Von außen auf die DS zugreifen...

[Lapje]

Hallo zusammen,

ich bin gerade etwas überfordert. Ich fahre die Tage in Urlaub, werde dort aber auch ein wenig arbeiten müssen. Daher wäre es für mich recht komfortabel von dort aus auf meine DS zuzugreifen. In der letzten Zeit waren die Nachrichten aber voll von irgendwelchen Sicherheitslücken oder ähnlichem (jetzt nicht unbedingt bei Synology, aber generell). Daher würde ich meine DS so sicher wie mögilch machen, hab aber keine Ahnung wie. Hab bei Synology nachgeschaut, aber als ich da gelesen habe, dass ich für einen FTP-Zugang die Möglichkeit zulassen soll, als anonymer Nutzer drauf zuzugreifen, hatte ich doch meine Bedenken. Dann habe ich was über VPN und SSL und so gelesen, dann war es ganz aus.

Wichtig wäre für mich dass ich trotz aller Sicherheit einfach per Synology-DDNS mit meinem Tablet und meinem Notebook auf meine DS zugreifen kann. Und das nicht nur per Filestation sondern direkt z.B. über einen Dateimanager oder meinen Goodreader.

Wie kann ich das am besten umsetzen? Ein link zu einer wirklich guten Anleitung der man Vertrauen kann würde mir schon reichen...


Besten dank

Lapje

 

[Frogman]

... Ein link zu einer wirklich guten Anleitung der man Vertrauen kann würde mir schon reichen...

Unser Wiki

 

[Lapje]

Naja, da war ich auch schon, aber so richtig hilft das nicht weiter. Zumal zumindest in dem Bereich die Beispiele noch DSM 2.0 behandeln. Dazu kommt als Protokol nur FTP zur Sprache, WebDAV spielt gar keine Rolle, auch das Thema Sicherheit kommt mir da ein wenig zu kurz (VPN und SSL finde ich da erst gar nicht)...

 

[Frogman]

Vielleicht stellst Du dann einfach mal konkrete Fragen, wo bei Deinen Versuchen es klemmt

 

[Lapje]

Das wollte ich ja vermeiden wenn es eine Anleitung dafür gibt, dann muss vielleicht nicht alles, was schon mal erzählt wurde, neu runtergenudelt werden. Ihr habt sicherlich besseres zu tun...^^

Also:
Ich möchte einfach für die nächsten Tage von außen auf meine DS zugreifen, eine Umleitung via Synology ist vorhanden. Ich kann mich aktuell noch nicht entscheiden ob ich das ganze einfach per FTP oder WebDAV machen soll. Letzten Endes sollen Daten bei Bedarf nur runtergeladen werden. Der Vorteil von WebDAV besteht, soweit ich weiß, ja darin, dass Daten direkt bearbeitet werden können - wie im heimischen Netzwerk. Dafür soll FTP schneller sein. Die Sicherheit kann ich bei beiden nicht beurteilen.

Dann hab ich absolut keinen Schimmer wie ich die DS sicher ins Netz bringe (auch was die benötigten Ports angeht), so dass ich keine bösen Überraschungen erlebe - da will ich auch nicht wirklich rumexperimentieren.

Ich bin quasi der sprichwörtliche Ochs vorm Berg...^^

 

[Frogman]

Versteh das mal nicht falsch - aber wenn Du "die Tage in Urlaub fährst" und bisher keinen Schimmer hast, was das alles bedeutet und wie Du von außen auf die DS zugreifst, mit welchem Protokoll, von welchem Gerät... dann ist die Gefahr recht groß, dass Du in der Hektik jetzt eher doch nur experimentierst und dabei ein großes Scheunentor öffnest, als einen sicheren Zugang aus dem Urlaubsort zu schaffen.

 

[Lapje]

Naja, wie weit ich das dann verstehe und umsetzen kann ist ja eine andere Sache...ansonsten müsste ich einfach den ZUgang von Außen einrichten und den so nutzen - was noch unsicherer wäre. Daher wäre es zumindest ein Versuch wert...und etwas Zeit habe ich ja noch...

 

[PeterPanther]

Hah, den Fred kaper ich jetzt, bevor ich einen neuen aufmache. ;-)

Über genau dieses Thema mache ich mir gerade auch Gedanken und da habe ich ein paar Fragen...

Zunächst mal zur jetzigen Situation: Ich betreibe eine DS im Heimnetz, die als Heim-Server dient und neben Filmen, Musik u.ä. auch persönliche und sensible Daten enthält (Bilder, Dokumente usw.).
Im Heimnetz läßt sich der Zugriff über verschiedene Nutzer ja ganz gut konfigurieren: Der PC ist Nutzer X und kann auf auch auf Dokumente zugreifen, wo hingegen der Fernseher Benutzer Y ist und nur berechtigt ist, Filme und Musik abzugreifen.

Die Überlegung ist, einen eingeschränkten Zugriff aus dem Internet einzurichten, wozu ich nun die folgenden Fragen hätte:



1. Wie sicher ist eine Diskstation überhaupt, wenn ich aus dem Internet darauf zugreifen kann?

Mal angenommen ich bekäme es hin, einen VPN-Zugriff auf die DS zu konfigurieren.
Ist das "unhackbar" hinzubekommen? (Wobei "unhackbar" meint, daß der zu treibende Aufwand für den Hacker so hoch ist, daß es sich für ihn bei mir unwichtigem Wurm nicht lohnt; man wird ja keinen Superrechner ein halbes Jahr beschäftigen, um an meine Urlaubsbilder zu kommen).
In diesem Szenario sollte mein Handy dann keinen Zugriff auf die sensiblen Daten bekommen, sondern nur auf einen speziellen Ordner der Diskstation. Meinetwegen ein spezieller Nutzer "Urslaubsdaten", auf den man vorab schonmal die Bilder, Videos usw. hochladen könnte, der aber keinen Zugriff auf die sonstigen Verzeichnisse der Diskstation erlaubte.
Diese Ordner sollte allerdings per WebDav beschickbar sein. Also: Offenes WLAN, VPN-Tunnel zur Diskstation, WebDav um Dateien im Dateimanager kopieren zu können.


2. Wenn ich einen VPN-Tunnel zu meinem Router aufbaue, entsteht damit auch ein Risiko für meine Diskstation?

Ich habe alternativ überlegt, eine VPN-Verbindung zum Router zu konfigurieren, also ohne die Möglichkeit, auf die DS zuzugreifen.
Hintergrund: Die Möglichkeit, beim Surfen mit dem Handy im Ausland im offenen WLAN per VPN-Tunnel auf den heimischen Router zu kommen, um eine abhörsichere Verbindung ins Internet zu schaffen und MiM-Angriffe usw. zu verhindern.
Wäre das sicherer, oder machte es ohnhein keinen Unterschied, da ein Angreifer, der auf dem Router "landet", automatisch auch im Heimnetz und an der DS ist?

 

[dil88]

Zu 1. VPN gilt - je nach Protokoll - als sicher. PPTP ist das Protokoll, das man ausnehmen muss.

Zu 2. Wenn Du eine VPN-Verbindung zum Router aufbaust, die Dir Zugriff auf das Netz hinter dem Router und nicht nur auf den Router selbst erlaubt, dann kommst Du über diese VPN-Verbindung auch auf die DS. Solange Du PPTP als Protokoll vermeidest, solltest das aber sicher sein.

Das Risiko bei VPN liegt abhängig vom verwendeten Verfahren m.W. nicht im Tunnel sondern in den Netzknoten, die durch den Tunnel verbunden werden. Wenn die korrumpiert sind, dann hast Du ein Problem, da Du ja quasi ein gemeinsames LAN aufspannst.

 

[PeterPanther]

Schönen Dank erstmal für die Antwort, aber so ganz schlau bin ich jetzt noch nicht...

Zu 1. VPN gilt - je nach Protokoll - als sicher. PPTP ist das Protokoll, das man ausnehmen muss.

O.K., "PPTP" ist unsicher, der Rest gilt als sicher. Vielleicht ist das eine doofe Frage, aber was heißt "gilt"? Galt den PPTP auch mal als sicher?

Zu 2. Wenn Du eine VPN-Verbindung zum Router aufbaust, die Dir Zugriff auf das Netz hinter dem Router und nicht nur auf den Router selbst erlaubt, dann kommst Du über diese VPN-Verbindung auch auf die DS. Solange Du PPTP als Protokoll vermeidest, solltest das aber sicher sein.

Heißt das, ich könnte eine VPN-Verbindung sicher und "unhackbar" im Router enden lassen?

Das Risiko bei VPN liegt abhängig vom verwendeten Verfahren m.W. nicht im Tunnel sondern in den Netzknoten, die durch den Tunnel verbunden werden. Wenn die korrumpiert sind, dann hast Du ein Problem, da Du ja quasi ein gemeinsames LAN aufspannst.

Netzknoten wären jetzt in meinem Fall dann der heimische Router und mein Handy? Der heimische Router ist sicher bzw. wenn nicht, wäre es ohnehin zu spät. Wie ist es denn mit dem Handy? Wenn ich das in ein offenes WLAN in Kuala Lumpur hänge, ist es dann ein sicheres VPN oder nicht?

 

[TheGardner]

O.K., "PPTP" ist unsicher, der Rest gilt als sicher. Vielleicht ist das eine doofe Frage, aber was heißt "gilt"? Galt den PPTP auch mal als sicher?

Ja! Mehr dazu liefert u.U. dieser Artikel

Heißt das, ich könnte eine VPN-Verbindung sicher und "unhackbar" im Router enden lassen?

Unhackbar ist nichts auf der Welt! Du kannst heute (leider) nicht irgendwas unhackbares aufbauen und Dich dann darauf ausruhen! Es wird ständig Veränderungen geben und Du musst entweder immer Infos über diese Veränderungen einholen, oder Du wirst am Ende irgendwann eingeholt.
Stand jetzt würde eine VPN Verbindung welche an Deinem Router endet ausreichen. Ist Dein Router dann noch eine Fritzbox, dann ist dies in sehr wenigen Schritten zu bewerkstelligen! Du hättest das erstmal das, was Du benötigst und könntest auf den Fidschi Inseln sitzen und auf Dein Heimnetz zugreifen, als wärst Du bei Dir im Wohnzimmer.

Netzknoten wären jetzt in meinem Fall dann der heimische Router und mein Handy? Der heimische Router ist sicher bzw. wenn nicht, wäre es ohnehin zu spät. Wie ist es denn mit dem Handy? Wenn ich das in ein offenes WLAN in Kuala Lumpur hänge, ist es dann ein sicheres VPN oder nicht?

Sicher wäre es erstmal! Denn VPN funktioniert so, als dass Du Dich erst ins WLAN in Kuala Lumpur einwählst und dann die VPN Verbindung herstellst! Dabei werden die Verbindungsdaten verschlüsselt übertragen und die Verbindung ist abhörsicher zwischen Deinem Rechner und dem Router zu Hause. Und alles was danach (bis zum Trennen der VPN Verbindung) passiert ebenfalls. Das ist VPN.

 

[Lapje]

Das Problem dabei aber: Die anderen Protokolle müssen auch unterstützt werden. Mein iPad z.B. unterstützt OpenVPN nativ gar nicht...

 

[dil88]

Android out of the box auch nicht, aber L2TP/IPSec läßt sich dort schnell einrichten. Wie sieht es damit unter IOS aus?

 

[Dennis-TW]

Was ist mit OpenVPN Connect für Android und iOS?

Über eine Distanz von 10.000 km hat es letztes Jahr im Heimaturlaub problemlos funktioniert.

 

[PeterPanther]

(...)
Unhackbar ist nichts auf der Welt! Du kannst heute (leider) nicht irgendwas unhackbares aufbauen und Dich dann darauf ausruhen!
(...)

Das ist mir klar, schrieb ich ja auch oben. Wenn aber der Aufwand fürs Hacken extrem ist, wird den bei mir keiner anstellen.

Ich bin aber immer noch unschlüssig, ob ich ein VPN einrichten soll. Ehrlich gesagt habe ich immer noch keine rechte Vorstellung davon, welche Risiken ich damit tatsächlich eingehe.

Und mal eine andere Überlegung. Ist es nicht auch möglich, sich in ein Heimnetz einzuhacken, ohne das ein externer Zugriff auf den Router oder die DS eingerichtet ist?

Und zu guter letzt: Wenn sich jemand wirklich ins Heimnetz einhackt, bedeutet ist er doch noch gar nicht auf der DiskStation, die ist ja mittels Benutzern paßwortgeschützt. Oder habe ich da einen Denkfehler??

 

[dil88]

Der Angriffspunkt bei VPN liegt m.W. (von PPTP abgesehen) nicht im Transfer sondern in den Endpunkten. Wenn die eine Seite korrumpiert ist, kommt der Angreifer auch durch den Tunnel ins andere Netz. Die DS ist passwortgeschützt, aber aus dem LAN heraus ist eine Attacke auf Schwachpunkte natürlich einfacher als aus dem Internet heraus in ein Netz, was durch NAT abgeschirmt ist.

 

[PeterPanther]

Das würde also bedeuten, daß ich mit einer VPN-Verbindung vom Handy ins Heimnetz kein zusätzliches Risiko eingehe, weil das Handy im Heimnetz ohnehin regelmäßig im WLAN hängt?


Wobei ich gerade bei der näheren Befassung mit der technischen Seite feststellen mußte, daß ich das ohnehin nicht werde umsetzen können. Bin bei Unitymedia und der Anschluß nutzt "DS Lite". Ärgerlich.

Trotzdem vielen Dank für Eure Auskünfte!

 

[TheGardner]

Jep! DS-lite verhagelt Dir eigentlich sofort sämtliche weiteren Gedankengänge! Vorerst! Denke das wird sich auch noch ändern und irgendwann verbessern.

Das ist mir klar, schrieb ich ja auch oben. Wenn aber der Aufwand fürs Hacken extrem ist, wird den bei mir keiner anstellen.
Ich bin aber immer noch unschlüssig, ob ich ein VPN einrichten soll. Ehrlich gesagt habe ich immer noch keine rechte Vorstellung davon, welche Risiken ich damit tatsächlich eingehe.

Zu dem Punkt vielleicht nochmal! Im Grunde ist der Gedanke beruhigend, dass sich bei einem -wie mir- keiner zum Hacken weiter anstellen wird. Aber im Endeffekt ist es ein Trugschluss, denn man sollte niemals irgendwas einrichten um sich dann darauf auszuruhen und ewatige Weiterentwicklungen der Sachen (die man eingerichtet hat und benutzt) kein Augenmerk mehr zu schenken.
Betrachten wir einmal folgendes Szenario was tatsächlich vor knapp einem Jahr in etwa so stattgefunden hat: Da wurden DSen gehackt, welche nach außen hin "zuu" offen gestellt worden sind und die Daten darauf mittels Verschlüsseler verschlüsselt, so dass die Eigentümer der Daten an diese so ohne weiteres nicht mehr rangekommen sind! Letztere hatten versäumt die DSM Updates von Synology nach dem Kauf weiter durchzuführen, was am Ende zu diesem Leck geführt hat.
In einem anderen Beispiel wurden Fritzboxen auf einmal angreifbar, weil dort auch irgendeine Schwachstelle ins Internet gesickert ist, welche Hacker aufgegriffen haben und für ihre Zwecke benutzen! Dies ist hernach auch zu einem Problem für all die geworden, die sich zwar eine Fritzbox gekauft hatten, danach aber keine Updates der Firmware mehr gemacht haben.

So oder so passiert immer irgendwo irgendwas! Meisstens brennt es aber an einer anderen Stelle, als man denkt, dass es passieren kann! Das müsstest Du Dir immer vor Augen halten! Ein Kumpel von mir hat 5 DiskStations in 4 Haushalten per VPN miteinander verbunden und nutzt -schon seit Jahren- trotzdem seinen administrativen Zugang von außen auf die Master-DS ohne VPN. Bis jetzt ist nichts passiert. Da kannst Du nochmal abwägen, ob Du nun mit oder ohne VPN agieren möchtest! Sicherer ist VPN - egal was Du tust!

 

[PeterPanther]

Stellt sich mir die Frage, wieso er überhaupt einen administrativen Zugriff von außen zunimmt. Und wenn schon, wieso dann nicht per VPN?

 

[TheGardner]

Keine Ahnung! Wahrscheinlich Faulheit das VPN Programm vorher zu starten bzw. es auf dem Arbeitsrechner wegen Restriktionen gar nicht installieren zu können! Aber ja, das ist der Punkt! Wenn alles über VPN funktioniert, dann auch nur so damit verbinden! Zuu viele Wege dahin zu kommen, wohin mal will sind Gift, auch wenn Sicherheit manchmal umständlicher ist!