ich hab in meinem AdminTool eine Geschichte zum Zertifikat eingebaut. Allerdings ist es keine One-Click-Lösung, weil es mit nicht darum ging, überhaupt ein Zertifikat zu erstellen, sondern eine Umgebung zu haben, mit der man mehrere Zertifkate, Server-Schlüssel und Client-Schlüssel verwalten kann. Man sollte auch schon eine ungefähre Vorstellung davon haben was man für die ganze Geschichte braucht und in welchen Schritten das abläuft. Natürlich kann man sich damit auch die Ergebnis-Dateien anschauen und das ein oder andere Schmackerl ist auch dabei.

Itari

 

[MicroCell]

Hallo itari,

das mit dem Schlüssel erstellen ist für die interessant, die eben schnell den Zugriff der DS über Internet gut absichern wollen und dazu keine Zertifizierungstelle brauchen. OpenSSL scheint ja schon auf der DS standardmäßig installiert zu sein, weshalb man hierfür nur eine gute Bedienung braucht. Ich begebe mich echt ungern über Komandozeile ins System. Da kann man zu schnell was falsch machen. Bei TrueCrypt z.B. gehe ich einfach auf "Schlüssel erstellen..." wähle die Verschlüsselung und fertig. Bei OpenSSL wäre vielleicht noch ein kleines Formular sinnvoll für Daten und Berechtigungen, wenn man sich das Zertifikat mal genauer anschaut im Firefox.

 

[itari]

OpenSSL scheint ja schon auf der DS standardmäßig installiert zu sein, weshalb man hierfür nur eine gute Bedienung braucht. Ich begebe mich echt ungern über Komandozeile ins System.

Ich habe genau das im AdminTool gemacht ... also erst anschauen, dann darüber reden.

Itari

 

[MicroCell]

Ach so, dann schau ich mir das mal genauer an. Vielen Dank.

 

[MicroCell]

Hallo itari,

ich habe mir deine "Sammlung" mal angeschaut, wobei ich den Punkt mit OpenSSL nirgendwo erklärt finde. Die ganze "Sammlung" zu installieren, nur um ein SSL-Zertifikat zu erstellen, war mir dann doch zu unsicher, zumal es da scheinbar öfters Probleme gibt. Ich bin nicht so versiert mit Linux, um hier das Risiko einzugehen, mein DSM 3.0 zu zerschießen.

Ich habe es dann mit dem XCA Tool auf XP halbwegs hin bekommen. Das XCA Tool war auch etwas hilfreich, um überhaupt zu verstehen, welche Zertifikate in welcher Reihenfolge erstellt werden müssen. Dazu muss man aber das XCA Tool selbst auch erst mal verstehen. Ist aber jedenfalls einfacher als OpenSSL über Kommandozeile zu bedienen. Die Zertifikate mussten dann nur noch an die richtigen Stellen verteilt werden. Jedenfalls komme ich nur noch (übers Internet) auf die DS mit passendem Schlüssel-Zertifikat.

Ich habe die ganze SSL Sache mal als Verbesserungsvorschlag an Synology geschickt. Mal sehen, ob das aufgenommen wird.

 

[itari]

zumal es da scheinbar öfters Probleme gibt

Hmm, vielleicht kannst mir da auf die Sprünge helfen?

Im AdminTool werden alle 6 Schritte des Skriptes mkcert.sh jeweils separat abgewickelt. Ich halte das für sehr Übersichtlich (siehe Bildchen).

Itari

 

[jahlives]

Guckst du z.B. hier (http://forum.synology.com/wiki/index.php/How_to_generate_custom_SSL_certificates). Alle nötigen Files sollten bereits auf der DS sein. Also ab auf die Konsole und Zertifikat erstellen

 

[MicroCell]

Hmm, vielleicht kannst mir da auf die Sprünge helfen?

Vielleicht habe ich mich etwas falsch ausgedrückt. Mit "Probleme" meinte ich, das dein Tool in Version 0.99c vorliegt, es also "Probleme" geben kann. Schreibst ja auch selber, was man alles beachten muss und installieren muss, damit dein Admin-Tool läuft und das die Installation auf die eigen Kappe geht. Auch das editieren von Scripten hatte ich irgendwo gesehen, damit es "richtig" läuft. Das ist für mich als Laie in Bezug auf Linux etwas zu "Problematisch".

Wenn ich was installiere, muss es ein klares "Setup" geben, was ich nur ausführen muss und es installiert alles was man braucht. Version 1.0 sollte es auch sein und keine Beta. Dein Tool ist für versierte Linux-User bestimmt das richtige, aber für mich leider etwas zu Unsicher, weil ich was zerstören könnte und es nicht wieder hin bekomme.

Genau deshalb finde ich DSM 3.0 wirklich echt gut. Anschalten was man braucht und wenn nicht, einfach wieder abschalten.

 

[itari]

Danke für deine Erläuterungen. Ich werde dich dann mit deinen Problemen auch weiterhin alleine lassen ...

Itari

 

[MicroCell]

Guckst du z.B. hier (http://forum.synology.com/wiki/index.php/How_to_generate_custom_SSL_certificates). Alle nötigen Files sollten bereits auf der DS sein. Also ab auf die Konsole und Zertifikat erstellen

Hallo jahlives,

das gibt es auch auf deutsch und wurde weiter oben auch schon mal mitgeteilt und ich habe es jetzt auch schon mit XCA hin bekommen. Trotzdem danke.

http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats

Ich hatte nach einer Lösung gesucht, die ohne Kommandozeilen tippen auskommt. Die beste Lösung habe ich schon gefunden, was das Verständnis angeht. Das XCA Tool kann auf XP installiert werden, hat eine deutsche, verständliche Oberfläche und wenn man einmal verstanden hat, in welcher Reihenfolge die Zertifikate erstellt werden müssen, dann funktioniert es sehr gut. Es muss nur noch auf die DS übertragen werden, wie im WIKI auch angegeben. Mit XCA kann man sogar die Schlüssel (Passwortgesichert) verwalten und mehrere "User" Schlüssel generieren. Das ganze wünschte ich mir für die DS direkt und ohne Umwege.

Danke Itari für den Screenshot deines Tools. Ich hatte das nirgendwo gefunden.

Ich kann trotzdem XCA empfehlen, wer eine GUI mit Überprüfung der Zertifikate usw. wünscht. Bleibt dann nur noch die Übertragung per Kommandozeile, was ich aber noch hin bekommen habe.

http://xca.hohnstaedt.de/

 

[MicroCell]

Danke für deine Erläuterungen. Ich werde dich dann mit deinen Problemen auch weiterhin alleine lassen ...

Itari

Die Aussage verstehe ich jetzt nicht wirklich. Wie bereits geschrieben, bin ich nicht so erfahren mit Linux, das ich dein Tool einfach so installieren kann. Wenn dich das jetzt stören sollte, tut es mir Leid, ist aber nicht zu ändern.