DSM 7.1 DS723+ erste Gehversuche

[eljot80]

Hallo zusammen,

nach knapp 20jahren netgear readynas duo habe ich jetzt auf eine DS723+ aufgerüstet!
Beide 4TB Platten sind verbaut, vier benutzer (familienmitglieder) angelegt und meine erforderlichen volumes angelegt.
hat alles perfekt geklappt. sämtliche daten von der alten nas sind jetzt auf der neuen nas!
fotostation inkl. apps auf iphones ist auch installiert und backup von handy auf nas funktioniert auch!
zugriff von extern übers interent mit quickconnect funktioniert auch!

jetzt die wichtigste frage für mich:
ist das ganze jetzt gegen angriffe von aussen sicher (zumindest verhältnismässig)!? der zugriff übers internet von extern ist zwar echt cool und hilfreich, aber wohl auch eine gefahr für angriffe von aussen!
ich muss zugeben, dass ich kein IT-profi bin, sondern ingenieur, der aber einigermassen klar kommt mit computern!
aktuell kann auch der admin-user übers internet auf die DSM, bzw. die volumes zugreifen! also auf ALLES! kann ich das z.b. komplett unterbinden?
würde gerne z.b. nur einen user mit begrenzten zugriffsrechten auf die volumes übers internet lassen! dann ist das risiko schon etwas minimiert!
von extern auf die foto-ordner müssen wohl alle user zugriff übers handy! kann der zugriff hier auch nur fürs handy erlaubt werden und nicht über den browser?

fragen über fragen! ich dank euch bereits vorab für eure hilfe!

viele grüsse, martin

 

[plang.pl]

Willkommen im Forum!
Wenn du keine Portweiterleitungen auf dem Router geschalten hast, ist das ganze auf jeden Fall sicherer, als wenn du das tust.
Du kannst in der Systemsteuerung zB festlegen, dass alle User mit admin-Rechten sich nur mit interner IP verbinden dürfen. Zusätzlich den Standard User mit dem Namen "admin" deaktivieren und dafür einen anderen User mit Adminrechten anlegen.
Den Zugriff auf den Foto-Ordner auf das Handy beschränken, geht nicht

 

[eljot80]

danke für die aufnahme ins forum!

eine portweiterleitung hab ich soviel ich weiss nicht eingerichtet im router! prüfe ich aber!
das nur admin-rechte zugriff auf die interne IP haben muss ich suchen wo das geht! hört sich aber gut an!
der standard-admin ist deaktiviert!

danke für die infos!

update:
portweiterleitung ist im router nichts definiert!
um nur die interne IP für admin-user zu beschränken habe ich nichts gefunden!
hab nebenbei unter "sicherheit - konto" den kontoschutz aktiviert und auch unter "schutz" das automatische blockieren nach 5 fehlgeschlagenen anmeldeversuchen! das macht bestimmt sinn!?
muss jetzt nur noch die beschränkung auf die IP finden...

 

[plang.pl]

Bitte keine Vollzitate bei Direktantworten.
Um das zu beschränken, musst du den Benutzer bearbeiten und in dem Reiter für Berechtigungen bei DSM auswählen "nach IP"

 

[eljot80]

also wenn ich bei einem benutzer "nach IP" auswähle und dort meine IP mit .0 und subnet mask eingebe bringt das überhaupt nichts! komme trotzdem mit dem user von aussen auf den DSM! nur bei "verweigern" wird der zugriff geblockt! irgendwas overruled das ganze!?

hab jetzt stundenlang rumgespielt, komm aber auf keinen grünen zweig!

 

[plang.pl]

Da kann ich leider keine weiteren Infos dazu geben. Ich hab das Ganze nie genutzt. Ich weiß nur, dass es das gibt.
Das musst du aber ja pro Anwendung setzen, oder? Hast du das für DSM gemacht?

 

[eljot80]

Ja, hab das speziell für die DSM gemacht. erstmal für einen expliziten user und dann auch über eine gruppe. Brachte beides keine positives ergebnis. irgendwo scheint da noch ein haken falsch gesetzt zu sein oder so? wenn ich den zugriff komplett verwehre funktionierts. das ist das komische an der sache! werde ich wohl weitersuchen müssen.

 

[Synchrotron]

Als erstes würde ich dem Admin-User den Zugriff nur noch mit 2FA erlauben. Es gibt dazu verschiedene Optionen, ich benutze die Synology-App SecureSignIn.

Ich lege immer noch einen zweiten Adminuser an, den ich nie aktiv benutze. Kann hilfreich sein, falls sich der erste mal festfrisst. Für meine eigene normale Nutzung kommt dann noch ein regulärer User dazu - Anmeldung als Admin nur für Adminaufgaben.

Bei den anderen Usern überlegen, ob die tatsächlich alles benötigen. Dazu die Freigaben beim User auf Pakete entsprechend setzen.

Etwas OT, aber ein User auf der DS ist nicht zwingend 1:1 mit Personen gleichzusetzen. Als Admin habe ich 3 User, 2x Admin, 1x ich als Normalbenutzer. Es gibt aber auch z.B. einen User Soundsystem, und der darf nur auf die Musik zugreifen; usw.

 

[eljot80]

ja, den admin-user zugriff nur noch mit 2FA zu erlauben wär schon mal ein anfang!
am liebsten wärs mir halt dass der admin lediglich "von zuhause" auf die NAS kommt und nicht von extern! wär schonmal ein guter schutz denk ich und hab auch keine notwendigkeit für externen admin zugriff.
dafür habe ich einen eigenen user, der dafür limitierte rechte hat. selbst für den überlege ich 2FA.

aber ich versteh trotzdem nicht warum das mit "nach IP" nicht wirklich funktioniert?

 

[plang.pl]

Im DSM kannst du sehen über das Widget, mit welcher IP der User angemeldet ist. Schau mal nach, ob da auch die externe IP steht

 

[eljot80]

ja, hab mich jetzt mal übers handy (wlan deaktiviert) auf der DSM eingeloggt und parallel das widget gecheckt. der zugriff erscheint in der liste! ist aber irgendeine lange mac-adresse so wie es aussieht!?

 

[plang.pl]

lange mac-adresse

Wohl eher eine IPv6

 

[eljot80]

oh, auch möglich! mein etwas schwach ausgeprägtes IT-wissen lässt sich schwer verbergen! ...aber ich geb mein bestes!

 

[Stationary]

Nutzt Du eine Fritzbox? Dann lasse das mit dem Quickconnect sein, aktiviere das VPN auf der Fritzbox und verbinde Dich von außen nur über VPN zum NAS. Portfreigaben kannst Du dann alle löschen.

 

[eljot80]

ja, benutze eine fritzbox! die mobilen apps (photo mobile & DS file) benötigen aber den quickconnect-zugang, oder?

 

[plang.pl]

Nein. Kannst dich auch via IP verbinden.
Auf der Fritte VPN einrichten, dann geht das auch von extern.
Anleitungen

 

[Stationary]

Wenn Du eine 7590 hast, richte Dir den Zugang direkt über Wireguard ein. Im Zusammenspiel mit iOS-Geräten läßt sich das dann sogar so konfigurieren, daß sich das VPN einschaltet, sobald Du Dein eigenes Netzwerk verläßt. Mit Android geht das bisher nicht direkt in der Wireguard-App, sondern erfordert noch eine weitere App, wie z.B. Tasker.

 

[eljot80]

hab eine 7490! gehts da auch mit wireguard?

aber vertraut denn niemand der verbindung über quickconnect und eine gut konfigurierte NAS-firewall?

 

[Benie]

Quick Connect benötigt entweder einen offenen Port, oder Du nutzt den Synology Dienst (Relay Dienst der Deine Daten weiterleitet). Die Sorge die hier von vielen gehegt wird ist halt daß man nicht so genau weiß, inwiefern Synology die Hand auf Deinen Daten hat.
Bei VPN bist Du halt direkt auf Dein Netzwerk verbunden und kannst handeln als ob Du Netzintern wie auch Zuhause unterwegs bist.

 

[Stationary]

Bei der 7490 mußt Du noch etwas auf die finale 7.51-Firmware warten - oder Du versuchst die Laborversion, die es davon bereits gibt.