Sicherheitsbetrachtung bei Hyper Backup via Internet zwischen zwei Syno NAS

JLieber

Benutzer
Mitglied seit
20. Jun 2012
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich habe zwei NAS, welche sich gegenseitig per Hyper Backup übers Internet sichern sollen.
Testweise hab ich das ganze auch schon mal mit einzelnen Testordnern/datein zum Laufen bekommen:
- Port 6281 im Router freigegeben
- DDNS synology.me eingerichtet
- Hyper Backup: * Haken gesetzt bei "Clientseitige Verschlüsselung aktivieren"
* Übertragungsverschlüsselung EIN

Mir ist klar, dass mein NAS nun über das Internet erreichbar ist. Nur kann ich nicht beurteilen, ob die oben genannten Schritte für eine vernünftige Sicherheit bzgl. unbefugte Zugriffe/Datenklau usw. bereits genügen. Oder ob noch weitere Maßnahmen sinnvoll wären. Z.b. eine VPN Verbindung.

Danke und beste Grüße
Jürgen
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.927
Punkte für Reaktionen
475
Punkte
109
Moinsen,
zermartere dir nicht lange das Hirn: sicherer ist der VPN Zugang, denn
1. sind die Daten bei der Übertragung zusätzlich verschlüsselt
2. sparst du dir eine weiter (?) Portfreigabe und -weiterleitung

;)
 
  • Like
Reaktionen: Synchrotron

nas-central.de

Benutzer
Mitglied seit
22. Jun 2021
Beiträge
36
Punkte für Reaktionen
1
Punkte
14
HypverBackup Vault startet den img_backupd Dienst auf Port 6281. Was der genau macht weiß wohl nur der Hersteller. Deswegen kann man gar nicht beurteilen, wie sicher das ist. In jedem Fall ist man damit vom Hersteller abhängig. Wir raten davon ab, solche Dienste vom Internet aus frei zugänglich zu machen.

Ein VPN ist die wesentlich bessere Lösung, entweder direkt zwischen den beiden Routern oder einfacher noch als OpenVPN zwischen den beiden NAS. Die OpenVPN Lösung empfiehlt sich auch, wenn deine Router mit dem VPN Datendurchsatz überfordert sind.
 
  • Like
Reaktionen: the other

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.927
Punkte für Reaktionen
475
Punkte
109
Moinsen,
jep. Und das NAS als VPN Server sollte nur die allerletzte Möglichkeit sein, eher nur als Übergang, bis ggf. ein potenterer Router am Start ist. Denn den Fileserver als VPN Server zu mißbrauchen sollte eigentlich vermieden werden...
;)
 

nas-central.de

Benutzer
Mitglied seit
22. Jun 2021
Beiträge
36
Punkte für Reaktionen
1
Punkte
14
Das VPN würde in dem Fall ausschließlich für das Backup aufgespannt. Von allen Ports, die man am NAS aufmachen kann, ist der OpenVPN Port noch einer der unkritischsten. Ein weiterer Vorteil ist, dass OpenVPN über den normalen SSL Port läuft, was so gut wie immer funktioniert, auch wenn andere VPNs nicht möglich sind.

Aber grundsätzlich hast du natürlich Recht, dass jeder offene Port, der sich am NAS vermeiden lässt auch vermieden werden soll. Ein VPN zwischen den Routern oder zumindest vom NAS auf den Ziel-Router ist die eleganteste Lösung.
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.927
Punkte für Reaktionen
475
Punkte
109
Moinsen,
auch da
Ein weiterer Vorteil ist, dass OpenVPN über den normalen SSL Port läuft, was so gut wie immer funktioniert, auch wenn andere VPNs nicht möglich sind.
bin ich absolut bei dir. Daher ja der Hinweis, sich ggf. mal einen besseren Router anzuschauen, wenn die Erreichbarkeit eine Rolle spielt. Zur Not tut es ja auch ein Raspi...
Und auch da bin ich bei dir: gemessen an so manch einer hier im Forum dargestellten Erreichbarkeitslösung ist der eine openVPN Port sicherlich relativ unbedenklich...aber eben nicht ganz (mal davon abgesehen, dass auch die openVPN Versionen von synology oft ziemlich hinterherhinken).
;)
 

nas-central.de

Benutzer
Mitglied seit
22. Jun 2021
Beiträge
36
Punkte für Reaktionen
1
Punkte
14
Wem OpenVPN an sich zu unsicher ist, der kann noch ein Geo-Blocking über die Firewall aufsetzen oder sogar auf die Provider-IPs des Quell-NAS filtern. Spätestens dann ist es ein vertretbares Sicherheits-Niveau.
 

manu_syn

Benutzer
Mitglied seit
05. Mai 2019
Beiträge
19
Punkte für Reaktionen
3
Punkte
3
So schlecht ist dein Setup nicht. Du verschlüsselst die Daten ja schon clientseitig... Und die Übertragung ist ebenfalls verschlüsselt. Eine zusätzliche VPN Verschlüsselung bringt hier für den Datenaustausch meiner Meinung nach keinen wirklichen Mehrwert.

Jetzt wo dein NAS im Netz steht können natürlich noch andere Dinge passieren als dass deine Verbindung abgefangen wird. Eine Sicherheitslücke im hyper Backup wäre doof. Genauso könnte es aber auch ein Sicherheitslücke im VPN Server geben. Nimmt sich also nicht so viel.
Stell sicher dass du alle Dienste die du nicht brauchst auch nicht für den externen Zugang freigibst wie zB DSM Oberfläche etc.
 

JLieber

Benutzer
Mitglied seit
20. Jun 2012
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,
erstmal vielen Dank für die vielen Antworten.
Eine VPN Verbindung wäre also ggf. zusätzlich einzurichten. Bevorzugt von Router zu Router. In meinem Setup habe ich einen
- Standort1: Telekom Speedport W724V (welche wohl keine VPN aufbauen kann) und eine
- Standort2: Schweizer Sunrise Internet Box (hier gibt es zumindest den Punkt VPN im Router-Menü).
Somit wäre denkbar, via NAS am Standort1 eine VPN Verbindung zum Router an Standort2 herzustellen. Oder eben direkt von NAS zu NAS.
Werde mal ein wenig rumprobieren... :unsure:
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.927
Punkte für Reaktionen
475
Punkte
109
Moinsen,
rein aus Interesse mal nachgesehen und eher nix gefunden:
https://www.sunrise.ch/content/dam/...buch_Sunrise_Internet_Box_neue_firmware_d.pdf

Falls das dein Modell sein sollte...

Alternativ eben den VPN Server auf einem Raspi 4 einrichten, da gibt es eine gute Community zu...kostet ca 100 Euro.
Dein NAS sollte durchaus die Verbindung zum VPN Server aufbauen können, das ist auch nicht der unsichere Teil. Unsicher ist es, das NAS als VPN Server zu nutzen.
;)
 

Synchrotron

Benutzer
Mitglied seit
13. Jul 2019
Beiträge
2.462
Punkte für Reaktionen
412
Punkte
129
Persönlich halte ich die Frage, wie ich einen spezifischen Dienst abgesichert bekomme, für etwas kurz gesprungen.

Eine VPN-Verbindung zweier (Heim-)Netze sorgt für die sichere Verbindung, unabhängig davon, welche Dienste dann darüber laufen sollen. Das ist eine Basislösung, die z.B. ein sicheres Backup ermöglicht, ohne dafür extra noch etwas einzurichten.

Du kannst natürlich deine allein stehende Backupverbindung aufsetzen, das sah für mich ganz ordentlich aus. Nur löst du damit nur den Backupfall, keine weiteren Anwendungsfälle.

Mit einem Raspi 4 an beiden Enden (je ca. 100€) lässt sich eine VPN-Brücke unabhängig vom Router und dem NAS einrichten. Ich würde WireGuard nehmen, das ist deutlich schlanker und performanter als OpenVPN.
 

XenBo

Benutzer
Mitglied seit
19. Jun 2020
Beiträge
22
Punkte für Reaktionen
1
Punkte
3
Persönlich halte ich die Frage, wie ich einen spezifischen Dienst abgesichert bekomme, für etwas kurz gesprungen.

Wenn man nur den einen Dienst braucht ist das doch ok.

Mit einem Raspi 4 an beiden Enden (je ca. 100€) lässt sich eine VPN-Brücke unabhängig vom Router und dem NAS einrichten. Ich würde WireGuard nehmen, das ist deutlich schlanker und performanter als OpenVPN.

Wo ist der Vorteil, wenn du dir zwei Raspis ins Netz hängst und darüber das VPN aufbaust? Dann kannst du es auch gleich über die beiden NAS machen. Wenn das VPN angreifbar ist dann ist ein Angreifer in beiden Fällen in deinem Netz.
 

Synchrotron

Benutzer
Mitglied seit
13. Jul 2019
Beiträge
2.462
Punkte für Reaktionen
412
Punkte
129
Die VPN-Lösung der DS ist eine „Sparversion“ von OpenVPN. Zugleich ist das VPN auf dem Server sicherheitstechnisch die schlechteste Lösung. Wer damit glücklich wird …

Sicherheitstechnisch die beste Lösung ist die Installation am Netzwerkzugang, also eine VPN auf dem Router. So wie ich die hier vorhandenen Router lese fällt das hier weg.

2 neue Router mit einer guten VPN-Lösung sind deutlich teurer als 2 Raspis.
 

Synchrotron

Benutzer
Mitglied seit
13. Jul 2019
Beiträge
2.462
Punkte für Reaktionen
412
Punkte
129
Hier findest du einige der Dinge, die standardmäßig fehlen und in vielen Fällen über die Oberfläche selbst nicht aktiviert werden können bzw. durch den Benutzer spezifisch einzurichten sind.

https://www.synology-wiki.de/index.php/OpenVPN_härten

Mit dem OpenVPN meines Teltonika-Routers konnte ich keine Verbindung herstellen. Dazu gibt es einen anderen Thread.
 

XenBo

Benutzer
Mitglied seit
19. Jun 2020
Beiträge
22
Punkte für Reaktionen
1
Punkte
3
Ich sehe da keine wirklichen Einschränkungen. Der Beitrag ist auch schon fünf Jahre alt. Ich hatte nie Probleme mit dem OpenVPN der Synos. Wenn es gar nicht anders geht kann man die Konfigurationsdatei auch manuell anpassen.

Nach wie vor sehe ich den Gewinn von zwei Raspis nicht. Das sind zwei weitere Geräte die gewartet werden müssen und ausfallen können. Der Sicherheitsgewinn ist auch nicht wirklich da, weil sowohl die Raspis als auch das Nas hinter dem Router stehen.
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.927
Punkte für Reaktionen
475
Punkte
109
Moinsen,
Nach wie vor sehe ich den Gewinn von zwei Raspis nicht. Das sind zwei weitere Geräte die gewartet werden müssen und ausfallen können. Der Sicherheitsgewinn ist auch nicht wirklich da, weil sowohl die Raspis als auch das Nas hinter dem Router stehen.
Das stimmt.
Aber: der mögliche Ausfall ist kein Argument, denn das kann auch dem Router / NAS / VPN Server passieren.
Außerdem hinkte in der Vergangenheit synology mit dem VPN Paket der aktuellen Version hinterher. Da sich das Paket auf dem NAS selbst befindet, steigt die Gefahr, dass durch veraltete /fehlerhafte Versionen der VPN Software die Angriffsgefahr steigt. Der Angreifer ist dann ggf. schon auf dem NAS. Mit einer eigenen separaten VPN Server Variante müsste der Angreifer trotzdem noch den Zugang zum NAS erarbeiten.

Und klar: sowas gehöt eigentlich an die Peripherie des Netzwerkes, nicht mitten rein. Und wenn wir schon am Träumen sind: dann wäre auch eine strenge Segmentierung des Netzwerkes mit zugehörigen Routingregeln schick, damit dem VPN Angreifer nicht gleich das ganze Netzwerk offen steht.
jm2c
;)
 

Synchrotron

Benutzer
Mitglied seit
13. Jul 2019
Beiträge
2.462
Punkte für Reaktionen
412
Punkte
129
Persönlich nutze ich WireGuard als schlankeres, performanteres Protokoll auf Raspis.

Daher habe ich den VPN-Client der DS seit meinen Gehversuchen ruhen lassen.
 

XenBo

Benutzer
Mitglied seit
19. Jun 2020
Beiträge
22
Punkte für Reaktionen
1
Punkte
3
Aber: der mögliche Ausfall ist kein Argument, denn das kann auch dem Router / NAS / VPN Server passieren
Mit der Lösung hast du zwei Geräte, die ausfallen können. Fällt der Router aus ist der Raspi auch weg. Ausfallwahrscheinlichkeit also verdoppelt. Sicherheitsgewinn lasse ich mal dahin gestellt.

Außerdem hinkte in der Vergangenheit synology mit dem VPN Paket der aktuellen Version hinterher
Ist mir nicht bekannt, dass Synology Sicherheitslücken im VPN Server offen lässt. Alleine in diesem Jahr gab es schon fünf Updates

https://www.synology.com/de-de/releaseNote/VPNCenter
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.927
Punkte für Reaktionen
475
Punkte
109
Moinsen,
Ja, aber fällt der Router aus, ist das NAS auch weg, oder?
Und du brauchst für openvpn doch auch nur 1 raspi als Server.
Irgendwas kann eh immer ausfallen.
Ich will hier aber auch niemanden bekehren, nur best practice ist eben die Peripherie des Netzwerkes für vpn zu nutzen.
EinE jeder nach eigener fasson...
:)