Zum Einstieg - Hilfe bzgl. Sicherheit

[Bayernalbert]

Bin neu im Forum und möchte mir eine DS220+ mit 2*4 TB (Raid 1) kaufen und über das Heimnetzwerk an einer Fritzbox betreiben.

Was will ich mit dem NAS tun?
A) Kompletten PC sichern (Mirror) - einmal pro Woche (keine externer Zugriff)
D) Daten sichern - täglich (kein externer Zugriff)
C) Von extern auf bestimmte Ordner zugreifen (externer Zugriff via DS File vom iPhone aus)
D) Ordner für andere freigeben - mit Link und Passwort (externer Zugriff für Freunde)

Als Sicherheit würde ich folgende Einstellungen vornehmen:
A) Admin deaktivieren und ersetzen durch anderen Usernamen
B) Langes sicheres Passwort
C) 2-Faktor-Authentifizeirung
D) Firewall in DSM aktivieren
E) Alle Länder-IPs außer Deutschland sperren
F) Firmware Update

Nun meine Fragen:
Wie kann ich obiges am Besten umsetzen?
Sollte ich weitere Sicherheits-Einstellungen vornehmen?
Ist der mobile Zugriff via DS File sicher oder wie kann der Zugriff sicher gemacht werden?
Sollte ich https aktivieren?
Wenn ich via QuickConnect zugreife, reichen dann die Einstellungen?
Wäre es aus Sicherheitsgründen besser 2 NAS-Systeme einzusetzen - eine nur für die Sicherungen (ohne externen Zugriff) und eine nur für den externen Zugriff?

Besten Dank für Eure Hilfe!

 

[Synchrotron]

Zugriff von extern am Besten nur über VPN realisieren. VPN auf dem Router installieren, wenn möglich.

 

[Bayernalbert]

Danke, Synochotron!

Wie wird VPN eingerichtet? Auf dem NAS im Paketzentrum installieren und wie in der Fritzbox? Gibt es hierzu Anleitungen? Danke!

 

[Wollfuchs]

Bin neu im Forum und möchte mir eine DS220+ mit 2*4 TB (Raid 1) kaufen und über das Heimnetzwerk an einer Fritzbox betreiben.

Fein ..

Was will ich mit dem NAS tun?
A) Kompletten PC sichern (Mirror) - einmal pro Woche (keine externer Zugriff)
D) Daten sichern - täglich (kein externer Zugriff)
C) Von extern auf bestimmte Ordner zugreifen (externer Zugriff via DS File vom iPhone aus)
D) Ordner für andere freigeben - mit Link und Passwort (externer Zugriff für Freunde)

• Mirror > Active Backup for Business (Paketzentrum)
• Dateisicherung > auch ABB, weil fuer Mirror schon da, sonst Drive Sicherung.
• Drive .. stell das ganze Freigabegedoens aber ans Ende. Geht, braucht aber ein Konzept, wenn es kein Scheunentor sein soll
• Drive .. ob Du selber oder andere .. gleiches Prinzip

Als Sicherheit würde ich folgende Einstellungen vornehmen:
A) Admin deaktivieren und ersetzen durch anderen Usernamen
B) Langes sicheres Passwort
C) 2-Faktor-Authentifizeirung
D) Firewall in DSM aktivieren
E) Alle Länder-IPs außer Deutschland sperren
F) Firmware Update

• wird bei Ersteinrichtung eh gemacht.
• Immer sinnvoll
• Jooo .. kann man machen, schadet nicht und ist sicherer.
• Pfff .. ja ..
• "Hey Albert, danke fuer den Link, geht aber nicht auf .. sitze in Suedtirol mit Deiner Exfrau.."
• Jo, wenn verfuegbar und als Safe eingestuft. Aktuelle Firmware ist ok, 7er kommt wohl bald.

Nun meine Fragen:
Wie kann ich obiges am Besten umsetzen?
Sollte ich weitere Sicherheits-Einstellungen vornehmen?
Ist der mobile Zugriff via DS File sicher oder wie kann der Zugriff sicher gemacht werden?
Sollte ich https aktivieren?
Wenn ich via QuickConnect zugreife, reichen dann die Einstellungen?
Wäre es aus Sicherheitsgründen besser 2 NAS-Systeme einzusetzen - eine nur für die Sicherungen (ohne externen Zugriff) und eine nur für den externen Zugriff?

• Lets Encrypt Zertifikat
• Nur so sicher, wie Du es gestaltest
• ja, siehe LE Zert
• ich denke ja. Wobei ich selber kein QC verwende sondern nur gezielt bei Bedarf von aussen per hostname.ddns.tld aufmache
• das waere der Idealfall. Eine DS intern und eine die potentiell von aussen erreicht werden kann. Aber zwingend ist das nicht. Geht fuer Millionen Anwender auch ohne doppelte NAS Loesung.

Wichtig ist beim Einrichten, dass erstmal intern alles rennt.
Alle Sicherungen geplant wurden und auch zuverlaessig laufen.
Auch ein Backup einplanen .. also wo und wie wird vom NAS auf ein weiteres Medium gesichert.
Das erste Backup (PC auf NAS) ist schon prima. Ein weiteres schadet nicht.

Bei der Freigabenummer vorher ueberlegen, wem man auf welchem Weg, was freigebene will.
In der Frotzbix nur die Ports oeffnen, die absoltut essentiell sind dafuer.
Keine automatischen Freigaben sondern haendisch und gezielt.

VPN ... Open VPN in der DS (Einrichtung dauerte hier 5 min) oder Frotzbix (hab ich da nie versucht).
Dann ist halt nur ein Port auf fuer Open VPN und man ist in seinem eigenen LAN auf der DS.
Ob VPN sinnvoll oder overkill ist .. mei .. kommt vielleicht drauf an, wer drauf zugreifen soll. Nur Du oder auch fuer die Linkfreigabegeschichten? Waer mir ein bisschen zu viel Aufriss aber YMMV.

 

[Bayernalbert]

Hallo Wollfuchs, super und danke!

Pfff .. ja ..

Heißt was?

Drive .. stell das ganze Freigabegedoens aber ans Ende. Geht, braucht aber ein Konzept, wenn es kein Scheunentor sein soll

Und wie sieht ein Konzept aus? Dachte, DS File ist ein sicherer Weg.

ich denke ja. Wobei ich selber kein QC verwende sondern nur gezielt bei Bedarf von aussen per hostname.ddns.tld aufmache

Wie geht das und ist das sicher?

Thx!

 

[Wollfuchs]

Hallo Wollfuchs, super und danke!
Heißt was?

ich habe keine extra Feuerwand in der DS, da davor noch eine Frotzbix haengt.
Potentielle Angreifer muessten da durch sein, um die DS zu erreichen. Daher
fuer mich, ein nicht notwendiges Trumm.

Und wie sieht ein Konzept aus? Dachte, DS File ist ein sicherer Weg.

Welche Ports muss ich oeffnen, damit DS File per Web oder App erreichbar ist
Wer soll zugreifen. Offener Nutzerkreis per Einladungslink oder eine Gruppe, die sich auf der DS per Username/Passwort anmelden kann/muss/will um mit mir Daten zu tauschen.

Wie geht das und ist das sicher?

Es ist nicht sicher in dem Sinn, sondern erlaubt statt ueber Quickconnect ID dann eben per URL bayernalbert.synology.me die DS zu erreichen.
Ein Lets Encrypt Zertifikat stellt dann sicher, dass die Leute, die dem Link folgen auch wirklich da sind, wo sie hinwollen. Also Deine DS und nicht irgendeine, die sich dafuer ausgibt. Dazu ist https zwingend. Ohne https kein Zertifikat.

Das ist bei der DS beim einrichten des DDNS Dienstes quasi in einem Rutsch erledigt.
Zwangsumleitung von http auf https, DDNS Dienst aktivieren, Zertifikat anfordern.

Und ja. Man kann es sehr gut absichern. Aber ich wuerde es eben Schritt fuer Schritt machen.

Die DS soll ja am Ende mehrere Aufgaben haben.

Backupspeicher fuer die PC
Zugriff fuer Dich von Innen
Zugriff fuer Dich von Aussen
Zugriff fuer Dritte von Aussen

 

[Synchrotron]

Einfach auf der FB selbst. Die Anleitung in der FB-Hilfe sollte ausreichen.

Vorteile: Keine nach außen offenen Ports, FB-Firewall bleibt intakt, keine Zertifikatserneuerung, findet die FB auch über den MyFRITZ-User (kein zusätzliches DDNS nötig). Für den Anfang und für viele auch danach völlig ausreichend.

Es gibt performantere Lösungen, aber dann steigt auch der Aufwand, und die benötigte Sorgfalt beim Einrichten.

 

[synfor]

Einfach auf der FB selbst. Die Anleitung in der FB-Hilfe sollte ausreichen.

Vorteile: Keine nach außen offenen Ports,

Falsch, für das VPN ist ein offener Port nötig. Den muss man aber nicht separat einstellen. Das passiert bei der Einrichtung der Fritzbox als VPN-Server automatisch.

 

[Synchrotron]

Präziser: Der User muss nicht selbst einen Port öffnen. Er muss auch nicht absichern, was dort eingerichtet wird.
Im Gegensatz von VPNs tiefer im Netzwerk wird der VPN-Verkehr direkt von der FB verarbeitet.

 

[Bayernalbert]

Erstmal besten Dank für Eure Antworten.

Ist dieser Online-Kurs für den Einstieg empfehlenswert, insbesondere in Sachen Sicherheit?
https://idomix.de/courses/synology-diskstation-einrichten-von-a-z-unter-dsm-6-x

 

[Bayernalbert]

Bietet hier jemand im Forum bezahlte Unterstützung zur Einrichtung an (remote oder vor Ort)?
Bayern Mitte!

 

[Wollfuchs]

Ist dieser Online-Kurs für den Einstieg empfehlenswert, insbesondere in Sachen Sicherheit?
https://idomix.de/courses/synology-diskstation-einrichten-von-a-z-unter-dsm-6-x

Da wird meines Erachtens nichts vermittelt, was man nicht genauso hier vermittelt bekommt.

Bietet hier jemand im Forum bezahlte Unterstützung zur Einrichtung an (remote oder vor Ort)?
Bayern Mitte!

Magst Du nicht erstmal die DS220+ kaufen und schauen ob es wirklich so eine Hexenwerk ist,
die Fuhre einzurichten?

Wie eingangs schon geschrieben, bleib zunaechst mit Deinem NAS intern .. wenn da alles steht
und das kann ein paar Tage dauern, je nachdem, wie oft Du hier nach dem Weg fragst (was ja
nicht schlimm ist).

Dann .. ueberleg wie und wer von aussen drauf soll und auf welche Ressourcen.
Das kann man dann seperat angehen.
Mit einem lustigen 40.- Euro Onlinekurs .. aehem .. stehst Du am Ende nicht wirklich besser da.

Aber das mag nur meine unmassgebliche Meinung sein.

 

[Bayernalbert]

Mache ich, danke!

 

[blurrrr]

Schau Dir die Thematik erstmal in Ruhe an und guck wie weit Du kommst. Wenn es dann um die Erreichbarkeit von aussen geht, kannst Du ja gern wieder hier nachfragen. Videos von irgendwelchen Internet-Predigern sind immer so eine Sache, da es nicht um die Videos geht bei denen, sondern es wird Geld damit verdient, indem man Dir vermeintlich interessanten Content unter die Nase reibt. Fachlich ist das dann meist immer so eine Sache... Also folge erstmal dem Rat von @Wollfuchs und danach sehen wir dann weiter

 

[Synchrotron]

Erst mal anschaffen, mit Router und dem PC verbinden, überlegen was man im 1. Schritt wirklich machen möchte, ausprobieren, lernen. Am Anfang nur wenige Daten laden, nicht von außen erreichbar machen. Hinweis: Keine vorhandenen User löschen, sondern nur deaktivieren (vorneweg den „Admin“). Vorhandene Usergruppen beibehalten, man kann sich später immer noch selbst welche anlegen.

Persönlich finde ich die Kurse von Dominik nicht schlecht - wenn du dich auf dem Weg gut fühlst, warum nicht. So teuer sind sie nicht, und er erklärt die Dinge ganz ordentlich. Dazu gehen die Meinungen im Forum allerdings auseinander.

Wenn es spezifisch wird, wirst du dir selbst überlegen müssen, wie du es machst.

 

[blurrrr]

*offtopic* Bitte? Kriegst Du Provision, oder was? Der Mist kostet mittlerweile Geld? Ouh man ey... Als wäre die Affiliate-Schleuder nicht schon genug gewesen... muss man halt so richtig ausschlachten... ? "Ordentlich" liegt dann wohl im Sinne des Betrachters, denn nur die Hälfte zu erklären, ist dann doch eher "fragwürdig" (kommt aber auch immer auf das Thema an)... ER ist auch eher der Marketing-Typ, sein Bruder (samt Firma) dann eher der IT-Typ *offtopic-ende*

Ansonsten... jo, einfach tonnenweise (kostenlose! ) Vidoes gucken, irgendwo ein Zwischending aus allem ziehen und wird schon passen, ansonsten gibt es ja noch das Forum hier ?

 

[Synchrotron]

@blurrrr Schön dekoriert, was Smileys angeht.

Bewerten wir mal eine Stunde Freizeit mit 20€ (nur, um da mal eine Zahl zu haben). 40€ wären dann 2 gesparte Stunden, nicht zugebracht mit irgendwelchem unzusammenhängenden, unterschiedlich alten und sich gelegentlich widersprechenden Filmchen. Oder anders formuliert „tonnenweise Videos gucken“, was für ein Spaß.

Für den Einstieg kann man es schlechter treffen als mit dem Kurs, der einen Anfänger Schritt für Schritt durch die Einrichtung führt. Das ist meine Meinung, kannst gerne eine andere haben und dich lustig machen. Konstruktiv war von dem Beitrag eher wenig. Dass „ein irgendwo gezogenes Zwischending schon passen wird“ sortiere ich bei „Unfug“ ein, wenn es um das Aufsetzen einer DS geht.

Drei Anmerkungen: Ich habe keinerlei Beziehung zu Dominik / iDomix, bekomme für meine Meinung kein Geld, und habe den Kurs selbst nicht gekauft. Trotzdem darf ich ihn für eine Einsteigersituation empfehlen, wir leben in einem freien Land.

 

[blurrrr]

@Synchrotron :

Bissken dünnhäutig, was? Das hatte schon so eine Gründe, warum da soviele Smileys waren "". Das das eine Video Geld kostet und das andere nicht, sagt genau "null" über die Wertigkeit dessen aus (vor allem in Bezug darauf, ob es dem schauenden überhaupt "zusagt"). Lieber 2x etwas schauen, wovon vielleicht eins auf den Zuschauer "passt", anstatt 1x Geld auszugeben, für etwas, was einem vielleicht garnichts bringt. Du vergisst dabei vermutlich auch jenen welchen Umstand, welcher (aus meiner Sicht) heutzutage recht häufig anzutreffen ist: "3 Bücher lesen, selbst eins schreiben" (ich denke Du weisst ziemlich genau wovon ich spreche). Von "Unfug" kann also keineswegs die Rede sein... Aber das ist wohl so mit verschiedenen "Meinungen"... ?

Drei Anmerkungen: Ich habe keinerlei Beziehung zu Dominik / iDomix, bekomme für meine Meinung kein Geld, und habe den Kurs selbst nicht gekauft. Trotzdem darf ich ihn für eine Einsteigersituation empfehlen, wir leben in einem freien Land.

Diesen Unsinn (jepp, ganz bewusst so gewählt) lasse ich einfach mal dahin gestellt, denn a) war es ein Scherz (offensichtlicher Weise...), b) hab ich auch nicht geglaubt, dass Du diese Kurse gekauft hast und den Höhepunkt zum Schluss c) was in drei Teufels Namen hatte Dich bitte geritten, dass Du es als Angriff/Einschränkung Deiner persönlichen Meinung gesehen hast?! Sorry, aber da muss man schon extremst muffelig drauf sein (gar streitsuchend?), um sowas auch nur ansatzweise daraus zu interpretieren... ?

Mag sein, dass ich hier und da etwas provokant bin (es wäre absurd es zu leugnen ?), aber sind wir doch mal ehrlich, die Reaktion darauf ist schon etwas übertrieben... Wenn Du Dir durch diesen Witz am Rande sooo sehr auf den Schlips getreten fühlst, kein Ding, dickes SORRY dafür, hätte gedacht, dass Du da etwas dickhäutiger wärst, also nix für Ungut ??

P.S.: Ich habe mir auch dieses mal wieder größte Mühe mit den Smileys gegeben... Und jetzt hör gefälligst auf hier so rumzumuffeln! ??

EDIT: Offtopic is dann auch mal Ende, Antwort auch gern per PN (sofern Dir danach ist).

 

[blurrrr]

@Bayernalbert : Eine Kleinigkeit noch am Rande: Wenn das gute Stück dann mal bei Dir angekommen ist. Lass erstmal sämtliche "automatischen" Einrichtungen aussen vor. Erstmal alles ablehnen und dann vernünftig von Grund auf loslegen, dann weisst Du auch warum Du was wie wo getan hast

 

[Bayernalbert]

Ok, danke!