2-Faktor Authentifizierung nur für externen Zugriff

[DJCook]

Hallo zusammen,

ich suche nach einer Möglichkeit, nur den externen Zugriff besser abzusichern über 2-Faktor Authentifizierung bei meiner DS920. Für den Zugang aus dem internen LAN ist mir das zu umständlich, außerdem befürchte ich mich auszusperren, sollte mein Handy den Geist aufgeben.
Frage an die Experten: kann ich nur den externen Zugang besser absichern? Wenn ja, wie funktioniert das?

VG, Chris

 

[EDvonSchleck]

Du kannst die 2FA nur für den jeweiligen User einstellen, zwischen intern und extern wird dort nicht unterschieden. Eventuell wäre VPN die bessere Lösung für dich, sofern nur du auf deinen NAS zugreifen willst. Für alle Anwender im vorhandenen Netzwerk funktioniert die Verbindung. Erst wenn du extern Zugriff ermöglichen willst, wäre VPN nicht die richtige Wahl.

 

[Jim_OS]

kann ich nur den externen Zugang besser absichern?

Auch wenn ich selber die 2FA nicht nutze: Du kannst bei der 2FA über "Vertrauenswürdige Geräte verwalten" die 2FA für einzelne Geräte/Clients aktivieren bzw. dann auch wieder deaktivieren.



Somit kannst Du alle Clients im LAN als vertrauenswürdig einstufen und dann sollte die 2FA nur noch für den externen Zugriff vorhanden sein.

Edit: Ich habe das gerade mal mit zwei Clients im LAN durchgespielt und es funktioniert. D.h. mein Arbeits-PC hier ist als vertrauenswürdig eingestuft und es kommt keine 2FA Abfrage und bei meinem Smartphone, das nicht als vertrauenswürdig eingetragen ist, kommt die 2FA Abfrage.


Noch ein Nachtrag: Du kannst im Protokollcenter dann auch sehen welcher Client sich über welche IP mit welcher Authentifizierungsmethode eingeloggt hat. Für einen Client mit aktivierter 2FA gibt es dann diese zwei Einträge:

User [xyz] from [192.168.x.xx1] signed in to [DSM] successfully via [password].​

User [xyz] from [192.168.x.xx1] has successfully passed the first authentication of 2FA via [password]​

Ohne 2FA dann halt nur den einen Eintrag:

User [abc] from [192.168.x.xx2] signed in to [DSM] successfully via [password].​

VG Jim

 

[DJCook]

Super! Vielen Dank für den Tipp!
Werde ich morgen direkt so umsetzen.

 

[Snyder]

Naja aber ist das Smartphone außerhalb des LAN dann nicht auch vertrauenswürdig?

 

[Kachelkaiser]

ja ist es. Dort wird nicht unterschieden woher der Login kommt.

 

[Snyder]

Nicht optimal, wenn das Handy verloren geht o.ä.
Gut, das Gerät selbst ist auch noch gesichert.

 

[Kachelkaiser]

wenn man das so genau machen will, muss man einfach so diszipliniert sein und das Hnady nicht als vertrauenswürdig einstufen ;-)

 

[Jim_OS]

Nicht optimal, wenn das Handy verloren geht o.ä.

Wenn das Handy verloren gehen sollte und dann auch noch jemand die Login-Hürden (PIN, Fingerabdruck, Gesichtserkennung) des Handys überwindet, ist die Frage ob es bei dem Handy dann noch eine zusätzliche 2FA für das NAS gibt sicherlich das geringste Problem.

Die von mir beschriebene Variante mit den vertrauenswürdigen Geräten bei der 2FA ist eigentlich genau das was der TE gebrauchen kann, weil er dann die 2FA zusätzlich nutzen kann, ohne zu Hause durch diese zusätzlichen Hürde beim einloggen "ausgebremst" zu werden. Und wie Kachelkaiser ja bereits geschrieben hat muss man ein Smartphone ja auch nicht als vertrauenswürdiges Gerät einstufen, da darüber halt ein Zugriff zu Hause, aber auch von unterwegs erfolgen kann.

VG Jim

 

[DJCook]

Nicht optimal, wenn das Handy verloren geht o.ä.
Gut, das Gerät selbst ist auch noch gesichert.

Wenn einer mein Handy in die Hand bekommt und es entsperren kann, dann habe ich ein RIESEN Problem. Mir geht es nur darum, dass sich kein fremdes Gerät ohne 2FA anmelden kann von extern. Das hilft schon ungemein und verbessert die Sicherheit deutlich. Bisher habe ich aus Angst vor fremdem Zugriff den externen Zugang komplett deaktiviert...

 

[luddi]

Wenn einer mein Handy in die Hand bekommt und es entsperren kann, dann habe ich ein RIESEN Problem.

Du kannst ja direkt nach dem Verlust das Vertrauen deines Handys entziehen.

 

[Puppetmaster]

Du kannst ja direkt nach dem Verlust das Vertrauen deines Handys entziehen

Gibt wohl noch andere Gründe, warum das ein riesen Problem ist als nur der zweite Faktor zum Zugriff auf die DS.

 

[luddi]

Gibt wohl noch andere Gründe, warum das ein riesen Problem ist als nur der zweite Faktor zum Zugriff auf die DS.

Man kann ja auch die Passwörter ändern oder den User Account temporär sperren.

 

[Puppetmaster]

Das hilft dir auch nicht weiter, wenn du sensible Daten auf deinem Telefon hast inkl. vielleicht weiterer Zugänge zu anderer Hard- und Software.

 

[luddi]

Es ist wie mit dem Haustürschlüssel. Wenn man den verliert bleibt auch ein Risiko. Aber mir ist klar dass hierzu zunächst einmal die Verbindung hergestellt werden muss zu welcher Tür der Schlüssel passt.
Wenn aber Schlüssel und Ausweisdokument abhanden kommen ist die Gefahr größer dass man hier zugleich die Anschrift hat zu welcher der Schlüssel passen könnte.

Ein anderes Beispiel mit der Girocard bzw. Debit/Kreditkarte mit kontaktloser Bezahlfunktion. Hier kann relativ zügig Waren im Wert von kleinen Beträgen bezahlt werden bis man überhaupt bemerkt dass die Karte abhanden oder entwendet wurde.

Wenn man in dem Fall eines abhanden gekommenen Handys worauf sensible Daten ungeschützt gespeichert sind, ist das ohnehin grob fahrlässig.

Also lassen wir doch einmal die Kirche im Dorf mit dem verloren gegangen Handy.

In allen drei Fällen aus dem Alltag sind sofortige Maßnahmen zu ergreifen um einen möglichen Schaden so gering wie möglich zu halten.
Da ist ein verlorenes Handy in meiner Sicht nicht schlimmer als andere verloren gegangene persönliche Gegenstände.

Man selbst muss eben präventiv dafür Sorge tragen das Risiko so gering wie möglich zu halten.

 

[ronnie]

Direkt zu disem Thema fiel mir auf :
2FA habe ich für einen Benutzer mit Admin Rechten hier auf der DS 220+ aktiviert. Beim Login kommt auch die Abfrage und muss diese mit der App bestätigen. Soweit alles gut.
Vom Smartphone aus geh ich üblicherweise ja auf die mobile Webseite und nur dann kommt die Abfrage überraschenderweise nicht. Nach erfolgtem Login kann ich aber im Browser auf die Desktop-Seite wechseln und habe somit 2FA umgangen.
Habe ich eine Einstellung übersehen oder ist die Sicherheitseinstellung wirklich so wirkungslos ?

 

[RainerK]

Guten Tag,

ich springe mal mit meinem "2FA-Problem" in diesem Thread auf, um nicht einen neuen aufzumachen:

Wie kann ich auf meiner DS218+ unter DSM 7.1.1-42962 Update 4 die 2FA für mein Admin-Konto endgültig abschalten? Alle bisherigen Versuche scheiterten, nach jedem neuen Login werde ich damit konfrontiert:


Ist 2FA für ein Admin-Konto tatsächlich obligatorisch?

 

[Fusion]

Systemsteuerung > Benutzer > Erweitert oder so steckt die grundlegende Einstellung, ob diverse Gruppen oder Benutzer 2FA benutzen müssen.

 

[RainerK]

@Fusion, danke für die schnelle Rückmeldung. Mit Deinem Hinweis "Systemsteuerung > Benutzer > Erweitert" konnte ich die 2FA nicht loswerden (vermutlich hast Du eine andere DSM-Version), allerdings fand ich unter "Systemsteuerung > Sicherheit > Konto" diese Einstellmöglichkeit

die mich nach Wegklicken von "2-Faktor-Authentifizierung für die folgenden Benutzer erzwingen" endlich vom 2FA-Zwang erlöst hat.

 

[Fusion]

Nein, nur vergessen, dass das umgezogen ist. Aber hast ja trotzdem gefunden.