Lan 1 Sperren für Admin

[Evanur]

Nabend.

Haben nen Webdav, Cloud und die Filestation mit der Nas von nem Freund geteilt. Seine NAS und meine 1812+ syncronisieren sich auch. Er kann sich mit seinem Benutzernamen auf meiner DS einloggen und sieht auch nur den Ihm zugewiesenen Ordner. Alles wunderbar.

Ich hab nur ein Problem. Da er sich übers Internet zu meiner NAS verbinden kann, kann ich das auch. D.H. ich kann mich übers Internet als ADMIN anmelden. Nicht gut, find ich. Selbst Konto deaktivieren ist auch sinnfrei. Dann könnt ich mich mit dem "Neuen Admin-Konto einloggen."


System sieht so aus:

Internet/LAN 1 ------ Syno 1812+ --------LAN2=Heimrechner

Könnte das Problem umgehen wenn ich einfach den LAN 1 Zugang für den Admin sperre.
Geht so was?? wen ja, wie.


Dank euch.
Firewall hilft hier nicht, da ja Ports für den Freund offen bleiben müssen und somit auch für alle Benutzer offen sein werden.

 

[Galileo]

Hallo,

Benutzerrechte abhängig davon über welche LAN die Verbindung kommt sind im DSM nicht vorgesehen. Ich hätte aber schon 1 bis 2 Ideen:

Du könntest die Sicherheit erhöhen wenn du den Zugriff von außen ausschließlich über ein verschlüsseltes VPN erlaubst. Um Zugriff von außen und von innen zu unterscheiden müßtest du einen Router zwischen Internet und DS schalten, in dem kannst du dann alles sperren außer UDP-Port 1194 für das VPN.

Wenn dir das nicht reicht könntest du noch folgendes machen:


1.) LDAP-Directory Server einrichten

Aus dem Paketzentrum kannst du den LDAP Directory Server laden und einrichten: Dort legst du neue, separate Benutzer an, die mit den Benutzern der DS nichts zu tun haben und auf der DS auch keine Rechte haben. Den Admin deaktivierst du im LDAP-Server. Den LDAP-Client in der Systemsteuerung aktivierst du nicht.


2.) VPN-Benutzerbasis auf LDAP-Benutzer umstellen

Nun stellst du die Benutzerbasis des VPN Servers um auf die LDAP-Benutzer (Directory Server).


Nun hast du folgende Vorteile:

1.) Weil dein Zugriff über VPN von außen verschlüsselt ist kann man im Netz nichts mitlesen, also keine Daten und vor allem auch keine User und Passwörter.

2.) Das VPN bildet einen zweiten, vorgelagerten Schutzwall, zusätzlich zur Benutzerverwaltung. Man muss man also sowohl einen VPN-User (gleich LDAP-User) als auch einen DS-User haben um rein zu kommen. Auch der Admin allein reicht nicht, weil er im LDAP deaktiviert ist und somit keinen VPN-Zugang bekommt.

 

[Evanur]

Hm - Danke
da muss ich mich mal einlesen in die Thematik. Bis eben wusste ich nichtmal das es sowas wie LDAP-Directory Server gibt. Die Idee höhrt sich jedoch gut an. Weis zwar noch nicht genau wie ich das mit meinem Mailserver und dem TS3-Server vereinbar hinbekomme. Das einfachste währ halt das mit dem Lan gewesen. Aber denk das wird schon.
Dank euch. bin am Lesen

 

[Galileo]

Ich bin nicht sicher weil ich mich mit mailserver und TS3 nicht beschäftigt habe.

Vermutlich mußt du eben die dafür nötigen Ports zusätzlich im Router durchschalten

LDAP mußt du für den Zweck nicht in allen Einzelheiten verstehen, der wird hier eigentlich nur zweckentfremdet benutzt.

Ansonsten frag einfach.