Zugriff auf freigegenen Ordner auf LAN begrenzen

[RalfPeter]

Hallo zusammen,

ich würde gerne einen freigegebenen Ordner nur über das LAN erreichbar machen. Also Zugriffe aus dem Adressbereich 192.168.xxx.xxx des DHCP sollen den Ordner sehen und nutzen dürfen (schreiben und lesen), Zugriffe aus dem WAN (also aus dem Internet) sollen unterbunden werden.

Dies soll nur für einen einzigen Ordner gelten. Hat jemand einen Tipp?

Danke und Grüße

 

[metalworker]

Das wird nicht funktionieren.
du kannst nur dienste so einschränken.

 

[Der Paul]

In der Firewall der DS kannst Du bei den Regeln "Windows file server" aus den "built-in applications" auswählen und unter Source IP Deine DHCP Range eingeben. Action ist dann "allow"

 

[metalworker]

Da kannst doch aber keinen ordner mit einschränken

 

[Ronny1978]

@metalworker hat recht. Einschränkungen über die DS Firewall gehen m. M. nach Diensten nicht nach Ordnern. Ordnerberechtigung/-beschränkungen muss du über die freigebenen Ordner regeln.

@RalfPeter : Kannst du mal etwas näher auf deinen Anwendungsfall eingehen? Warum möchtest du das so reglementieren?

 

[RalfPeter]

@RalfPeter : Kannst du mal etwas näher auf deinen Anwendungsfall eingehen? Warum möchtest du das so reglementieren?

Ja klar kann ich das näher erklären: die meisten meiner Dateien sind zwar wichtig (werden jeden Tag gesichert), würden aber im Verlustfall niemand anderem helfen oder etwas preisgeben.

Ich möchte aber auch Dateien ablegen (z.B. Passwortdateien aus KeyPass), die nur innerhalb des eigenen LAN geööfnet werden können sollen. Mit Keypass for Android hat man dann eine synchronisierte Datei auf dem Smartphone. Die Synchronisation ist aber nur innerhalb des LAN möglich und findet nie über öffentliche Zugänge statt.

Diese Dateien wären aber im Zweifel (jemand hakt und bekommt Zugang zu den Daten) z.B. auch per FileStation oder DS File zugreifbar.

Meine Idee: die sensiblen Dateien nur zugreifbar machen, wenn das zugreifende Gerät im LAN ist.

Aber vielleicht gibt es ja bessere Ansätze?

 

[metalworker]

Was hast denn von außen erreichbar gemacht? bzw. wie .

Ich hab das bei mir z.b. mir 2 getrennten NAS Systemen gelöst.

Alternativ könntest du auch ne V DSM aufsetzten , und nur dort daten rein die von außen erreichbar sein sollen.

 

[RalfPeter]

Zugreifbar ist (user und gruppen gesteuert): Fotos, Musik, Videos und die Dateien des Benutzers.

2 DS? Wow, Luxus

 

[metalworker]

nee ich meinte wie genau.
Also Portfreigabe nach außen ?

Vielleicht kannst es auch per VPN lösen?

Na als ITler . Und ich teste damit zuhause viel . Um dannach das auf Arbeit um zu setzen.

daher ist alles was direkt von außen erreichbar ist bei mir getrennt in der DMZ .

 

[Ronny1978]

Mit Keypass for Android hat man dann eine synchronisierte Datei auf dem Smartphone

Hallo RalfPeter,

danke für deine Info. Wenn es "nur" um Keepass geht, würde kurz erläutern, wie ich verfahre: Ich habe einen Ordner, wo nur 4 Personen Zugriff (+Admin) -> nämlich meine Familie (ich + Frau + 2 Kinder).

Punkt 1: Ich habe einen Reverse Proxy und keinen weiteren direkten Zugang von außen. Also ist der Zugriff per SFTP ohne Umwege NICHT möglich.
Punkt 2: Den SFTP Port habe ich gewechselt und in der OpnSense Firewall nur für Intern + VPN Nutzer freigegeben. Somit MUSS zwangsläufig von "Außen" VPN aktiviert werden.
Punkt 3: Ich nutze Keepass XC. Vorteil hier: Die Import/Exportfunktion. Ich bin der "Hauptadmin" der Datenbank und Exportiere für meine Familie 3 weitere "Teil"datenbanken.
Punkt 4: Zusätzlich zum Hauptpasswort ist BEIM Hauptadmin ein Yubikey zum Entschlüsseln erforderlich. Bei den "Unter"datenbanken gibt es jeweils ein KEYFILE, welche sich NUR auf den Endgeräten und NICHT auf dem NAS befinden.
Punkt 5: Jetzt kommt sicherlich die Frage? Was ist wenn das/die KEYFILE(S) weg ist/sind? Sind sie nicht, Sie befinden sich als Anhang in meiner Keepass HAUPTDATENBANK.

In der Theorie könnte ich sogar die Datenbank in einen Cloudspeicher stellen, solange niemand meinen Yubikey in die Hand bekommt.

Vielleicht hilft dir das weiter.

P.S. Auf den Smartphones nehme ich Keepass2Android mit SFTP und Passwort + Challenge Response (Yubikey)

 

[RalfPeter]

@Ronny1978 : das habe ich nur in Teilen verstanden. Bisher gibt es 2 kdbx Dateien, je eine für je einen Benutzer. Ich möchte nicht, dass diese Dateien "geklaut" werden.

Bei deiner Lösung: wenn ich deinen Benutzer "hake" (nur theoretisch) dann könnte ich doch per FileStation oder DS File die Datenbank klauen. Dann fehlte mir "nur" noch das Masterpasswort um die Datei entschlüsseln zu können. Stimmt das?
Besser würde mir gefallen, wenn man diese Dateien nur aus dem LAN lesen könnte (was vermutlich nicht geht).

Vielleicht könnte ich einen Benutzer anlegen, der keine Dienste und keine Rechte an sonstigen Ordnern hat, nur diesen einen Ordner (auch kein home) benutzen darf. Diesen Ordner (nennen wir ihn geheim), sperre ich auch für alle anderen Benutzer. Dieser "Geheimbenutzer" darf nur WebDAV. Den Port für WebDAV lasse ich im Router und der Firewall geschlossen.
Vermutlich (ganz sicher) könnte trotzdem jemand mit dem Benutzer root Zugriff erlangen. Aber es scheint schon viel schwerer zu sein. Oder bin ich paranoid :-( ?

 

[Ronny1978]

deinen Benutzer "hake" (nur theoretisch) dann könnte ich doch per FileStation oder DS File die Datenbank klauen

Jein. Hacken geht nur mit einem 2. Faktor -> Yubikey als Hardwareschlüssel . Solange du den nicht hast, dann "kommst du net rein".

Ich gehe mal davon aus, du hättest es an der 2FA vorbei auf mein NAS geschafft und hättest meine Datenbank bei dir auf dem PC/Laptop ->

Dann fehlte mir "nur" noch das Masterpasswort um die Datei entschlüsseln zu können. Stimmt das?

NEIN!!! Zusätzlich zum Masterpasswort benötigt du zum Entschlüsseln immer noch MEIN Yubikey. Der stellt den 2. Faktor für die Datenbank dar. Ich habe eine Sicherheitskopie der Datenbank bei mir auf Arbeit. Eine Sicherheitskopie - wo auch immer - halte ich für Pflicht. Bei meiner Frau und meinen Kindern ist der 2. Faktor der Datenbank das KEYFILE. Und das liegt nur auf dem Endgerät. Also müsstest du dort nicht nur auf das NAS kommen, um die Unterdatenbank zu stehlen, sondern auch noch auf das Handy bzw. den Laptop, müsstest schauen, was das KEYFILE ist und auch dort das Masterpasswort haben. Wie wahrscheinlich ist das für dich???

Vielleicht könnte ich einen Benutzer anlegen, der keine Dienste und keine Rechte an sonstigen Ordnern hat, nur diesen einen Ordner (auch kein home) benutzen darf

Kannst du natürlich > Freigabeordner KEEPASS -> Benutzer A1 und B1, zum Beispiel.

sperre ich auch für alle anderen Benutzer

Perfekt.

Dieser "Geheimbenutzer" darf nur WebDAV. Den Port für WebDAV lasse ich im Router und der Firewall geschlossen.

Würde ich nicht machen. Nutze SFTP und KEINE Portweiterleitung. Nutze die VPN auf deinem Router. Wenn du eine Fritzbox hast -> Wireguard. Somit kommen nur Nutzer, die auch VPN dürfen auf dein NAS, müssen den Ordner kennen, dürfen SFTP nutzen, müssten das Passwort kennen und im Idealfall die 2FA im NAS überwinden. Dann das Masterpasswort kennen und haben auch noch den 2. Faktor der Datenbank. Wenn er ALL DAS schafft, hat er meine Datenbank auch verdient.

Vermutlich (ganz sicher) könnte trotzdem jemand mit dem Benutzer root Zugriff erlangen

Nochmal: Dann hat er deine Datenbank. Aber das Masterpasswort und den 2. Faktor der Datenbank hat er immer noch nicht.

Oder bin ich paranoid :-( ?

Naja, ist ja nicht immer schlimm, vorsichtig zu sein.

Darf ich mal neugierig sein.

Bisher gibt es 2 kdbx Dateien, je eine für je einen Benutzer

Bist das du und dein(e) Partner(in), ob mit Ring oder ohne? Pflegt dein "Gegenüber" die Datenbank selbst? Meine Frau macht das ungern. Daher bei mir Export von meiner Hauptdatenbank und Import bei ihr. Ändere ICH einen Eintrag bei mir, welchen auch sie nutzt, dann wird der automatisch bei ihr aktualisiert. Dafür gibt es ein Keepass SHARE, welches ein 80-stelliges Passwort hat. Du siehst: "Paranoid" liegt im Auge des Betrachters.

Nutzt du Keepass2 oder KeepassXC?

 

[RalfPeter]

Danke dir für deine umfangreiche Antwort. Ich werde das nochmals in Ruhe lesen und versuchen es nachzustellen.

Meine Frau möchte eine eigene Datei, die sie selbst pflegt. So gut wie immer am Handy. Und ich möchte auch nicht alle ihre Einträge pflegen (und will auch keinen Zugang zu ihren Anmeldungen).

Diese Änderungen werden dann (nur zur Sicherheit) in die Datei (kdbx) synchronisiert, sobald Keepass2Android (Handy) im LAN gestartet wird. Auf den PCs / Laptops läuft Keepass2.

 

[Ronny1978]

Ergänzung zu all dem: Ein Yubikey - MIT NFC!!! - hat sich definitiv bei mir gelohnt. Sowohl meine Frau, als auch meine Kinder haben jeder einen eigenen. Und der lässt sich mittlerweile für so vieles nutzen: Google, Apple, Paypal, Amazon alles was Passkeys unterstützt. Als Hardwareschlüssel zum Beispiel bei Google, Microsoft, Synology usw. und natürlich auch für OTP Codes. Als Hardwareschlüssel und OTP Backup, hat jeder noch einen Token2. Der kann aber kein Challenge Response (für Keepass) ist aber billiger.

 

[Ronny1978]

Meine Frau möchte eine eigene Datei, die sie selbst pflegt

Alles gut. War nur eine Frage.

Diese Änderungen werden dann (nur zur Sicherheit) in die Datei (kdbx) synchronisiert, sobald Keepass2Android (Handy) im LAN gestartet wird

Passt. Es gibt auch am Handy eine lokale Kopie. VPN bekommt deine Frau mit Sicherheit auch hin.

Keepass2Android (Handy) im LAN gestartet wird

Per SFTP? oder Webdav? Ich würde SFTP bevorzugen.

Auf den PCs / Laptops läuft Keepass2

Schau dir trotzdem mal KeepassXC an. Da gibt es zwar keine Plugins, aber ein Yubikey wird NATIV unterstützt, auch bei Keepass2Android.

Ich werde das nochmals in Ruhe lesen und versuchen es nachzustellen

Erstelle dir eine Kopie deiner Datenbank auf dem Laptop und teste einfach. Oder mach eine neue Datenbank auf.

Wenn du Hilfe brauchst. Sag bescheid.

 

[NSFH]

Schon mal C2 Password (kostenfrei) probiert?
Funktioniert auf allen Systemen super und ist immer verfügbar.
Ja man nutzt die Cloud dafür aber die ist nicht unsicherer als die heimische Syno am Internet!

 

[Ronny1978]

Schon mal C2 Password (kostenfrei) probiert?

Grundsätzlich nicht schlecht. Aber so wie Synology mit den privaten Nutzern derzeit umgeht??? Ein NEIN von meiner Seite. Warte mal noch 1-2 Jahre dann kostet das auch.

 

[metalworker]

Na dann vielleicht eher sowas wie Vaultwarden

 

[Ronny1978]

Auch du hast recht. Aber das war, glaube ich Docker, oder? Da weiß ich nicht, was der TE dazu meint.

 

[NSFH]

Grundsätzlich nicht schlecht. Aber so wie Synology mit den privaten Nutzern derzeit umgeht??? Ein NEIN von meiner Seite. Warte mal noch 1-2 Jahre dann kostet das auch.

Deine Aussage trifft somit auch auf jedes andere kostenfreie Programm ebenfalls zu. Dann am besten zu Hause bleiben, es könnte einem der Himmel auf den Kopf fallen!