Fragen zur Netzwerksicherheit

Status
Für weitere Antworten geschlossen.

Eagle75

Benutzer
Mitglied seit
15. Aug 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,
habe einige Fragen zur Netzwerksicherheit und evtl. kann mir jemand von euch diese beantworten...

Bei Nutzung von DDNS und Freigabe der entsprechenden Ports im Router (und nur diese Ports), verstehe ich in diesem Zusammenhang ein Sachverhalt nicht ganz:

Wie groß ist denn das Risiko, bei Nutzung von langen und komplexe Passwörter und blocken falscher Anmeldeversuche? Übertragung natürlich immer über HTTPS. Wozu benötige noch VPN?

Mir ist das Ganze nicht wirklich klar! Nicht authorisierte Anmeldeversuche werden doch gesperrt und ein komplexes Passwort zu erraten benötigt entsprechend Zeit. Wo ist die Gefahr?

Versteht sich von selbst das man wirklich nur die Ports nutzt, welche die entsprechenden Dienste der Synology benötigen.

Gruß

Eagle
 

Solear

Benutzer
Mitglied seit
05. Aug 2014
Beiträge
224
Punkte für Reaktionen
0
Punkte
16
Für lokale Clouddienste etc. meinst du? Da werden mehrere Ports geöffnet und ausgenutzt werden können Schwachstellen der DSM. Ich umschreibe es mal bildlich:
Durch eine Stahlwand kommt du nicht durch, egal ob mit Hammer oder Schlüssel. Ist da eine Tür drin, kommst du mit Schlüssel durch, jeder andere normalerweise nicht. Das Schloss bietet jetzt aber Angriffsmöglichkeiten zum knacken. Jeder Dienst bringt eine neue Tür mit anderem Schlosssystem in die Stahlwand, mal mehr mal weniger sicher. Es geht nicht darum, dass jemand deinen Schlüssel nachmacht (Passwort knackt). Es geht darum, dass man ein Schloss auch so aufbrechen kann (Sicherheitslücke ausnutzen).
So ist das mit den Ports. Je mehr Ports und je mehr Dienste nach außen direkt erreichbar sind, desto höher die Wahrscheinlichkeit, dass jemand eine Sicherheitslücke findet und ausnutzt.

Besser ist es deshalb, erreichbare private Dienste per VPN auf einem sehr hohen, zufälligen Port anzusprechen. Dann ist in der Stahlwand nur oben ein Kaminrohr als Öffnung. Das Kaminrohr ist leichter von Dir zu überwachen und die VPN-Dienste meistens auch sicherheitstechnisch "geprüfter" als irgendeine hauseigene Synology Entwicklung.


Schade, dass die Syno noch kein Wireguard unterstützt. Super leicht einzusetzen und von der Verschlüsselung state of the art. Meine Syno ist nach außen komplett zu, ich habe einen Raspberry im Netzwerk der den Wireguard-Server spielt, darüber läuft alles von außen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Im Prinzip hast du Recht, komplexe Passwörter und gute Einbstellungen der Firewall helfen erst mal.
1. Problem: Portweiterleitungen im Router. Damit hebelst du bei den Standard SoHo Routern die Firewall aus und leitest die Datenpakete ungefiltert gleich an deinen Fileserver(Syno).
2. Problem sind dort gar nicht die Passwörter sondern der Versuch über offene Ports Schwachstellen in der Firewallimplementaion der Syno zu finden. Darauf spricht die Firewall nicht mit Alarmmeldungen an.
3. Ist es eine schlechte Idee obwohl hier laufend praktiziert die Syno als VPN Server zu nutzen. Auch hier musst du die VPN Ports ungefiltert durch den Router zum Fileserver schicken und wer hängt schon seinen File-Server direkt an das Internet auch wenn es VPN ist?
Bei richtig eingesetztem VPN kommst du über einen gesicherten, verschlüsselten Kanal durch den Router in dein LAN. Dort findet dein PC dann alles vor als wärst du zu Hause.
Du schränkst also die Anzahl der nach Aussen offenen Ports auf deine Surf-, Mail und VPN Ports ein. Alles andere ist zu. Zugriffe auf die Syno sind in der Firewall der Syno nur für das lokale LAN zuzulassen.
Letztendlich ist das grösste Problem eher der Mensch selbst, der beim Surfen oder in Mails doch wieder Inhalte öffnet, die er besser ignoriert hätte.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat