Zugriff von Extern absichern durch Vergabe IP unter Benutzer möglich

heinzie · 03. Jan 2016

Hallo,

ich möchte für einzelne Benutzer (auf spezielle Ordner) meine NAS von Außen freigeben.
Leider leider ich etwas unter Verfolgungswahn.

Deshalb wollte ich die NAS so absichern, dass von Außen nur diese speziellen User Zugriff haben. Wenn ich das richtig verstanden habe, geht das aber nicht.
Wenn Zugriff von Außen freigegeben ist, gilt das automatisch immer für alle User, oder ?

Wenn ich jetzt aber bei den Usern (welche von Außen keinen Zugang erhalten sollen) unter Applikationen IP immer die lokale IP ihrers Rechners meines Netzwerkes eintrage, müsste das doch gehen.

Oder liege ich da falsch?

Gruß
heinzie

jugi · 03. Jan 2016

Wenn du deine DS von außen erreichbar machst, dann ist sie logischerweise immer für jeden erreichbar - auch für mich, die Chinesen oder die NSA.
Erst auf der nächsten Ebene - wenn die Verbindung besteht - kannst du einzelnen Benutzern (oder IPs) den Zugriff auf irgendwas verbieten oder erlauben. Ein potentieller Angreifer kann einen Bug aber ggf. jetzt schon ausnutzen.

heinzie · 03. Jan 2016

jugi schrieb:
Wenn du deine DS von außen erreichbar machst, dann ist sie logischerweise immer für jeden erreichbar - auch für mich, die Chinesen oder die NSA.
Erst auf der nächsten Ebene - wenn die Verbindung besteht - kannst du einzelnen Benutzern (oder IPs) den Zugriff auf irgendwas verbieten oder erlauben. Ein potentieller Angreifer kann einen Bug aber ggf. jetzt schon ausnutzen.

ok, kann ich nachvollziehen. Aber wenn die IP gesperrt wäre, würde der Angreifer nur über einen Bug weiter kommen. Selbst das Passwort würde ihm ja nicht reichen.
Ich denke das würde die Sicherheit schon deutlich erhöhen.

Gruß
heinzie

Fusion · 03. Jan 2016

Probiers doch einfach mal aus und berichte. Ich fürchte aber, dass ist nur ein zusätzliches Kriterium und blockt nicht automatisch alles andere ab, so dass ein Nutzer mit Passwort immer noch von außen zugreifen kann.
Aber teste es doch mal...

heavy · 03. Jan 2016

Was mir ein bisschen bauchweh bereitet ist der Abschnitt :"immer die lokale IP ihrers Rechners meines Netzwerkes eintrage" Entweder greifen sie von extern zu, dann kannst du keine IP eintragen (da sich deren IP ja immer wieder ändert, oder gar nicht klar ist welche IP überhaupt an die DS übertragen wird.) Oder du machst einen VPN Tunnel auf, dann ist aber die DS nicht in unserem Verständnis im internet freigegeben.

jugi · 03. Jan 2016

Na heavy, da musste dann aber auch den ganzen Satz hernehmen:

heinzie schrieb:
Wenn ich jetzt aber bei den Usern (welche von Außen keinen Zugang erhalten sollen) unter Applikationen IP immer die lokale IP ihrers Rechners meines Netzwerkes eintrage, müsste das doch gehen.

Sogesehen stimmt der Gedanke schon: wenn ein User nur ausm LAN Zugriff haben soll, dann wird da die LAN-IP eingetragen… kann klappen, muss aber nicht.
Wie Fusion schon schrieb: probieren

Ich versteh allerdings nach wie vor das Konzept dahinter noch nicht so ganz… In welchem Szenario will man einem lokalem Benutzer den Login über das Internet verbieten, aber einem anderen ggf. beides erlauben? (Ist hier zwar jetzt OT, aber würde mich interessieren…)

heavy · 03. Jan 2016

Erwischt

Dann habe ich es aber auch nicht verstanden.

heinzie · 03. Jan 2016

heavy schrieb:
Was mir ein bisschen bauchweh bereitet ist der Abschnitt :"immer die lokale IP ihrers Rechners meines Netzwerkes eintrage" Entweder greifen sie von extern zu, dann kannst du keine IP eintragen (da sich deren IP ja immer wieder ändert, oder gar nicht klar ist welche IP überhaupt an die DS übertragen wird.) Oder du machst einen VPN Tunnel auf, dann ist aber die DS nicht in unserem Verständnis im internet freigegeben.

habe es getestet, und funktioniert.
Es kommt dann immer die Meldung "Der Dienst ist nicht zugelassen" nachdem man den User u. Passwiort eingegegeben hat.

Ich versteh allerdings nach wie vor das Konzept dahinter noch nicht so ganz… In welchem Szenario will man einem lokalem Benutzer den Login über das Internet verbieten, aber einem anderen ggf. beides erlauben? (Ist hier zwar jetzt OT, aber würde mich interessieren…)

Annahme:
User 1: nur Zugriff auf Bilder Verzeichnis, aber keine IP Sperre und damit Zugriff auch von Außen möglich
User 2: Zugriff auf alle Verzeichnisse, aber IP Sperre und damit kein Zugriff von Außen möglich

Jetzt wäre es egal welche Zugangsdaten (User 1 oder User 2) der Angreifer hätte, er kommt maximal in das Verzeichnis Bilder

Oder liege ich damit falsch?

Gruß
heinzie

jugi · 03. Jan 2016

Hm, ja, das stimmt schon so, der Sinn erschließt sich mir allerdings nach wie vor nicht

Was ist denn bspw., wenn User1 jetzt unbedingt von außen auf das Verzeichnis "Dokumente" zugreifen will? Das geht dann einfach nicht?

In dem konkreten Fall (Bilder öffentlich zugänglich) würde ich mir übrigens die Photo Station mal ansehen…

heinzie · 03. Jan 2016

jugi schrieb:
Hm, ja, das stimmt schon so, der Sinn erschließt sich mir allerdings nach wie vor nicht Was ist denn bspw., wenn User1 jetzt unbedingt von außen auf das Verzeichnis "Dokumente" zugreifen will? Das geht dann einfach nicht?

Ja genau, dass ist natürlich der Nachteil.

Da das bei mir aber alles nur privat ist, ist das eigentlich nicht so ein Problem.

Mir geht es mehr um die erhöhte Sicherheit. Z.Zt. gebe ich immer die Ports in meiner Fritzbox zeitlich begrenzt frei, wenn z.B. ein Bekannter was runterladen möchte.
Das ist natürlich sehr Fehlerträchtig.

Gruß
heinzie

Suche

Zugriff von Extern absichern durch Vergabe IP unter Benutzer möglich

heinzie

Benutzer

jugi

Benutzer

heinzie

Benutzer

Fusion

Benutzer

heavy

Benutzer

jugi

Benutzer

heavy

Benutzer

heinzie

Benutzer

jugi

Benutzer

heinzie

Benutzer

Kaffeautomat