Cloud Station Wie bekomme ich am einfachsten und sichersten Zugriff von extern auf mein NAS ?

Status
Für weitere Antworten geschlossen.

benjamin-123

Benutzer
Mitglied seit
07. Jul 2015
Beiträge
21
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich habe seit kurzem eine ds214play. Diese ist mittlerweile eingerichtet und es funktioniert auch alles was ich bisher brauche ganz gut.
Nun frage ich mich wie ich am Besten und sichersten von außerhalb Zugriff bekomme.

Es gibt so viele Begriffe:
- webdav
- openvpn
- couldstation
- ftp
- ...

Und ich habe wenig Ahnung was die Unterschiede sind und was für mich am besten klappt.
Die Ansprüche sind nicht besonders hoch denke ich, folgendes wäre wichtig:

- Zugriff auf einzelne Ordner oder alternativ auf alle Ordner (je nachdem wie sicherheitskritisch das Ganze ist)
- Insbesondere geht es darum mal ein paar Fotos des letzten Urlaubs zu zeigen, oder mal ein Video runterzuladen usw.
- Zugriff soll z.B. mit PC, Smartphone / Tablett möglich sein

Vielen Dank!
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.842
Punkte für Reaktionen
3.775
Punkte
468
Wenn du jeden einzelnen Dienst über passende Portweiterleitungen im Router zugänglich machen willst, wird das rasch unübersichtlich und unsicher.

Sie sicherste/bequemste Methode ist mit Abstand ein VPN-Zugang zum Router, falls dieser das unterstützt (z.B. eine Fritzbox)
Damit hat auch von unterwegs Zugriff auf das komplette Heimnetz, also auch auf die DS und ihre Dienste, wie wenn zu Hause im LAN/WLAN hingst.
 

benjamin-123

Benutzer
Mitglied seit
07. Jul 2015
Beiträge
21
Punkte für Reaktionen
0
Punkte
0
Ich bin bei Unitymedia und habe eine Horizon Box, damit geht das glaub nicht so einfach oder gar nicht habe ich gelesen...weiß da jemand mehr?
Reicht es nicht das ganze für die Filestation zu regeln und damit hätte man dann ja Zugriff...?!
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.842
Punkte für Reaktionen
3.775
Punkte
468
Die Filestation ist halt einer der DS-Dienste. Wenn dir das reicht? Ein Liste der Ports findest du im Wiki.

Es gibt auch die Möglichkeit, den VPN-Tunnel bis zur DS zu legen (Paket VPN-Server), wenn der Router selbst kein VPN kann. Ich selbst hab damit aber noch keine Erfahrungen.
 

benjamin-123

Benutzer
Mitglied seit
07. Jul 2015
Beiträge
21
Punkte für Reaktionen
0
Punkte
0
Und was ist sicherheitstechnisch die bessere Variante?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.842
Punkte für Reaktionen
3.775
Punkte
468
Sicherlich VPN, wenn es um viele Dienste geht.
Geht es nur um einige wenige, sind auch Portweiterleitungen hinreichend sicher. Allerdings sollte man nicht die Standard-Ports verwenden, die werden oft abgescannt, sondern auf exotische Ports ausweichen (also z.B. nicht 7001 -> 7001, sondern besser 16701 -> 7001). Ich hoffe, dein Router unterstützt das.
 

hopeless

Benutzer
Mitglied seit
18. Feb 2013
Beiträge
1.066
Punkte für Reaktionen
0
Punkte
56
Ich bin bei Unitymedia und habe eine Horizon Box, damit geht das glaub nicht so einfach oder gar nicht habe ich gelesen...weiß da jemand mehr?

War da nicht etwas mit IPv6 und keiner eigenen IPv4 Adresse wegen DS Lite. Musst du mal nach suchen, da ist auch hier im Forum einiges zu finden.
 

the_stig

Benutzer
Mitglied seit
28. Mai 2015
Beiträge
139
Punkte für Reaktionen
0
Punkte
16
(also z.B. nicht 7001 -> 7001, sondern besser 16701 -> 7001).
Das hatte ich noch nie verstanden. Ist es dann so, dass man von extern mit 16701 zugreift, und der Router intern auf 7001 weiterleitet, man also bei der Diskstation nicht überall die Standardports ändern muss?
 

frankyst72

Benutzer
Mitglied seit
01. Jun 2015
Beiträge
1.959
Punkte für Reaktionen
8
Punkte
58
Das hatte ich noch nie verstanden. Ist es dann so, dass man von extern mit 16701 zugreift, und der Router intern auf 7001 weiterleitet, man also bei der Diskstation nicht überall die Standardports ändern muss?
genau so ist das gemeint, richtig
 

benjamin-123

Benutzer
Mitglied seit
07. Jul 2015
Beiträge
21
Punkte für Reaktionen
0
Punkte
0
ist 17000 ports zu scannen so viel schwerer als 7001 ?
Sprich wenn 7001 unsicher ist, ist dann nicht 16701 auch unsicher?

Bzw. was bedeutet das eigentlich, wenn einer den port scannt und findet dort eine weiterleitung, heisst das direkt er hat Zugriff auf das NAS ?
Oder muss er dann erst noch den Benutzernamen + Passwort knacken... ?
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.802
Punkte für Reaktionen
179
Punkte
129
Nein es ist nicht schwerer, nur werden nicht immer alle Ports gescannt sondern nur die Häufigsten wenn man bei Millionen IPs Zehntausende von Ports scannt, dann dauert das doch schon eine Weile.
Und Ports haben nichts mit Zugangsdaten zu tuen, der Pförtner einer Firma sagt dir ja auch nur wo sich das Labor befindet, aber nicht den Zugangscode für die Tür. Und um bei dem Beispiel zu bleiben, wenn du den Pförtner nicht ans Haupttor setzt sondern irgendwo an ne kleine Tür hinter Bäume ist er eben nur für Leute zu finden die entweder einmal komplett um die Firma rumlaufen oder es direkt wissen.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.842
Punkte für Reaktionen
3.775
Punkte
468
@benjamin-123
Es gibt 65536 Ports auf Milliarden von PCs. Deshalb beschränken sich die meisten Portscanner nur auf die "well known ports", also die am häufigsten benutzen Ports. Sonst würde das zu lange dauern. Zu den "well known ports" gehören mit Abstand 80 (http), 21 (ftp), 22 (ssh), ... aber inzwischen auch 5000 und 5001 bei den DSen. Deshalb ist es besser, man weicht auf einen "exotischen" Port (>=10.000, <=65.536) aus. Was dann passiert, wenn der Port trotzdem als offen entdeckt wird (Passwort ...) ist eine andere Geschichte. heavy hat das sehr gut beschrieben.

Deshalb vermeidet man Portweiterleitungen am Besten, wenn möglich, ganz.
 

hopeless

Benutzer
Mitglied seit
18. Feb 2013
Beiträge
1.066
Punkte für Reaktionen
0
Punkte
56
Das ganze nennt sich dann "Security through obscurity" *, ob das die ganze Sache sicherer macht, nunja.
Zitat:

Dienste wie die Secure Shell oder MySQL nicht auf ihren standardisierten Ports, sondern auf anderen Ports laufen lassen. Bei einem automatisierten Angriff mit der Frequenz von 50 Millisekunden auf dem Niveau einer Paketumlaufzeit im Internet dauert das Ausprobieren aller 65.535 Ports knapp eine Stunde. Übliche Portscanner wie Nmap unterstützen meist einen parallelen Angriff (Multithreading) auf die einzelnen Ports, dadurch lässt sich der Zeitaufwand ohne weiteres auf unter 5 Minuten verkürzen.

*https://de.wikipedia.org/wiki/Security_through_obscurity
 

benjamin-123

Benutzer
Mitglied seit
07. Jul 2015
Beiträge
21
Punkte für Reaktionen
0
Punkte
0
Ok soweit ist das klar.
Aber angenomme es findet nun jemand offene Ports, was ja auch gar nicht zu verhindern ist, was passiert dann?
Sprich ist Port 80 / 22 / usw (die sowieso offen sind) sicher, d.h. hier ist es kein Problem dass sie jemand findet, aber Port 7001 wäre es nicht, oder wie kann man sich das vorstellen?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Da vergleicht man Äpfel mit Birnen :)
Grundsätzlich, wie das oben ja schon anklang, bietet jeder Dienst, egal auf welchem Port, eine gewisse Angriffsfläche dar. Auf Port 80 läuft der User-Webserver der DS (also solche Dinge wie Photo Station und 3rdParty-Dienste). Man läßt sie auch meist dort, weil man der zugreifenden Allgemeinheit ja nicht erzählen kann, dass man nicht den Standardport nutzt. Gleiches gilt für Port 443 für verschlüsselte https-Verbindungen. Wenn nun jemand an einen Port mit einem Dienst dahinter klopft, hängt es eigentlich nur von zwei Dingen ab, ob er Zugriff erlangen kann: von der Sicherheit des implementierten Dienstes einerseits, denn jede existierende Lücke bspw. in einem Apache-Webserver könnte ein Angreifer nutzen, auch wenn er unmittelbar kein Passwort kennt. Und andererseits natürlich von eben jenem Passwort - dieses muss hinreichend 'stark' sein, d.h. mindestens 8 Zeichen mit Groß- und Kleinbuchstaben, Zahlen und zulässigen Sonderzeichen. Ein Begriff, was man in jedem Wörterbuch findet, könnte da sehr riskant sein. Damit hier ein Angreifer nicht wild losprobieren kann, legt man ihm gerne noch ein paar Steinchen in den Weg, bspw. mit der automatischen IP-Sperre bei Falscheingabe.
Also kurz gesagt: Port 80 ist nicht mehr oder weniger sicher als andere Ports der DS, doch bei einigen Standardports vermeidet man das Umlegen. Wenn Du sonst niemandem außer Dir Zugriff gewähren willst, kannst Du natürlich solche Ports auch umlegen. Wenn es allerdings wirklich jemand auf Dich abgesehen hat, findet er auch andere umgelegte Ports - und dann brauchst Du gute Passwörter und das Vertrauen, dass der Angreifer keine Implementierungsfehler des Dienstes findet.
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat