Lokaler Zugriff schützen

[mv90]

Guten Abend,

ich hätte einmal eine allgemeine Frage an euch. Meine Synology ist nur im internen Lan bzw. über VPN erreichbar.
Somit sichere ich mich ja schon einmal relativ gut ab. Was mir allerdings nun etwas Kopfzerbrechen bereitet ist folgende Situation.

Mein Gerät (Mac/Windows Rechner) befindet sich in einem fremden Netzwerk (Hotel sonstiges). Die VPN Verbindung ist noch nicht aktiviert. Ich verbinde nun meine Laufwerke automatisch beim anmelden. Dabei wird ja versucht die Synology zu erreichen. Dabei müsste ja Benutzername und Kennwort übertragen werden? Wie sieht es hierbei aus? Ist es möglich diese Daten ab zu fangen? Wäre es evtl. besser die Laufwerke über WebDav ein zu binden?

ich dank euch für eure Antworten.

 

[JudgeDredd]

Dabei müsste ja Benutzername und Kennwort übertragen werden?

Zuerst wird ja versucht die Syno zu erreichen. Wenn diese nicht erreichbar ist, werden auch keine Anmeldeinformationen übertragen.

Wenn Du den VPN-Tunnel aufbaust, dann erfolgt dies ja verschlüsselt. Was dann innerhalb des Tunnels passiert ist für das Hotel nicht sichtbar (mal abgesehen von PPTP).

 

[mv90]

Zuerst wird ja versucht die Syno zu erreichen. Wenn diese nicht erreichbar ist, werden auch keine Anmeldeinformationen übertragen.

.

Das wollte ich wissen. Dann besteht aber immer noch die Möglichkeit, dass es ein Gerät gibt, welches zufälligerweise die selbe IP-Adresse hat wie meine Synology. Wie sieht es dann aus?

 

[AndiHeitzer]

Das ergäbe einen IP-Adress-Konflikt.
IMHO sind routingfähige IP-Adressen Unikate, gibt es also per Definition nur einmalig auf der Welt.

 

[mv90]

Das kam etwas falsch rüber. Angenommen meine Synology verwendet die Adresse 192.168.0.2. Ich befinde mich in einem Fremden Lan und der PC bekommt die Adresse 192.168.0.3 zugeteilt. Mein VPN steht noch nicht. Nun hieß es es wird versucht die Synology als erstes zu erreichen. Das bedeutet für mich so viel wie es wird erstmal allgemein ohne Austausch von User/PW versucht gibt es auf der 192.168.0.2 ein Gerät? Windows/Mac ist es ja völlig egal gehe ich davon aus, was es für ein Gerät ist (Synology sonstige Freigabelaufwerke). Befindet sich nun auf dieser Adresse ein Gerät, so müsste er ja anfangen sich darauf anmelden zu wollen. Hier müsste ja dann Benutzername/PW übertragen werden.
Genau dieser Fall meinte ich nun. Es geht mir nicht um den Aufbau des VPN oder wenn dieser einmal steht. Da ja dann alles durch den VPN geleitet wird, sondern wirklich wenn die VPN bei der Anmeldung noch nicht aktiv ist. Und hier kann es durchaus sein, dass ein Gerät die selbe interne LAN Adresse hat wie meine Synology.

 

[AndiHeitzer]

Puh so richtig firm bin ich da nicht.

Aber so weit ich weiß, sollte ein Gerät auf der 'gewünschten' IP Antworten, dann klopft der Client erst mal an und gibt allenfalls den Usernamen mit.
Der Server sollte kucken, und wenn es den user gibt, erst dann nach dem zugehörigen PW fragen.
Aber ganz ehrlich, wissen tu ich das nicht wirklich.

Ist der Client schlau genug, dann müsste er 'meckern' weil er auf ein 'fremdes'/'neues' Zertifikat gestossen ist. Das würde ich zumindest so erwarten.

 

[mv90]

Auch dir vielen Dank für die Antwort. Ich sehe schon, so eine wirklich 100% sichere Aussage wird wohl schwierig sein zu bekommen.

 

[nageniil]

Hallo, mv90,

wenn Du Laufwerke verbindest, verbindest Du ja nicht auf das "komplette Gerät", sondern auf eine dazu freigegebene Ressource. Es müsste im fremden LAN also ein Gerät mit genau der gleichen IP-Adresse wie Deine Syno daheim geben UND einer gleichlautenden Freigabe wie auf der Syno daheim. Erst wenn diese Freigabe gefunden wird, wird auch nach Benutzername und Passwort gefragt, ansonsten "Netzlaufwerk nicht gefunden" (ohne bereits Namen/Passwort übertragen zu haben).
Wenn bei einer zufällig gleichlautenden Freigabe (z.B. //192.168.0.3/video) dafür allerdings Anmeldeinformationen in Windows (oder im "Schlüsselbund") gespeichert sind, dann werden die natürlich verwendet, um eine Sessionverbindung mit der Freigabe zu etablieren.

Deshalb vielleicht im fremden LAN erstmal schauen, was Dein Endgerät für eine IP-Adresse bekommen hat. Wenn die aus dem gleichen Subnetz (192.168.0.xxx) stammt wie Dein Heimnetzwerk zuhause hat, dann kannst Du VPN generell vergessen.
Und deshalb habe ich meinem Heimnetzwerk gleich eine andere private Netzwerkadresse verpasst (eine, die nicht bei Fritzbox, Speedport und Co. voreingestellt ist), zum Beispiel 192.168.120.0 . Damit ist der abzusehende Ärger wieder deutlich weniger wahrscheinlich...

 

[mv90]

Das mit dem Subnetz habe ich beim VPN beachtet. Ich habe deswegen auch eine Netzwerkadresse vergeben, welche normalerweise nicht von irgendwelchen Herstellern verwendet wird.
Also wenn ich das nun so lese, dann ist eig. die Gefahr rel. gering, dass es zum Austausch der Daten in einem fremden Netzwerk kommt.