Virtualisierung im privaten Umfeld sinnvoll?

Status
Für weitere Antworten geschlossen.

TACiboy

Benutzer
Mitglied seit
10. Dez 2008
Beiträge
215
Punkte für Reaktionen
0
Punkte
16
Hallo zusammen,

Ich brauche mal eure Einschätzung / Meinung zu folgendem Thema: Mal vorausgesetzt, das eine einzelne NAS vorhanden ist (z.B. DS916+), macht es Sinn hierauf ein Virtual DSM laufen zu lassen, wenn man sowohl Daten für den öffentlichen Zugriff aus dem iNet heraus als auch private & schützenswerte Daten auf dem selben NAS liegen?

Beispielsweise könnte ein Web Server, Audio Station, Kalender etc. in einer virtuellen Box laufen und für das Internet freigegeben werden (Port Forward hinter NAT Router).
Auf dem Host System (Eltern-DSM) wären dann die schützenswerten Daten abgelegt, die nur aus dem privaten Netzwerk heraus zugreifbar sein sollen.

Das hätte doch einen enormen Sicherheitsvorteil oder nicht?

Wie seht ihr das?


PS: Bitte keine Diskussion zu zweiter NAS oder DMZ usw. Es soll hier nur um einen einfachen Anwendungsfall für Privatanwender in einem einfachen Heimnetz mit DSL-Router... ganz simples Setup...
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.329
Punkte für Reaktionen
617
Punkte
174
Wie seht ihr das?

Ich stimme dem zu.

Ich empfehle hier einfach, mach doch bitte einen Featurerequest bei Synology auf, damit z.B. VirtualBox möglich sein wird.

Sowas habe ich als TT #306948 eingereicht.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Genauso fahre ich das bzw. es einfach nur andersrum. Die physische Instanz ist quasi kpl. leer bis auf die wichtigen Daten. Sämtliche Pakete und die zugehörigen Daten sind in den virtuellen Instanzen. Ob Docker oder Virtual DSM besser kapseln kann ich nicht einschätzen.

Ich habe meine NAS allerdings in 2 separaten Subnetzen, Port1 hängt am LAN, Port2 ist auf der physischen NAS per Firewall der NAS kpl. dicht und über Port2 sind dann die virtuellen Instanzen erreichbar.

Was spricht bei Dir gegen eine Netztrennung? Bei einer 916 können es die Kosten ja wohl nicht sein...
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.639
Punkte für Reaktionen
2.046
Punkte
829
@whitbread: Kannst Du denn die VirtualDSM-Instanzen komplett sichern? Hast Du das inkl. Restore schon einmal komplett durchgetestet?
 

TACiboy

Benutzer
Mitglied seit
10. Dez 2008
Beiträge
215
Punkte für Reaktionen
0
Punkte
16
Was spricht bei Dir gegen eine Netztrennung? Bei einer 916 können es die Kosten ja wohl nicht sein...

Im Prinzip spricht nichts dagegen, allerdings möchte ich ja gerade abwägen, ob es der "große Wurf" mit einer eigenen DMZ inkl. eigenem Subnetz und zweiter Firewall zum Heimnetz) wird. Alternativ bietet sich die "kleine Lösung" an mit einer virtuellen Instanz im selben Netz, in der dann die Dienste für das Internet gehostet werden. Das ist zwar erst einmal weniger sicher als eine ordentliche DMZ, allerdings erhöht diese Variante die Hürde doch noch einmal und ist im Vergleich kostengünstiger.

Aus meiner Sicht bringt es nichts ein eigenes Subnetz aufzubauen und die beiden Netzt nicht durch eine separate Firewall zu trennen. Alles andere ist nur Scheinsicherheit, da sich ein Angreifer ohne Mühen eine neue IP vergeben und damit dann in das private Netz "funken" kann...

Ein Mehr an Sicherheit geht immer, die Frage ist, wann Kosten/Nutzen/Aufwand für einen Heimanwender noch gerechtfertigt sind und wann nicht. Daher bin ich an eurer Meinung interessiert, was oben beschriebene Konstellation angeht.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Meine Betrachtungsweise ist die:
Alles was im Netz hängt kann mit mehr oder weniger Aufwand gehackt werden. Solange kein Fehler im DSM oder den genutzten Paketen besteht ist das Risiko imo recht gering bzw. der Aufwand für den Angreifer recht hoch. Nimmt man dann den erwarteten Nutzen als Auswahlkriterium eines potentiellen Angreifers hinzu, fühle ich mich recht sicher. Um jetzt noch ein bisschen mehr Ruhe zu haben, wähle ich die Trennung durch eine virtuelle DSM Instanz, die in einem anderen Subnetz hängt als meine physische NAS bzw. leider eben nicht ganz, da ja ein Zugriff über den open vswitch noch möglich ist. Ich habe das nur über die FW-Regeln der physichen NAS regeln können. Gewiss auch hier bestehen noch Angriffsvektoren, die ich aber bereit bin zu akzeptieren. Sonst heisst die einzige Alternative zweite NAS à la DS116 o.ä. Den Vorteil einer virtuellen Instanz im gleichen Netz sehe ich nicht, denn wenn diese komprimittiert ist, ist der Weg auf die physische Instanz ja frei.

Zur Netzwerk-Topologie will ich gar nicht gross ausholen, aber eine Trenung in Subnetze sieht selbstverständlich einen richtigen Router, der mittels Firewall-Regeln diese trennen kann, vor. Bei mir werkeln diverse MikroTiks, die preislich sehr attraktiv sind, und denen ich recht viel zutraue, sollte die öffentlich erreichbare virtuelle Instanz mal kompromittiert sein.
Davor muss ich aktuell auch eine Fritte als Einwahl-Router ertragen, da ich aktuell zu geizig bin mir ein separates Modem zu kaufen. Dahinter habe ich aber 2 bzw. 3 Router/Firewalls auf der Strecke zu den öffentlich erreichbaren virtuellen Instanzen (auch nochmal getrennt in wirklich public und private cloud).
 
Zuletzt bearbeitet:

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Zur Sicherung nur soviel:
Aktuell reicht mir die Datensicherung (legacy mode) mittels HyperBackup.

Ich werde mir jetzt aber mal die Möglichkeit der Replikation auf ein anderes Volume in 6.1 ansehen - hier sehe ich Potential quasi eine Vollsicherung wie bei DockerDSM umzusetzen.

Auch interessant wird jetzt, ob es mir gelingt, eine virtuelle Instanz auf ein anderes Volume zu verschieben.
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.639
Punkte für Reaktionen
2.046
Punkte
829
Wenn Du das gemacht hast, wäre ich an Deinen Erfahrungen sehr interessiert. Das ist nämlich der Punkt an der Synology-Virtualisierung, der mich neben Testing neuer DSM-Versionen sehr interessiert.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Kurzer Zwischenstand:
Habe mein Volume, auf dem sich die virtuellen Instanzen befinden (insgesamt ca. 130GB zugewiesene Grösse) inzwischen kpl. von allen gem. Ordnern und LUN's befreit.
Was mich jetzt umtreibt ist: Wo befinden sich die Daten für die virt. Maschinen?!?
Lt. Konsole sind 99G benutzt; diese befinden sich fast ausschliesslich im Ordner @EP; dieser ist aber eigentlich für iSCSI bekannt. Könnte also sein, dass DSM intern iSCSI dafür benutzt; fragt sich jetzt nur, wo die Config dafür versteckt ist...

Die Variante mittels Replikation bin ich noch nicht angegangen, da ich noch aufgrund der Probleme mit dem Rollback noch auf 6.02 bin.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat