Mehrere bzw. separates NAS für Internet Freigabe?

[NASSucher]

Hallo,

ich habe momentan 2 NAS.
Das erste NAS (DS216) dient nur zur Sicherung der einzelnen PC im Haushalt.

Das zweite habe ich nachgekauft (DS120) und ins Internet freigegeben damit meine Familie unsere Musik auch unterwegs anhören kann.

Jetzt meine Frage, ist dies sicherer wenn ich weiterhin getrennt verfahre oder spielt das keine Rolle und es würde mehr Sinn machen ein größeres NAS zu kaufen wo gleich mehr Festplatten Einschübe hat?

 

[Devil6666]

Direkt ins Internet freigeben ist schon mal schlecht!
Wie ist die DS ins Internet freigegeben?

 

[blurrrr]

Direkt ins Internet freigeben ist schon mal schlecht!

... ist schon mal pauschalisierter Blödsinn.

Wie ist die DS ins Internet freigegeben?

... ERST fragt man nach dem "wie" und DANACH sagt man, dass alles schlecht ist! (natürlich völlig unabhängig von der Antwort... ?)

Grundsätzlich schafft es schon ein "bisschen" mehr Sicherheit, da bei Komprimitierung nicht direkt das NAS dran ist, wo die "wichtigen" Dinge liegen (dafür sollten auf beiden Geräten aber auch unterschiedliche Credentials verwendet werden). Was aber wesentlich sinnvoller als ein "größeres" NAS wäre, wäre etwas in Richtung "granularere Firewall", damit Du den Verkehrt auch "sauber" trennen kannst (und nicht nur "darf alles rein"). Im Grunde genommen geht es dann darum, in etwa folgendes abzubilden - einfach mal anhand der "Netze" skizziert:

LAN -> DMZ -> WAN

Wichtig ist dabei, dass man ohne Probleme von links nach rechts kann, aber von rechts nach Links eben nur "eingeschränkt", das würde dann so aussehen:

LAN -> DMZ <-Portfreigabe-> WAN

LAN -> DMZ : ja
LAN -> WAN : ja
DMZ -> WAN : ja
DMZ -> LAN : nein
WAN -> DMZ: ja (via Portweiterleitung)
WAN -> LAN : nein

Die DMZ bildet somit ein Netz, auf welches von mehreren Netzen zugegriffen werden kann (z.B: LAN + WAN). Somit hast Du einerseits Vorteil, dass dieses Netz - bzw. Gerätschaften darin - von "allen" genutzt werden können und ebenso den Vorteil, dass Dein "LAN" (Dein Heiligtum, Deine Burg, Dein Datenschatzzzzzzzzz *g*) nicht von aussen erreichbar ist und selbst dann nicht erreichbar ist, sollte das Gerät in der DMZ mal komprimitiert werden.

Beim aktuellen Konstrukt wäre man im Falle einer Komprimitierung direkt in Deinem LAN (und könnte somit auch direkt am anderen NAS rumfummeln, oder an den Rechner, oder am Smarthome-Gedöns, oder oder oder).

Hoffe, dass das ein wenig Licht ins Dunkel gebracht hat für weitere Überlegungen ??

 

[NASSucher]

Über einen Privaten https Pfad einer eigenen Homepage über die Fritzbox welche nur die DS Audio Ports freigegeben hat.

 

[Devil6666]

Blurrrr du hast das falsch verstanden!
Ich fragte nur weil viele Leute her gehen, viele Ports am Router einfach aufmachen und gut is!

 

[blurrrr]

Ganz ruhig, das war weniger ernst gemein, als es sich angehört hat ?

 

[Devil6666]

Beim aktuellen Konstrukt wäre man im Falle einer Komprimitierung direkt in Deinem LAN (und könnte somit auch direkt am anderen NAS rumfummeln, oder an den Rechner, oder am Smarthome-Gedöns, oder oder oder).

Das meinte ich.

 

[Devil6666]

Ich komm von außen nur via VPN! Dahinter wird alles via Firewall geregelt!
Diverse Geräte wie zb. Kameras usw. sind in einem separatem VLAN und kommen nicht ins Internet.
PS: ich bin Ruhig! ;-)

 

[blurrrr]

Najo, darfste nicht vergessen: VLAN und Co. ist auch nicht für jedermann (und schon garnicht verständlich). VPN ist auch nicht "immer" möglich (auch so eine Sache) und wenn, fehlt ggf. auch der Luxus...

VPN-on-Demand wäre dann noch so ein Thema (unter iOS einfach erledigt, Android hab ich keine Ahung, könnte aber vermutlich etwas komplizierter werden (meine da irgendwas mit der Zusatz-App "Tasker" gelesen zu haben, würde mich persönlich schon wieder total annerven ??)).

 

[Devil6666]

Najo, darfste nicht vergessen: VLAN und Co. ist auch nicht für jedermann (und schon garnicht verständlich). VPN ist auch nicht "immer" möglich (auch so eine Sache) und wenn, fehlt ggf. auch der Luxus...

Da geb ich dir Recht!
Ich wollte halt alles ein wenig sicherer! ;-)

 

[blurrrr]

Da sagt auch keiner was gegen, nur vergisst man gern sehr schnell, welchen Stand andere haben (manch einer ist ja schon mehr als glücklich, wenn der Kram überhaupt "irgendwie" läuft). Verbesserungspotential gibt es "immer" (selbst in meinen Umgebungen, nur fehlt da oftmals schlichtweg die Zeit).

Beim Thema "VLAN"/"unterschiedliche Netze" darf man übrigens auch das Thema der Broadcast-Domäne nicht aussen vor lassen, sonst gibt es direkt wieder die nächsten Posts á la "Mein NAS taucht nicht mehr unter Netzwerk auf!". Bei mir privat sind es (glaube ich) derzeit 10 oder 11 VLANs (halt ein extra Netz für alles mögliche, Telefonie, Surveillance, Storage, Arbeit, Privat, etc.), aber für den "normalen" Endverbraucher ist das schon ein ziemlicher Overkill. Da kann man durchaus auch einfach 2 Fritzboxen kaskadieren (allerdings intern ohne NAT + statische Routen), dann hat man 2 Netze, damit kann man noch "relativ" sicher auch als Normalsterblicher agieren (sofern man das Konstrukt verstanden hat)

Also... @NASSucher... lass Dir das mal durch den Kopf gehen und lass Dich nicht von Wörtern wie VLAN verwirren

 

[Devil6666]

Da sagt auch keiner was gegen, nur vergisst man gern sehr schnell, welchen Stand andere haben (manch einer ist ja schon mehr als glücklich, wenn der Kram überhaupt "irgendwie" läuft). Verbesserungspotential gibt es "immer" (selbst in meinen Umgebungen, nur fehlt da oftmals schlichtweg die Zeit)

Da geb ich dir vollkommen Recht! ;-)
Schönen Abend noch!