Toggle sidebar

Sicherheitsebene vor Login-Seite

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

ebusynsyn

ebusynsyn

Benutzer
Sehr erfahren
Registriert
01. Juni 2015
Beiträge
549
Reaktionspunkte
372
Punkte
139
Mein NAS ist von extern über DDNS erreichbar und das soll auch so bleiben. Primär wegen der Drive-App, die auch von Clients erreichbar sein soll auf die kein WireGuard-Client installiert werden kann. Grundsätzlich nutze ich Wireguard-VPN. Laut Syno-Protokoll der letzten Monate stelle ich keinen einzigen ungewollten Anmeldeversuch fest. Firewall und alle von Synology angebotenen Sicherheitseinstellungen sind eingerichtet.

Trotzdem überlege ich mir mal wieder eine Sicherheitsebene vorzuschalten, sodass die Login-Seite des NAS nur mir zusätzlicher Authentifizierung - z.Bsp. Code auf eine vorher definierte E-Mail - möglich ist.

Möglichkeiten die ich kenne und (vermutlich) umsetzen könnte:

- Umstellung auf Cloudflare Tunnel mit dem Vorteil, dass die aktuell offenen Ports sogar noch geschlossen werden könnten, aber mit dem Nachteil, dass der Traffic via Cloudflare fliessen würde. Auf dem TestNas habe ich das mal eingerichtet. Funktioniert gut.

- Es gibt glaube ich auch eine Möglichkeit, es via Cloudflare einzurichten, ohne Tunnel. Das ganze nennt sich Cloudflare-Access. Wie das einzurichten ist, weiss ich allerdings (noch) nicht.

- Lokale Installation der Authentik-App

- Authelia mit Reverse Proxy - wobei ich nicht sicher bin, ob ich das technisch hinkriege

- Auf einem externen VPS (1 Euro Server) Pangolin als Cloudflare-Tunnel Alternative aufsetzen - was meine technischen Fähigkeiten wohl an die Grenze bringen würden - aber mit Aufwand und steiler Lernkurve machbar wäre.

Macht ihr Euch auch solche Gedanken? Welchen Weg seid ihr gegangen? Ist es überhaupt notwendig/sinnvoll so eine Ebene vorzuschalten?
 
Ich habe mal mit Authelia bzw. Authentik "geliebäugelt", aber aufgrund des Aufwandes bzw. der Konfiguration des HA Proxy auf meiner OpnSense in Zusammenspiel mit dem Proxmox dahinter, wo Authelia / Authentik dann laufen müsste, wieder verworfen.

Ich bin bei dem HA Proxy (als Reverse Proxy) auf meiner OpnSense, mit Crowdsec (auf der OpnSense), dem GeoBlocking (auf der OpnSense) und der strikten 2FA für alle Benutzerkonten auf der DS "hängen geblieben". Die DS selbst reagiert sehr strikt auf fehlerhafte Anmeldeversuche:

- 30-stellige Passwörter aus Keepass
- 3 Fehler in 10 Minuten 999 Minuten Sperre > nicht vertraute Clients
- 3 Fehler in 10 Minuten 240 Minuten Sperre > vertraute Clients
- 3 Fehler in 10 Minuten führt zur automatischen Blockierung
- keine Standardbenutzernamen
- alle Anwendung sind weg vom Standardport
- keine Freigaben in der OpnSense

100%igen Schutz gibt es nicht, aber ich hoffe, das mein System nicht ganz so anfällig ist. Bisher keine einzige fehlerhafte Anmeldung.
 
  • Like
Reaktionen: ebusynsyn
Für alle mal über 2FA nachgedacht?
 
@Ronny1978

Danke für Deine Inputs. So ähnlich - halt was die Bordmittel der Synology hergeben - habe ich auch eingerichtet. Ebenfalls die letzten Monate keinerlei Anmeldeversuche die zu blocken gewesen wären.
 
  • Like
Reaktionen: Ronny1978
@maxblank : Ich ja und habe ich mittels Yubikey 5 😉. Auch meine Frau und meine Kinder.
 
maxblank schrieb:
Für alle mal über 2FA nachgedacht?
Zum Vergrößern anklicken....
Klar ... ist selbstverständlich für alle Benutzer Pflicht. Inkl. sehr lange, komplizierte Passwörter. Alles was die Synology Bordmittel an Sicherheitsfeatures hergeben habe ich eingerichtet.
 
  • Like
Reaktionen: Ronny1978
Ich nutze jetzt seit Jahren SWAG + Authelia
 
Yubikey oder weil sowieso jeder ein Smartphone hat passwortlose Anmeldung mit C2 Identity via Smartphone mit Secure Sign In App.
Letzteres habe ich bisher bei 3 Kunden im Einsatz und es läuft problemlos und die Nutzer lieben es weil einfach nutzbar.
Wenn man dann noch SSO/SAML nutzt ermöglicht das Zugang zu anderen Services ohne sich nochmal anmelden zu müssen.
Da hier LDAP zum Einsatz kommt wird es um so sinnvoller, je mehr Nutzer daran hängen.
 
Ich habe Pangolin, crowdsec, Geoblocking und Authentik im Einsatz und bin super zufrieden. Ich finde es ist es wert, sich da reinzufuchsen.
 
Danke Euch allen für die Wortmeldungen ... werde mich da tatsächlich noch in das eine oder andere Thema einlesen müssen ... Pangolin interessiert mich - wirkt auf mich momentan - wie der neue Stern am VPN(Tunnel)-Himmel ...
 
Ich nutze für Pangolin einen VPS, ja (VPS nano G11s von netcup zu 2€/Monat).
Authentik habe ich lokal in einer VM installiert, das hatte ich schon vor Pangolin so und habe es so gelassen.
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten