DSM 6.x und darunter Zugriff via Internet für bestimmte Benutzer sperren

[Unipac]

Hallo zusammen!

Ich habe eine DS216+ mit DSM 6.0. Dazu einen User mit dem ich die Administration machen möchte und auch von überall zugreifen, daher den externen Zugriff via Internet aktiviert. Klappt auch super.
Dann habe ich einen weiteren User, der nur via LAN auf Shares der DS zugreifen soll. Doch auch dieser User kann sich via Webfrontend über's Internet anmelden. Ich habe File Station usw. alles gesperrt, Anmeldung geht immer noch und der Benutzer sieht z.B. den Document Viewer. Über diesen kann er wieder zu seinen Freigaben browsen.
Genau das soll nicht gehen. Der Benutzer soll gar nicht aus dem Internet zugreifen können und keine Anmeldung an der DS von extern möglich sein - sondern einfach nur Shares nutzen.

Kann man das irgendwie konfigurieren?

Danke vorab!
UP


PS: Ich habe natürlich schon gesucht und für mein Problem keine Lösung gefunden... es scheint wohl nur was für die PhotoStation zu geben, für die man extra User anlegen kann, die dann nur das eine können und sonst nix.

 

[Puppetmaster]

Du kannst das nicht auf einzelne Nutzer beschränken.

Verstehe aber auch das Problem nicht so ganz, weshalb der User zwar von intern auf die Weboberflächen kommen darf, nicht aber von ausserhalb?!

Du könntest allenfalls als workaround nur den Zugang per VPN gestatten, damit wäre der DSM von aussen so erst einmal nicht erreichbar.

 

[Unipac]

Du kannst das nicht auf einzelne Nutzer beschränken.

Verstehe aber auch das Problem nicht so ganz, weshalb der User zwar von intern auf die Weboberflächen kommen darf, nicht aber von ausserhalb?!

Du könntest allenfalls als workaround nur den Zugang per VPN gestatten, damit wäre der DSM von aussen so erst einmal nicht erreichbar.

Er soll gar nicht auf das Webinterface kommen wenn das geht. Er soll nur via Windows-PC und LAN auf Shares kommen die auf der DS liegen.

Es geht mir um die Security: nicht jeder Nutzer hat ein sicheres Windows Kennwort am Desktop der nur daheim verwendet wird. Solange der nur am lokalen Gerät ist, ist ein unsicheres Kennwort auch in Ordnung. Und wenn ich den Zugriff nicht einschränken kann wie gewünscht (nämlich externer Zugriff aus dem Internet nur für bestimmte User erlauben), dann habe ich nur zwei bzw. mit VPN drei Möglichkeiten:

1. Den externen Zugriff deaktivieren - damit kann ich gar nix mehr remote machen
2. Den lokalen Windows User dazu bringen, sich wegen der neuen tollen Diskstation sich jetzt ein komplexes Kennwort einfallen zu lassen - da freut Frau sich sicherlich drüber wenn sie das bei jedem Anmeldevorgang eingeben muss um wie bisher auch auf Fotos zugreifen zu können
3. Zugriff nur noch via VPN - dann ist aber alles was nur http erlaubt (Firma, Hotspots usw.) auch wieder aussen vor, da kann ich fast gleich Lösung 1 umsetzen.

Hoffe mein Problem ist jetzt verständlicher und es gibt vielleicht doch noch eine Lösung!

 

[Fusion]

Was ist eigentlich Document Viewer? Der Syno Text Editor?
Wenn du einen Benutzer hast und keine Anwendungen erlaubst, kann er ja auch im DSM GUI nur den Text Editor und seine Freigaben sehen.

Dann könnte man noch probieren den DSM auf einen dem User unbekannten Port zu legen. Ob der Port nicht aber auch via Netzwerkannouncements doch bekannt wird, gute Frage. So eine Konstellation wollte ich noch nie umsetzen mit einem Syno-NAS.

Edit: Und bitte keine Vollzitate, schon gar nicht bei direkten Antworten. Danke.

 

[Fusion]

Ja, ist schon klarer.

Was du unter 3 ansprichst verstehe ich nicht. Meinst du eine generelle Nicht-Nutzbarkeit von VPN extern? Weil wenn erstmal der VPN Tunnel steht ist es total egal welches Protokoll (http/https) du innerhalb des Tunnel nutzt.

 

[Unipac]

Was ist eigentlich Document Viewer? Der Syno Text Editor?im DSM GUI nur den Text Editor und seine Freigaben sehen.

Das Ding heisst so... aber Freigaben sehen/zugreifen will ich trotzdem nicht. Siehe unten!

Dann könnte man noch probieren den DSM auf einen dem User unbekannten Port zu legen.

Es geht nicht darum, dass der User nicht zugreift via Web, damit hätte ich keinen Stress. Es geht darum, dass ich damit im Web exponiert die Freigaben präsentiere und nur durch ein schwaches Kennwort schütze. Hat mich der "Sicherheitsberater" drauf aufmerksam gemacht - ich wusste gar nicht, dass man mit dem User auch rankommt, der hatte nur Berechtigung auf die Shares und nicht für externen Zugriff. Zum schwachen Kennwort habe ich ja oben was geschrieben.

Was du unter 3 ansprichst verstehe ich nicht. Meinst du eine generelle Nicht-Nutzbarkeit von VPN extern?

Viele Firmen (auch meine) und Hotspots verbieten die Nutzung von VPN bzw. lassen einfach nur http zu. Daher wäre das schon eine Einschränkung.

Hab's grade mit nem Kollegen davon gehabt (auch IT Branche wie ich), dass man auf App und Share Ebene so granular ACLs vergeben kann ist lobenswert aber dass man den externen Webzugriff nicht managen kann ist schon etwas schwach wenn ich mir anschaue was das Ding sonst alles kann...

Eine Lösung wäre für die Shares einen eigenen User anzulegen (also nicht der, der sich in Windows anmeldet) und ein komplexes Kennwort vergeben. Die Shares dann permanent verbinden mit den entsprechenden (komplexen) Credentials und Frau ist glücklich. Nicht perfekt, aber besser als so.

Hoffe das mit Zitaten ist nur besser, sorry

 

[Fusion]

Ja, danke. Ich kann dir schon folgen, ist halt nicht die Zielsetzung von Synology.
Wenn es möglich ist, stelle ein Feature Request bei Synology, je mehr das machen desto eher wird mal was geändert, zumal die bessere Separierung zwischen internem/externem Zugriff ja schon mal ein Gerücht für den DSM 6 war, vielleicht bekommen wir es dann mit DSM 6.x wenn ein paar mehr Leute anklingeln.

Und Hotspots die VPN verbieten oder gar nur plain-text http erlauben sind ja mal total sinnbefreit. Die würde ich schon grundsätzlich nicht nutzen, da ja alles mit Authentifizierung flach fällt, wenn die Passwörter im Klartext über die Leitung gehen.
Genauso wenn die Firma nur http zulässt, finde ich fast schon fahrlässig (z.B. Kontos bei Lieferanten etc.), wenn das nicht über einen ganz anderen Weg abgehandelt wird.

 

[rednag]

Alternativ kannst Du die User auch zu sicheren Passwörtern "zwingen".

 

[Unipac]

Ich habs jetzt so gelöst dass ich die Shares in Windows mit anderem User verbinde und der User dann ein komplexes Passwort bekommt. Es ging ja genau darum einen User daheim nicht zu einem komplexen Passwort zu seiner Windows Anmeldung zu zwingen da unnötig in dem Szenario (bzw. nur nötig mangels fehlender Möglichkeit, die Berechtigung für intern/extern Zugriff abzubilden).
Generell wundere ich mich, dass einige Apps in "Berechtigungen" auftauchen, andere jedoch nicht. So richtig rund ist das irgendwie nicht hab ich das Gefühl.

Wie kann ich denn einen Feature Request stellen?

Das mit http und https wurde wohl falsch verstanden, mit nur "http" meinte ich das Protokoll an sich, ob jetzt mit oder ohne s. Aber darum geht's nicht, VPN ist geblockt (und wegen Split Tunnel und damit Drittnetzbindung auch sinnvoll, aber das ist ja nicht Thema hier).

 

[Frogman]

...Generell wundere ich mich, dass einige Apps in "Berechtigungen" auftauchen, andere jedoch nicht. .

Es tauchen dort diejenigen Apps auf, die als Systemanwendung laufen, wie zB. die File Station, Audio und Video Station usw. - alle Apps, die auf dem User-Webserver aufsetzen wie bspw. die Photo Station, tauchen nicht auf.

 

[Nightlover]

Was ist eigentlich Document Viewer? Der Syno Text Editor?

Nein mit Document Viewer können unterschiedliche Dokumente, von Microsoft Office bis OpenOffice, mühelos und schnell angezeigt werden. Mit einem verschlüsselbaren Link können Sie Dokumente sogar auf einfache Weise freigeben.

Night

 

[Fusion]

@nightlover - ja, ist mir bei der Durchsicht von DSM 6 Paketen auch gekommen. Unter DSM 5 war das ja noch view in gdocs etc.

 

[anarchy]

Ich habe eine DS216+ mit DSM 6.0. Dazu einen User mit dem ich die Administration machen möchte und auch von überall zugreifen, daher den externen Zugriff via Internet aktiviert. Klappt auch super.
Dann habe ich einen weiteren User, der nur via LAN auf Shares der DS zugreifen soll. Doch auch dieser User kann sich via Webfrontend über's Internet anmelden.

Ich versuche mich zur Zeit an einer ähnlichen Konstellation.
Meine Frage: Gibst du das komplette DSM Frontend frei (also http Port 5000 oder https Port 5001) oder speziell nur den FileManger?
Kommt halt darauf an, was du alles aus der Ferne administrierst... wenn du nur Zugriff auf die Dateien haben möchtest, würde ja der FileManger langen.

So habe ich es jetzt aktuell bei mir gelöst:
Im Anwendungsportal für den FileManger den benutzerdefinierten Port aktiviert, und nur diesen Port für den Zugriff von außen freigeschaltet (Beim Einloggen über das Webfrontend geht dann nur der FileManger auf, sonst nichts... keine Menüs, nur der reine FileExplorer)
Anschließend allen Nutzern, die erst gar nicht auf den FileManager per WebGui zugreifen sollen (sondern nur SMB) diese Rechte in der Benutzersteuerung (Applikationen) entzogen.
Somit kann sich über das von außen erreichbare Webfrontend des FileManagers nur der User einloggen, dem ich die Rechte gelassen habe.
Alle "internen" SMB User dürfen sich nicht einloggen.

Wenn du nun jedoch mit deinem Admin-User auch auf Systemsteuerung etc. zugreifen möchtest, funktioniert das ganze natürlich nicht mehr...

 

[BigRonin]

Geht nicht gibt es nicht & Sicherheit geht vor

Grundsätzlich würde ich davon Abstand nehmen die DS direkt über das Internet verfügbar bzw. erreichbar zu machen. Die Vergangenheit hat gezeigt dass selbst bei größter Sorgfalt seitens Synology die DS bzw. der DSM durch Fehler oder Hacks für Unbefugte erreichbar sein kann. Der Standart Port zur Weboberfläche ist ziemlich bekannt und stellt für sich keine wirkliche Hürde dar.

Ausgenommen davon natürlich die extra dafür vorgesehenen Anwendungen wie Audio Station oder Photo Station.

Ich denke man muss sich entscheiden: Sicherheit ODER Komfort

Ich habe für mich entschieden dass mir Sicherheit vor allem anderem vorgeht. Dazu gehört für mich:

• Ändern der beiden Standart Ports der Weboberfläche auf etwas weit weg von 5000 und 5001.
• Zwangsumleitung von http Aufrufen auf https.
• Die Automatische Blockierung aktivieren.
• Die Firewall aktivieren.
• Wenn SSH benötigt wird dann auch diesen Port ändern.
• Anlegen eines Benutzers der nur eine einzige Freigabe hat: VPN Zugang und nicht der Gruppe der Administratoren angehört.
• Einrichten eines VPN Zuganges.

Damit kann sich nur der für diesen Zweck erstellte VPN-Benutzer bei dem VPN-Server anmelden. Ist dies geschehen kann man sich mit dem Administrator Account an der DS anmelden und nach Herzenslust administrieren. Klingt erstmal kompliziert, wenn eine VPN Verbindung erstmal auf dem Client eingerichtet ist, beschränkt sich der Aufwand auf die eigentliche Anmeldung mit dem Admin-Account an der DS.

Sollen bestimmte Benutzer ebenfalls Zugriff von Extern erhalten, dann können diese ebenfalls die Freigabe zur Anmeldung am VPN-Server erhalten.

Wenn jemand bei seiner Firewall oder Router, aus welchen Gründen auch immer, alles außer http und https sperrt, wird auch die nötigen Ports zur Weboberfläche der DS sperren. Insofern würde es eh keine Rolle spielen ob der Zugang zur DS direkt oder über VPN geregelt ist, da dann beides nicht funktioniert.

Grundsätzlich muss ich den Clients in meinem Netzwerk ein gewisses Verrauen entgegen bringen. Kann ich dies nicht weil es da z.B. den experimentierfreudigen und neugierigen Filius gibt, muss ich weitere Maßnahmen treffen das diesem z.B. durch geeignete Software der Zugang zur Weboberfläche verweigert wird.

Ich würde aber sagen, mit ein bisschen Aufwand lässt sich auch mit einer DS von Synology nahezu jede Zugangsregelung verwirklichen ohne Kompromisse in der Sicherheit eingehen zu müssen. Ein geht nicht gibt es nicht.

In diesem Sinne,
BigRonin

 

[anarchy]

Grundsätzlich stimme ich dir vollkommen zu, auch ich würde einen Admin-Zugriff auf meine Syno nicht ohne VPN freigeben.
Ich nutze zwar nicht die VPN-Funktion der Syno direkt, aber ich muss mich erst einmal in mein Netzwerk einwählen, bevor ich auf die DSM-Seite komme!
Solange ich mich jetzt in meinem internen Netzwerk bewege, sehe ich aber keine zwingende Bewandtnis, die Standardports zu ändern!?
Wenn ich in meinem Router keine Ports nach außen freigegeben habe, bleibt der Rest ja intern und dann ist es egal, ob SSH auf 22 oder 2222 läuft... Ähnlich verhält es sich mit den anderen Ports.

Ich selbst war auf der Suche nach einer gelegentlichen, komfortablen Zugriffsmöglichkeit auf bestimmte Dateien für Externe.
Dafür bot sich der FileManger an, und da man ihn ohne zusätzliche DSM-Oberfläche direkten über einen Port aufrufen kann, wird der Zugriff auf die Administrations-DSM Seite unterbunden.
Das dieser Port von außen nicht der Standardport der Syno ist, sondern von einem beliebig hohen "Außenport" auf den richtigen internen Port geforwarded wird, versteht sich von selbst
Auch wird dieser Port bei mir nicht immer freigeschaltet sein, sondern nur, wenn er gebraucht wird. Ansonsten ist alles dicht und von außen die Syno unsichtbar.

 

[Unipac]

Mein Router kann leider kein VPN, daher muss das die DS selbst tun. Aus der Firma geht via Proxy kein VPN (was auch sinnvoll ist), daher wollte ich ja die Adminoberfläche freigeben aber eben reglementieren.
Für Cloud Station muss ich ja auch einen weiteren Port freigeben... bin mir noch nicht sicher wie ich das in Zukunft lösen werde. Ich vertraue aber auch mal auf Syn dass hier in der Loginthematik keine üblen Schnitzer drin sind die es einfach machen von außen zuzugreifen.

Einen Ansatz finde ich aber gut der hier so ähnlich genannt wurde: VPN aktiv, externer Zugriff nicht erlaubt. Wenn ich das brauche kann ich ja via Handy VPN auf die DS machen und dann den externen Zugriff bedarfsorientiert aktivieren.

Den externen Port habe ich natürlich geändert im Router damit nicht zumindest sofort klar ist was es ist wenn man auf 5000/5001 scannt gezielt.

 

[linuxdep]

Hi gibt's dazu eigentlich mit DSM 6.2 Änderungen?

Habe jetzt wegen let's encrypt Port 80 & 443 offen, darüber geht per sslh auch noch webdav und ssh sowie openVPN, soweit auch so gut.

Webdav hat nur ein user, der in sein home kommt, dort liegen die Dateien zum externen sync.

Dabei bin ich halt gestolpert, jeder User der DS kann sich ja jetzt von aussen anmelden... da habe ich auch das Problem mit den Passwörtern der eigentlich nur internen User.
VPN ist gut und schön, klar auch wunderbar sicher, aber wie schon oben geschrieben setzt es einen Client vorraus, der nicht überall drauf ist oder kann.

Diskusionsgrundlage:

Was soll jetzt noch nach aussen für Handy und Co:

• wiki (web) - sollte kein Problem sein, da syno unabhängig
• Calendar - abhängig von DS User
• carddav - abhängig von DS User
• Note - abhängig von DS User
• ???

Wie könnte man die Abhängikeit geschickt auflösen? Meine Idee ist, extra User für extern Zugriff mit starkem PW, aber wie verbindet man den User mit schlechtem PW, damit dieser dann auch auf seine Shares/Kalender/Note zugreifen kann? Dieser Zugriff erfolgt per Win10 Netzwerk, da bekomme ich den WAF nicht hin, sich am PC mit was Cryptischem einzuloggen. (auch wenn es sicher sinnvoll wäre)

Anstelle von Caldav und Carddav könnte ich auch wieder auf Baikal gehen, habe ich ja jetzt auch laufen, aber die intere Webseite von Calendar hat der leider nicht. Bleibt aber immer noch Note und ggf. noch interressanter DS Dienst.

 

[tproko]

Für LE wäre nur Port 80 notwendig.

 

[linuxdep]

Für LE wäre nur Port 80 notwendig.

ja, aber ich will ja von draussen drauf, also https (443)

 

[tproko]

Das passt auch, aber so wie dein Post verfasst ist, könnte man meinen, für LE wird 80 und 443 benötigt.
Und leider geistert das hier im Forum noch immer öfters rum, aber es stimmt nicht (mehr).

Um hier Missverständnisse vorzubeugen, wollte ich es einfach kurz reinschreiben