Absichern bestimmter Ordner und Dateien gegen Zugriff von Aussen?

[perry]

Hallo
ich hoffe ihr könnt mir bei zwei Anfängerfragen helfen, deren Antwort mir das Benutzerhandbuch nicht klar beantwortet:

1. Ich möchte von meinem Laptop zentrale und sensibele Dateien auf dem DS216j nutzen. Beispielsweise die Sicherung des Laptops, Dokumente, Finanzdaten etc. Wie stelle ich sicher, dass auf diese Daten aus dem LAN (also von innen), nicht jedoch über das Internet (von aussen) zugegriffen werden kann? mache ich das über die Freigaben der Ordner in denen diese Dateien sind?

2. Die o.g. Ordner, beispielsweise die Sicherung des Laptops: kann ich diese Verschlüsseln mit Synology Boardmitteln? Wenn ja: kann ein Programm, beispielsweise Outlook, noch auf die PST datein zugreifen, obwohl Synology diese (Datei oder ordner) verschlüsselt?

Gruß

Perry

 

[Stewi]

Das kommt darauf an, ob überhaupt von außen auf die DS zugegriffen werden soll. Wenn du sie nur innerhalb deines Netzes zu Hause nutzt, dann kannst du die Firewall so einstellen, dass alles anderen Zugriffe geblockt werden. Wenn du auch über das Internet darauf zugreifen willst, dann geht das über VPN. Was nicht geht, ist das selektieren von Ordnern auf die zwar von innen, aber nicht von außen zugegriffen werden kann. Entweder alles oder nichts. Vielleicht kann man das irgendwie hintricksen, ist mir aber nicht bekannt.

Ob das dann mit der PST Datei von Outlook klappt kann ich mangels Erfahrung nicht sagen. Mir erschliesst sich auch nicht der Sinn, warum man diese Datei auslagern sollte. Wenn du mit dem Laptop unterwegs bist (und dafür ist so ein Teil ja nun mal da), dann stehst du blöde da.
Oder habe ich deine Frage falsch verstanden?

 

[perry]

hallo Stewi

danke für deine Antwort.
Ja, ich möchte die DS auch als Cloud nutzen und aus dem Internetz darauf (musik, fotos, unwichtige dokumente) zugreifen. ich hatte die Hoffnung, dass ich über die Ordner berechtigungen dies erzeugen kann.
die outlook pst habe ich wegen der RAID 1 funktion auf den DS gelegt. Sollte eine Festplatte ausfallen, habe ich diese Datei noch auf der anderen...

 

[dil88]

PST-Archive solltest Du öffnen können, da verschlüsselte Ordner vor ihrer Nutzung von einem entsprechend berechtigten Nutzer eingehängt werden müssen, so dies nicht automatisch geschieht, was aber dem Sicherheitsgedanken entgegen steht. Anschließend sind die Daten im Netz transparent über das Netzlaufwerk abrufbar.

 

[Stewi]

Dann bleibt dir als Zugriff von außen nur noch VPN, damit lässt sich das realisieren.

PST Datei auf der DS halte ich für eine ganz schlechte Idee. Erst einmal performancetechnisch, kommt natürlich auch auf die Größe deines Postfachs an, und dann natürlich auch sicherheitstechnisch. Wenn deine DS geklaut wird, oder abfackelt, oder den Tod durch Überspannung stirbt, dann nützt dir auch ein RAID 1 nichts. Meine Empfehlung wäre, die PST Datei lokal belassen und dafür jeden Abend eine Sicherung auf die DS einrichten.
Auch für deine "sensiblen" Daten nützt dir ein RAID 1 garnichts wegen der oben beschriebenen Szenarien, auch da wirst du um ein externes Backup nicht herum kommen.

Und wie immer der Hinweis, RAID 1 ist kein Backup, es dient lediglich der Datenverfügbarkeit, um z.B. ohne Zeitverlust weiter arbeiten zu können. Wenn du aus Versehen eine Datei löscht, dann ist sie bei einem RAID 1 auf beiden Platten weg. Deshalb von wichtigen Daten immer ein externes Backup. Dafür hast du einen schnellen USB 3 Anschluss an deiner DS. ;-)

 

[dil88]

Würde den aktiven Datenpool von Outlook auch nicht auf die DS legen sondern nur Archive.

 

[perry]

Danke für die Anregungen, das überlege ich mir in der Tat noch einmal mit der PST Datei.
Was mich jedoch wurndert, ist, dass Ordner nicht von Aussen schützen kann (aussser via VPN).

 

[dil88]

Wieso kannst Du Ordner nicht schützen? Du kannst sie genauso schützen wie die gesamte DS. Wenn Du keinen Zugriff von außen gestattest, kommt man nicht drauf. Wenn Du nur VPN erlaubst, kommt man nur per VPN drauf. Machst Du einen Portforward z.B. für Port 443, um die PhotoStation zu nutzen, kommst Du von außen auch nicht auf die Ordner.

 

[Stewi]

Was nicht geht ist, dass du Ordner A,B und C von innen sichtbar machst, aber nur Ordner A und C von außen. Zumindest nicht mit ein und demselben Benutzer.
Was du machen kannst ist, User 1 kann A,B und C sehen (dann aber innen und außen), und User 2 kann nur Ordner A und C sehen (auch wieder innen und außen). Dies lässt sich über Berechtigungen lösen.
Ich habe dich aber so verstanden, dass du grundsätzlich einige Ordner nur von innen sichtbar machen willst, und das geht m.E. nicht so ohne Weiteres.

 

[perry]

hallo dil88
kann ich also Ordnern individuell sagen, dass sie ausschliesslich von innen erreichbar sein dürfen? wenn ja, wie?
Ordner kann ich ja einige anlegen. ein ordner soll entweder von aussen ODER von innen erreichbar sein.
@Stewi
ja, einige Ordner sollen nur von innen erreichbar sein.

 

[Puppetmaster]

kann ich also Ordnern individuell sagen, dass sie ausschliesslich von innen erreichbar sein dürfen?

Nein, das geht nicht. Das wurde ja nun auch bereits ein paar Mal geschrieben.

 

[dil88]

Nein, der Zugriff geschieht ja für alle Ordner technisch auf die gleiche Weise.

 

[perry]

seht es mir nach, wenn ich nachfrage. Allen Ordnern unterliegen die gleichen Mechanismen. Also bleibt mir nur die möglichkeit, user anzulegen und deren Rechte (privilegien) zu beschränken?
und über die explizite weiterleitung von ports auf dem router?

 

[rednag]

Das ist soweit richtig. Aber natürlich nur, wenn Du "intern" (im LAN) andere Rechte haben willst, wie von "extern".
Das wurde ja von @dil88 und @puppetmaster bereits ausgeführt. Anders kann man den Zugriff nicht regeln. Dem Ordner ist es relativ Banane ob er von extern oder intern aufgerufen wird.

 

[perry]

hm, da muss ich mir mein design nocht einmal überdenken. Ich hatte auf die Funktion einer DMZ gehofft...
Wie macht ihr das denn? ihr habt doch sich auch Daten die nicht für die Öffentlichkeit bestimmt sind, wollt aber von extern auf die DS? oder wollt bekannten den externen zugriff erlauben?

 

[Stewi]

Auch wenn du es nicht hören willst, aber VPN ist das Mittel deiner Wahl. Über die FritzBox einrichten und auf der DS nur interne IPs zulassen.

 

[rednag]

Wie macht ihr das denn? ihr habt doch sich auch Daten die nicht für die Öffentlichkeit bestimmt sind, wollt aber von extern auf die DS? oder wollt bekannten den externen zugriff erlauben?

Wo liegt das Problem? User1 darf auf gemeinsamen Ordner1, User2 darf auf Ordner1 und Ordner2. Das kann man doch soweit regeln. Es gibt nur keine Differenzierung von "extern" und "intern". Von extern greifen die selben Regeln wie Intern. Darf ein User auf den Ordner2 nicht zugreifen, kann er das weder intern noch von extern.