Web, CalDav und CardDav Sicherheit beim remoute Zugriff???

[linuxdep]

Hi,

nachdem ich mir immer noch nicht grün bin, wie ich meine neue Box vom I-net zugreifbar mache, kommen mir so einige Fragen auf.
Möchte WIKI, CalDav, CardDav und Zertifikate per Let'sEncrypt nutzen von remoute.

1. Plan: nur VPN nach aussen offen auf 443... +alles sicher, -ohne VPN Client kein Zugriff, also nicht ganz so praktikabel.

2. Plan: alles über Port 443 nach außen bereitstellen, ist das machbar per reverse proxy???

wenn 2. nicht geht
3. Plan: VPN+Webserver auf 443, CalDav und CardDav über Port xxxxx & xxxxy,

Da stellt sich zu CalDav und CardDav die Frage, was hindert einen beliebigen I-Net User daran darauf zuzugreifen (aussen User/PW)?

Oder gibt es noch andere Praktikable Umsetzungen?

 

[West89]

https://www.synology.com/de-de/knowledgebase/DSM/help/DSM/AdminCenter/connection_certificate

Und dann musst du dir noch eine Dynds Adresse holen
und die in Distation einrichten.
Dann müsst noch den VPN Port den du nutzen willst in Router freigegeben.

 

[Frogman]

2. Plan: alles über Port 443 nach außen bereitstellen, ist das machbar per reverse proxy???

Ich empfehle Dir wärmstens Nextcloud zu installieren - das liefert Dir CalDAV und CardDAV, Du kannst über 443 verschlüsselt synchronisieren und Dich mit jedem Browser über https in der Nextcloud anmelden, um auf Kalender/Kontakte zuzugreifen.

 

[NSFH]

Sorry aber das ist kein Mehrwert!
Genau so kannst du auch alle gewünschten Dienste in der Syno auf den 443 oder sonst wo hin umlegen und nur via HTTPS nutzen. Du nutzt mit Nextcloud nur ein anderes Programm.
Die einzig sichere Methode ist VPN und das möglichst im Router und nicht auf der Syno!

 

[Frogman]

Diese zusammenfassenden Aussage geht doch ein ganzes Stück am Ziel vorbei. Das Jahr hat gerade erst so gut angefangen, deshalb werde ich hier jetzt keine Diskussion beginnen über Sinn und Unsinn bspw. von PPTP, Synologys OpenVPN-Standardalgorithmus Blowfish oder der Frage von starken Passwörtern.
Es geht letztlich um eine angemessene Konfiguration im Rahmen seines Schutzbedürfnisses. Und auch bei Einsatz von SSL über https und WebDAV/CardDAV gibt es ausreichend hohe Hürden (wenn man sie denn auch nutzt) für den sicheren Betrieb - erst recht für Privatanwender.

 

[linuxdep]

ein frohes gesundes Neues jahr auch allen noch!

@West89
das ist mir klar, das war nicht die Frage.

@NSFH
Das VPN der Königsweg ist, habe ich ja oben schon geschieben, aber ohne Client kein Zugriff... also nicht zu 100% praktikabel.

@Frogman
was Nextcloud mir mehr bringt, als die von syno bereitgestellten Dienste sehe ich erst mal nicht. Da ich ja nur C..Dav nutzen möchte und Wiki von aussen. Alles andere geht über VPN, aber bei den drei Sachen möchte ich gerne auch hinter einem Firmen-Proxy oder im Urlaub zugreifen können. Im letzten Urlaub ist mir das auf die Füße gefallen, da die FritzBox per default nur Port 80 und 443 zugelassen hat mit der Gastfreigabe. Da ging nicht mal mein VPN, weil auf anderem Port.

CalDav und CardDav gehen die über Webdav Protokoll? Damit wäre dies ja die Schwachstelle dann, je nachdem wie aktuell Syno das halt hält.

Dann wären ein paar Kniffe zu Reverse Proxy Konfiguration hilfreich, möglichst ohne Konsole, nicht das ich mich davor scheue, aber nach jedem Update alles wieder nachziehen, da habe ich genug Erfahrung gesammelt bei der alten Box. Das soll möglichst out of the box gehen.

 

[Frogman]

...
was Nextcloud mir mehr bringt, als die von syno bereitgestellten Dienste sehe ich erst mal nicht. Da ich ja nur C..Dav nutzen möchte und Wiki von aussen. Alles andere geht über VPN, aber bei den drei Sachen möchte ich gerne auch hinter einem Firmen-Proxy oder im Urlaub zugreifen können. ...

CalDav und CardDav gehen die über Webdav Protokoll? Damit wäre dies ja die Schwachstelle dann, je nachdem wie aktuell Syno das halt hält.

Ich schrieb es doch - CalDAV und CardDAV über eine von Synology unabhängige Implementierung, Zugriff über Port 443.

Ansonsten kannst Du auch mit etwas händischem Aufwand das OpenVPN der DS auf Port TCP-Port 443 einrichten, dann solltest du auch in exotischen Umgebungen keine Probleme mit einem Zugriff haben.