Cloud Station Wie bekomme ich am einfachsten und sichersten Zugriff von extern auf mein NAS ?

[benjamin-123]

Hallo,

ich habe seit kurzem eine ds214play. Diese ist mittlerweile eingerichtet und es funktioniert auch alles was ich bisher brauche ganz gut.
Nun frage ich mich wie ich am Besten und sichersten von außerhalb Zugriff bekomme.

Es gibt so viele Begriffe:
- webdav
- openvpn
- couldstation
- ftp
- ...

Und ich habe wenig Ahnung was die Unterschiede sind und was für mich am besten klappt.
Die Ansprüche sind nicht besonders hoch denke ich, folgendes wäre wichtig:

- Zugriff auf einzelne Ordner oder alternativ auf alle Ordner (je nachdem wie sicherheitskritisch das Ganze ist)
- Insbesondere geht es darum mal ein paar Fotos des letzten Urlaubs zu zeigen, oder mal ein Video runterzuladen usw.
- Zugriff soll z.B. mit PC, Smartphone / Tablett möglich sein

Vielen Dank!

 

[Benares]

Wenn du jeden einzelnen Dienst über passende Portweiterleitungen im Router zugänglich machen willst, wird das rasch unübersichtlich und unsicher.

Sie sicherste/bequemste Methode ist mit Abstand ein VPN-Zugang zum Router, falls dieser das unterstützt (z.B. eine Fritzbox)
Damit hat auch von unterwegs Zugriff auf das komplette Heimnetz, also auch auf die DS und ihre Dienste, wie wenn zu Hause im LAN/WLAN hingst.

 

[benjamin-123]

Ich bin bei Unitymedia und habe eine Horizon Box, damit geht das glaub nicht so einfach oder gar nicht habe ich gelesen...weiß da jemand mehr?
Reicht es nicht das ganze für die Filestation zu regeln und damit hätte man dann ja Zugriff...?!

 

[Benares]

Die Filestation ist halt einer der DS-Dienste. Wenn dir das reicht? Ein Liste der Ports findest du im Wiki.

Es gibt auch die Möglichkeit, den VPN-Tunnel bis zur DS zu legen (Paket VPN-Server), wenn der Router selbst kein VPN kann. Ich selbst hab damit aber noch keine Erfahrungen.

 

[benjamin-123]

Und was ist sicherheitstechnisch die bessere Variante?

 

[Benares]

Sicherlich VPN, wenn es um viele Dienste geht.
Geht es nur um einige wenige, sind auch Portweiterleitungen hinreichend sicher. Allerdings sollte man nicht die Standard-Ports verwenden, die werden oft abgescannt, sondern auf exotische Ports ausweichen (also z.B. nicht 7001 -> 7001, sondern besser 16701 -> 7001). Ich hoffe, dein Router unterstützt das.

 

[hopeless]

Ich bin bei Unitymedia und habe eine Horizon Box, damit geht das glaub nicht so einfach oder gar nicht habe ich gelesen...weiß da jemand mehr?

War da nicht etwas mit IPv6 und keiner eigenen IPv4 Adresse wegen DS Lite. Musst du mal nach suchen, da ist auch hier im Forum einiges zu finden.

 

[the_stig]

(also z.B. nicht 7001 -> 7001, sondern besser 16701 -> 7001).

Das hatte ich noch nie verstanden. Ist es dann so, dass man von extern mit 16701 zugreift, und der Router intern auf 7001 weiterleitet, man also bei der Diskstation nicht überall die Standardports ändern muss?

 

[frankyst72]

Das hatte ich noch nie verstanden. Ist es dann so, dass man von extern mit 16701 zugreift, und der Router intern auf 7001 weiterleitet, man also bei der Diskstation nicht überall die Standardports ändern muss?

genau so ist das gemeint, richtig

 

[benjamin-123]

ist 17000 ports zu scannen so viel schwerer als 7001 ?
Sprich wenn 7001 unsicher ist, ist dann nicht 16701 auch unsicher?

Bzw. was bedeutet das eigentlich, wenn einer den port scannt und findet dort eine weiterleitung, heisst das direkt er hat Zugriff auf das NAS ?
Oder muss er dann erst noch den Benutzernamen + Passwort knacken... ?

 

[heavy]

Nein es ist nicht schwerer, nur werden nicht immer alle Ports gescannt sondern nur die Häufigsten wenn man bei Millionen IPs Zehntausende von Ports scannt, dann dauert das doch schon eine Weile.
Und Ports haben nichts mit Zugangsdaten zu tuen, der Pförtner einer Firma sagt dir ja auch nur wo sich das Labor befindet, aber nicht den Zugangscode für die Tür. Und um bei dem Beispiel zu bleiben, wenn du den Pförtner nicht ans Haupttor setzt sondern irgendwo an ne kleine Tür hinter Bäume ist er eben nur für Leute zu finden die entweder einmal komplett um die Firma rumlaufen oder es direkt wissen.

 

[Benares]

@benjamin-123
Es gibt 65536 Ports auf Milliarden von PCs. Deshalb beschränken sich die meisten Portscanner nur auf die "well known ports", also die am häufigsten benutzen Ports. Sonst würde das zu lange dauern. Zu den "well known ports" gehören mit Abstand 80 (http), 21 (ftp), 22 (ssh), ... aber inzwischen auch 5000 und 5001 bei den DSen. Deshalb ist es besser, man weicht auf einen "exotischen" Port (>=10.000, <=65.536) aus. Was dann passiert, wenn der Port trotzdem als offen entdeckt wird (Passwort ...) ist eine andere Geschichte. heavy hat das sehr gut beschrieben.

Deshalb vermeidet man Portweiterleitungen am Besten, wenn möglich, ganz.

 

[hopeless]

Das ganze nennt sich dann "Security through obscurity" *, ob das die ganze Sache sicherer macht, nunja.
Zitat:

Dienste wie die Secure Shell oder MySQL nicht auf ihren standardisierten Ports, sondern auf anderen Ports laufen lassen. Bei einem automatisierten Angriff mit der Frequenz von 50 Millisekunden auf dem Niveau einer Paketumlaufzeit im Internet dauert das Ausprobieren aller 65.535 Ports knapp eine Stunde. Übliche Portscanner wie Nmap unterstützen meist einen parallelen Angriff (Multithreading) auf die einzelnen Ports, dadurch lässt sich der Zeitaufwand ohne weiteres auf unter 5 Minuten verkürzen.

*https://de.wikipedia.org/wiki/Security_through_obscurity

 

[benjamin-123]

Ok soweit ist das klar.
Aber angenomme es findet nun jemand offene Ports, was ja auch gar nicht zu verhindern ist, was passiert dann?
Sprich ist Port 80 / 22 / usw (die sowieso offen sind) sicher, d.h. hier ist es kein Problem dass sie jemand findet, aber Port 7001 wäre es nicht, oder wie kann man sich das vorstellen?

 

[Frogman]

Da vergleicht man Äpfel mit Birnen
Grundsätzlich, wie das oben ja schon anklang, bietet jeder Dienst, egal auf welchem Port, eine gewisse Angriffsfläche dar. Auf Port 80 läuft der User-Webserver der DS (also solche Dinge wie Photo Station und 3rdParty-Dienste). Man läßt sie auch meist dort, weil man der zugreifenden Allgemeinheit ja nicht erzählen kann, dass man nicht den Standardport nutzt. Gleiches gilt für Port 443 für verschlüsselte https-Verbindungen. Wenn nun jemand an einen Port mit einem Dienst dahinter klopft, hängt es eigentlich nur von zwei Dingen ab, ob er Zugriff erlangen kann: von der Sicherheit des implementierten Dienstes einerseits, denn jede existierende Lücke bspw. in einem Apache-Webserver könnte ein Angreifer nutzen, auch wenn er unmittelbar kein Passwort kennt. Und andererseits natürlich von eben jenem Passwort - dieses muss hinreichend 'stark' sein, d.h. mindestens 8 Zeichen mit Groß- und Kleinbuchstaben, Zahlen und zulässigen Sonderzeichen. Ein Begriff, was man in jedem Wörterbuch findet, könnte da sehr riskant sein. Damit hier ein Angreifer nicht wild losprobieren kann, legt man ihm gerne noch ein paar Steinchen in den Weg, bspw. mit der automatischen IP-Sperre bei Falscheingabe.
Also kurz gesagt: Port 80 ist nicht mehr oder weniger sicher als andere Ports der DS, doch bei einigen Standardports vermeidet man das Umlegen. Wenn Du sonst niemandem außer Dir Zugriff gewähren willst, kannst Du natürlich solche Ports auch umlegen. Wenn es allerdings wirklich jemand auf Dich abgesehen hat, findet er auch andere umgelegte Ports - und dann brauchst Du gute Passwörter und das Vertrauen, dass der Angreifer keine Implementierungsfehler des Dienstes findet.