DDNS von Synology und die Sicherheit

Status
Für weitere Antworten geschlossen.

4-Real

Benutzer
Mitglied seit
11. Sep 2019
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Hallo Jungs, ich bin sehr sehr neu in der Materie und bin gerade ein wenig überfragt, wie Sicher das ganze denn Nun ist.
Ich habe einen CardDav Server erstellt und mir über Ez Internet denn DNS Service etc. eingerichtet das ich über mein Iphone meine Hinterlegten Kontakte auch abgreifen kann.
Da ja nun Ports im Router geöffnet wurden, Frage ich mich jetzt wie groß die Wahrscheinlichkeit ist, das jemand meine Synology Domain bekommt und Darauf zugreifen kann, bzw Zugriff "erlangen" kann?
Ich verstehe auch den Hintergedanken des Zertifikats irgendwie noch nicht so ganz. Greife ich auf meine Seite zu, wird es für mich als Unsichere Seite angezeigt. Wie bekomme ich dieses Zertifkat erstellt bzw. wo muss ich mein Zertifikat "legitimieren", damit mein Browser bescheid weiß, das ich das "Zertifikat" besitze?
Würde hier zum Beispiel eine Domain von Strato funktionieren mit SSL Zertifikat?
Lyncht mich bitte nicht aber bin leider auch recht neu in der Materie aber bin leider noch ein wenig ungeschickt in der Sache und ein wenig überfragt.
 
Zuletzt bearbeitet:

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen 4-real und willkommen hier,
die Synology NAS nutzen ein eigenes Zertifikat des Herstellers (nicht gut, aber immerhin ein Anfang). Wenn du das Zertifikat nutzen willst, dann musst du es deinem Browser auch bekannt geben. Alternativ sagst du deinem Browser, dass du die Warnung ignorieren möchtest (vorausgesetzt du bist dir sicher, dass es eben zu 100 % von deinem NAS stammt. Danach wirst du die Warnseite nicht mehr sehen. Das ist natürlich nur die erste Notlösung. Such mal im Netz zum Thema "Zertifikate", "Serverzertifikate" und "SSL-Zertifikate", um das Thema zu verstehen.
Besser wäre es allerdings, wenn du dir dein eigenes Zertifikat für das NAS machst oder machen lässt (zB LetsEncrypt). Ein eigenes Zertifikat zu erstellen ist nicht so schwer. Da du aber scheinbar noch sehr neu in der ganzen Materie bist, hier einige links (aber bitte lies dich erst mal grundsätzlich ein, sonst wird es haarig!!):

https://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats

https://legacy.thomas-leister.de/eine-eigene-openssl-ca-erstellen-und-zertifikate-ausstellen/

https://checkmk.de/lw_ca_zertifikat_erstellen.html

Du brauchst für deine geschilderte Anwendung KEINEN extra Service wie die von dir angesprochene kostenpflichtige Domain eines Anbieters!!
Das zum Thema Zertifikate zunächst.

Ich persönlich finde es nicht sicher, dein NAS via Portfreigabe aus dem Internet erreichbar zu machen. Warum? Genau wie du es schreibst, das NAS steht somit nur noch vom Router getrennt online.
Besser: du stellst die Verbindung per VPN her. Damit wählst du dich quasi durch einen relativ sicheren "Tunnel" bis in dein Heimnetz. DU kannst damit also auf dein NAS von fern zugreifen wie im eigenen Heimnetzwerk. Such dir auch dazu erst mal die Basisinfos im Netz zusammen (Stichwort VPN, OpenVPN, eigenes VPN).
Wenn dein Router VPN-fähig sein sollte (wie gesagt: mindestens ne Fritzbox), dann kannst du über VPN auf deinen Routerzugreifen und der leitet dich dann weiter auf zB dein NAS. Das ist wesentlich sicherer, als eine Portweiterleitung bzw. -freigabe. Mach möglichst nicht den "Fehler" und nutz den VPN-Dienst des NAS, denn dann müsstest du ja wieder erst ne Portfreigabe stricken (gleiches Problem: unsicher).
Besser noch, aber für deine Bedürfnisse und deinen aktuellen Wissensstand vielleicht (noch) überdimensioniert: kauf dir ne sicherere Lösung, zB könntest du mit einem billigen Raspi deinen eigenen VPN-Server aufsetzen (erfordert dann eine Portfreigabe auf das Raspi, aber besser als direkt auf dein NAS und deine DATEN!). Oder aber gleich zu einer Lösung wie zB einer Firewall mit inkludiertem VPN-Server greifen (pfSENSE / OpenSense). Das bringt meist eine bessere Datenübertragungsrate als die Fritzbox und einen deutlichen Zuwachs an Sicherheit. Kostet aber a) mehr Geld (Raspi ca. 40 Euro, pfSense ist kostenlos benötigt aber mindestens ein APU Board (dann ca. 200 Euro)) und b) muss das dann natürlich auch eingerichtet und verwaltet werden. Das ist recht viel, du lernst zwar eine Menge über Netzwerke und Sicherheit, aber es geht eben nicht out-of-the-box.

Mein Tip: in das Zertifikatsthema einlesen. Dann in das VPN Thema einlesen. Dann Motivation und Geldbeutel checken, wenn beides eher mau, dann mal spezieller in die VPN Lösung deines Routers schauen (falls der eben VPN kann). Hast du aber mehr Motivation, etwas Geld und willst dir gleich was "richtiges" aufbauen, dann sind die Raspi oder noch besser die pfSense Lösung dein Weg.
Natürlich gibt es auch diverse andere Anbieter, welche ebenfalls gute Lösungen für VPN und Router/Firewall Kombis anbieten...ich schreibe dir dies aber aus meiner eigenen Anwendererfahrung.

Bei Fragen: melden, dafür ist das Forum ja da...

Viel Spass beim Lesen, Grübeln und Entscheiden...
Grüssle
the other
 
Zuletzt bearbeitet:

4-Real

Benutzer
Mitglied seit
11. Sep 2019
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Also, eins vorweg. Ich bin natürlich nicht ganz auf den Kopf gefallen und habe natürlich auch einen VPN über die Fritz eingerichtet, soll jetzt natürlich in keinster Weise ein Vorwurf sein, nicht das wir uns falsch verstehen.. ;-)
Ich würde jetzt erstmal behaupten, wieso diese Grundfrage überhaupt aufgetaucht ist, das ich Kontakte gerne jederzeit aktualisieren möchte ohne voher dann eine VPN Verbindung zu erstellen..Ich will auch unabhängig von Google Contacts etc sein.
Oder wäre es hier sogar möglich ohne voher auf dem Iphone die VPN Verbindung zu aktivieren, die Kontakte über die myfritz https adresse zu syncen?
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
nö, alles gut. Dachte eben nur beim Lesen deiner Fragen, dass du da vielleicht noch mehr am Anfang stehen würdest. Also...wenn ich dich (jetzt) recht verstehe, dann wählst du dich von extern über die DDNS auf dein NAS, speziell den CARDAV-Server ein, um Adressen zu syncen. Dazu nutzt du die VPN Funktion deiner Fritzbox nicht sondern gehst via Portweiterleitung. Soweit richtig?

Wenn du nun fragst, ob das ggf. unsicher ist: dann ja, ist es, denn du leitest dann ja direkt auf dein NAS. Warum nicht den VPN weg gehen. Du kannst ja dein Smartphone vermutlich so einstellen, dass du eben immer eine VPN Verbindung nutzt, solange du mobil online bist. Abgesehen davon: bei mir sind es aktuell 2 Fingertippser und ich hab VPN auf dem Phone laufen. Und: wie oft syncst du denn Kontakte am Tag? Deine Entscheidung natürlich, aber sooo groß ist der Aufwand VPN zu nutzen in meinen Augen bei korrekter Konfiguration nicht.

Es geht sicherlich auch anders, nur sehe ich das Verhältnis zwischen Sicher und Praktikabel bei der VPN Lösung als sehr gut an. Daher nutze ich von extern NUR den VPN Zugang in mein Heimnetz /NAS. Heisst also: auf deine letzte Frage kann ich dir nicht helfen...

Weiter viel Erfolg
Grüssle
the other
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat