- Mitglied seit
- 01. Mai 2017
- Beiträge
- 4
- Punkte für Reaktionen
- 0
- Punkte
- 7
Hallo liebes Forum,
ich habe nun schon mein dritte Synology NAS innerhalb von knapp 10 Jahren und bin wirklich zufrieden damit. Immer mal wieder stelle ich mir aber die Frage wie ich einige der Dienste auch möglichst sicher über das Internet nutzen kann. Ich habe derzeit eine 1 GBit/s Anbindung von Unitymedia/Vodafone (1000 Down / 50 Up) mit IPv4 Adresse. Mein derzeitiges Netzwerkdesign für den Zugriff sieht wie folgt aus
Internet -> Providerrouter (mit Portfreigaben) -> Firewall mit IPS/IDS und VPN (mit Portfreigaben) -> NAS (ebenfalls mit konfigurierter Firewall).
Ich habe die Ports für den Moments Zugriff und Drive Zugriff (wo möglich) geändert. Ich würde gerne von extern die Ports TCP 443 (für Download Freigaben aus Drive heraus und Moments Freigaben), TCP 6690 (für den Drive Windows/Mac Client), TCP 20000 (Moments App), TCP 30000 (Drive App) freigeben. Auf der Firewall läuft ein GeoIP Filter, dessen Datenbank täglich automatisiert aktualisiert wird. Hier ist nur Deutschland als Quelle für die Zugriffe zugelassen. Ebenfalls läuft auf der Firewall noch Snort inklusive Subscription für Cisco Talos (wird ebenfalls täglich aktualisiert) und Rules Base für u.a. WebApps und Webserver (in den WebApps gibt es extra Regeln zur Absicherung von Synology Webzugriffen), auf dem NAS ist ebenfalls das übliche an (Adminaccount deaktiviert, Login nur 2FA, DDoS Schutz, falsche Loginversuche führen zu Blocking, Firewall mit ebenfalls nur Zugriff aus Deutschland). Einen Reverse Proxy betreibe ich nicht davor, könnte ich aber auch noch hochziehen. HSTS ist nicht aktiviert, so dass der Port für das Admin Login an DSM nicht erreichbar ist.
Nun meine Frage an euch: Würdet ihr unter diesen Vorraussetzungen die genannten Synology Dienste ans Internet hängen? Wenn nein, warum nicht? Betreibt ihr vielleicht bereits ein ähnliches Konstrukt? Momenten existieren die Portfreigaben noch nicht. Auf der genannten Hardwarefirewall ist ebenfalls eine VPN Einwahl mittels OpenVPN wie auch IPsec von mobilen Clients aus möglich. Allerdings muss derzeit immer zuerst der VPN Client usw gestartet werden, was besonders bei meiner Frau zu Unmut führt. Ich kann mit der VPN Einwahl aus Sicherheitsaspekten sehr gut leben - der Convenience Faktor ist halt nur nicht so toll.
Quickconnect ist keine Alternative für mich auf Grund von Datenschutzbedenken (Stichwort: SSL Interception in den Rechenzentren von Synology).
Ich habe auch schon sehr viele Posts hier im Forum gelesen, in denen es um eine ähnliche Frage geht. Mich interessiert aber auch wie ihr die Dienste eurer Synology Box nutzt und welche Erfahrungen ihr bereits gesammelt habt.
Über eine Rückmeldung würde ich mich freuen
- Elmnts
ich habe nun schon mein dritte Synology NAS innerhalb von knapp 10 Jahren und bin wirklich zufrieden damit. Immer mal wieder stelle ich mir aber die Frage wie ich einige der Dienste auch möglichst sicher über das Internet nutzen kann. Ich habe derzeit eine 1 GBit/s Anbindung von Unitymedia/Vodafone (1000 Down / 50 Up) mit IPv4 Adresse. Mein derzeitiges Netzwerkdesign für den Zugriff sieht wie folgt aus
Internet -> Providerrouter (mit Portfreigaben) -> Firewall mit IPS/IDS und VPN (mit Portfreigaben) -> NAS (ebenfalls mit konfigurierter Firewall).
Ich habe die Ports für den Moments Zugriff und Drive Zugriff (wo möglich) geändert. Ich würde gerne von extern die Ports TCP 443 (für Download Freigaben aus Drive heraus und Moments Freigaben), TCP 6690 (für den Drive Windows/Mac Client), TCP 20000 (Moments App), TCP 30000 (Drive App) freigeben. Auf der Firewall läuft ein GeoIP Filter, dessen Datenbank täglich automatisiert aktualisiert wird. Hier ist nur Deutschland als Quelle für die Zugriffe zugelassen. Ebenfalls läuft auf der Firewall noch Snort inklusive Subscription für Cisco Talos (wird ebenfalls täglich aktualisiert) und Rules Base für u.a. WebApps und Webserver (in den WebApps gibt es extra Regeln zur Absicherung von Synology Webzugriffen), auf dem NAS ist ebenfalls das übliche an (Adminaccount deaktiviert, Login nur 2FA, DDoS Schutz, falsche Loginversuche führen zu Blocking, Firewall mit ebenfalls nur Zugriff aus Deutschland). Einen Reverse Proxy betreibe ich nicht davor, könnte ich aber auch noch hochziehen. HSTS ist nicht aktiviert, so dass der Port für das Admin Login an DSM nicht erreichbar ist.
Nun meine Frage an euch: Würdet ihr unter diesen Vorraussetzungen die genannten Synology Dienste ans Internet hängen? Wenn nein, warum nicht? Betreibt ihr vielleicht bereits ein ähnliches Konstrukt? Momenten existieren die Portfreigaben noch nicht. Auf der genannten Hardwarefirewall ist ebenfalls eine VPN Einwahl mittels OpenVPN wie auch IPsec von mobilen Clients aus möglich. Allerdings muss derzeit immer zuerst der VPN Client usw gestartet werden, was besonders bei meiner Frau zu Unmut führt. Ich kann mit der VPN Einwahl aus Sicherheitsaspekten sehr gut leben - der Convenience Faktor ist halt nur nicht so toll.
Quickconnect ist keine Alternative für mich auf Grund von Datenschutzbedenken (Stichwort: SSL Interception in den Rechenzentren von Synology).
Ich habe auch schon sehr viele Posts hier im Forum gelesen, in denen es um eine ähnliche Frage geht. Mich interessiert aber auch wie ihr die Dienste eurer Synology Box nutzt und welche Erfahrungen ihr bereits gesammelt habt.
Über eine Rückmeldung würde ich mich freuen
- Elmnts
