Toggle sidebar

Synology am Internet - wie absichern?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
C

casey11

Benutzer
Registriert
07. Juli 2018
Beiträge
10
Reaktionspunkte
0
Punkte
0
Hallo zusammen,

ich bin derzeit in einem gewissen Dilemma: Einerseits will ich einen besseren Datenschutz, und mich von Cloud-Diensten unabhängig machen.
Trotzdem ist es mir lieber, wenn ein Microsoft meine Daten hat, als ein Hacker der Zugriff auf mein NAS bekommen könnte ;)

Kurz zu meinem aktuellen Setup:
- Synology DS218+

Dienste die über Port 443 erreichbar sind:
Auf Synology:
- Webstation (NGINX, PHP deaktiviert)
- Synology Drive -> zum Freigeben von Daten für Freunde und Sync mit PCs
- Moments -> zum Sync von Bildern vom Smartphone

In Docker-Containern:
- Bitwarden -> Passwortmanager
- Guacamole -> HTML5 Remote Desktop auf Virtuelle Maschinen

Dienste die über Port 53 erreichbar sind:
- VPN-Server (OpenVPN)

Third-Party-Dienste:
- Resilio Sync

Meine Absicherungsmaßnahmen bisher:
- SynologyDrive/Moments, Bitwarden & Guacamole über 2Faktor-Auth abgesichert
- Auto-Updates für Synology-Pakete aktiviert. Tägliches Update-Script für Bitwarden. Watchtower zum täglichen Update von Guacamole
- Firewall: Nur Port 443 und 53 zugelassen. Für Port 443 nur IP-Adressen aus Deutschland zugelassen.

Ansonsten die Standard-Maßmahmen: SSH-Zugriff deaktiviert, sichere Passwörter, Kontoschutz aktiviert, etc.

___

Kann ich das Setup so relativ "sorgenfrei" laufen lassen?
Mit Office365-Backup (alle meine Mails) und Bitwarden (alle meine Passwörter) sind natürlich absolut sensible Daten hier dem Internet ausgesetzt.

Jedoch nutze ich Guacamole und Bitwarden wenn ich Zugriff auf meine Daten in der Arbeit benötige. Synology nur über VPN erreichbar zu machen, ist hier keine Lösung.
Ebenso was das Teilen von Fotos, etc. für Freunde über Synology Drive anbelangt.
 
Jeder Port ist eine Lücke ...
Jedes Programmpaket ist ein Scheunentor ...
Jeder mögliche Zugriff wird ausgenutzt (fragt sich nur, wann ...)

Klingt so, wie wenn du den Laden schon ganz gut zugenagelt hast. Rein philosophisch stelle ich mir nur immer die Frage, ob man nicht besser ganz vorne im Netz (auf dem Router oder auf einer dahinter platzierten Instanz wie einem Raspi) einen VPN-Zugang als einzigen Weg in Heimnetzwerk installiert, und die multiplen Zugangswege, die die diversen Programmpaket gerne hätten, dort bündelt. Je mehr Zugänge in diverse Programmpakete man zulässt, um so mehr muß man tun, machen, verwalten, und um so größer ist das Risiko, dass auch mal ein Exploit durch rutscht.
 
Ein vernünftiger, performanter VPN-Router mit SSL-VPN und der Rest ist zu ist die einzig wahre Lösung!
 
Schon klar - nur Cloud-Dienste mit dem NAS zu substituieren funktioniert so halt nicht.
In der Arbeit ist kein VPN möglich, Freunde werden sich nicht per VPN einwählen um ihre Fotos herunterzuladen. :D

Ich muss mal schauen - ich glaube in der Arbeit haben wir eine feste IP-Adresse.
Somit könnte ich für den Reverse-Proxy noch die Zugangskontrollprofile aktivieren, und z.B. Guacamole nur für bestimmte Quell-IPs zulassen.

Meine eigenen Geräte können alle per VPN ins Netz (über PiHole dann noch Custom DNS-Einträge hinzufügen, dass mein DynDNS-Domain im lokalen Netz direkt auf die lokale IP verweist).
Somit ist es eigentlich nur noch Synology Drive, bei dem ich die Quell-IP nicht vorhersagen kann. Und OpenVPN natürlich.
 
Zuletzt bearbeitet von einem Moderator:
Aber: Am coolsten wäre natürlich ein Schalter auf dem Smartphone, mit dem ich das Firewall-Profil per Knopfdruck tauschen könnte.
An sich ist es ja unnötig, dauerhaft Port-Freigaben zu haben, obwohl ich vlt. nur 2 Stunden pro Tag sie benötige.

Es müsste nur komfortabler sein, schnell zwischen Profilen zu wechseln, um das NAS nur spontan bei Bedarf zu öffnen.
 
Moinsen,
so etwas wie in letzten Post ("einen Schalter") gibt es AFAIK nicht, geht nach meinem Verständnis auch nicht.
Meine Vorredner haben es eigentlich schon eindeutig gesagt: dein Setup ist aus Sicht der IT-Sicherheit absolut Russisch Roulette...und eigentlich nur mit VPN sicher(er) zu gestalten.
Alternativ könntest du (um deinen Bekannten VPN zu ersparen und dir die dann doch etwas aufwändigere Konfiguration) natürlich ein zweites NAS anschaffen, dies dann mit den genannten Diensten, die du und andere von extern benötigen, konfigurieren, und das dann in einer DMZ betreiben.
So wäre alles vom "gefährdeten" NAS aus erreichbar, du hast deine eigene Cloud und dein Heimnetz und das "sichere" NAS wäre abgekoppelt vom Internet.
Jetzt aber stehen deine Daten und Dienste offen wie die Scheune und das ist in meinen Augen wesentlich schlimmer als der zweifelhafte Datenschutz der kommerziellen Cloud-Anbieter. Du tauscht damit also Datenschutz (yeah) gegen den Schutz deines Heimnetzes (unbezahlbar)...

Abgesehen davon: wenn du den bereits gemachten Vorschlägen folgen würdest, könntest du dir openVPN auf ein zB Raspi setzen, dies auf TCP 443 legen (ist eigentlich nie durch Firewalls/Router geblockt) und hättest dann den sicheren Zugriff auch von Arbeit aus. Wenn die Anzahl deiner Bekannten, die Zugriff haben sollen überschaubar ist, dann ist die VPN Konfiguration auch schnell gemacht.

Ich finde dein Modell fahrlässig, aber das ist natürlich nur meine Meinung.
Viel Glück...
Grüßle
the other
 
Gut umgesetzte IT-Sicherheit widerspricht nun mal leider der Faulheit/Bequemlichkeit der Nutzer.
Bevor ich wegen ein paar Freunden mein System durchlöchere spiegele ich lieber für diese bestimmte Daten in die Cloud.
Wenn es mir wirklich wichtig ist schaffe ich mir einen performanten VPN Router an und meine "Freunde" könnten sich mit einem einfachen SSL-VPN Client einloggen.
Meine Draytek Router hängen am Radius der Synology und stellen so die SSL-VPN Anbindung her. Der Rest des Routers ist zu, soweit es das Internet/Surfen und Mail zulassen. Die Nutzer loggen sich mit dem Draytek VPN oder openVPN Client ein, einfacher gehts nicht.
 
Gut umgesetzte IT-Sicherheit heißt aber auch nicht, alle LAN-Kabel durchzuschneiden, sondern das Riskio zu minimieren.

Was die beiden Docker-Container (Guacamole, Bitguarden) mit 443-Forwarding anbelangt sehe ich kein hohes Risiko, beides sind professionelle Open Source Projekte.
Ich nutze sie ohne Plugins und stets in der aktuellsten Version.

Bleiben somit nur Synology-Komponenten, welche dem Internet ausgesetzt sind:
- Synology Drive Station
- Synology OpenVPN-Implementation
- NGINX

Somit vorrangig die Frage: Arbeitet Synology professionell genug, um das NAS ans Internet zu lassen? Oder als Consumer-Hardware unbrauchbar?

Das gepostete Fundstück wäre für mich übrigens da schon ein gutes Beispiel für "die anderen", immerhin sind nur QNAP-NAS betroffen, bei denen die Nutzer die Firmware nicht aktualisiert haben.
___
@the other: Derzeit nutze ich ja Port 53 (DNS) anstatt 443. Funktioniert oft sogar noch besser, weil dieser meistens überhaupt nicht gefiltert wird, und ich mich nicht mal im Hotel-WLAN verifizieren muss, um eine VPN-Verbindung herzustellen.

Hilft mir in der Arbeit aber auch nichts: Ich kann keine Programme installieren. Also geht nur ein HTML5-Remote-Desktop-Implementation wie Guacamole. Da hilft mir kein VPN. Wie gesagt: Iptables so anpassen, dass nur die IP der Firma durchgeht, wäre wenn noch eine Option.
 
Nun ja - es steht "veraltete Firmware", aber es steht nicht, ob sie schon zum Zeitpunkt der Infektion veraltet war. Gegen Zero-Day-Exploits ist nun mal kein Kraut gewachsen. Sie können jedes Paket betreffen, das auf einem Rechner ausgeführt wird. Und poppen per Definition erst dann auf, wenn schon einige Kinder in den Brunnen gefallen sind.

Da wären wir wieder: Jeder offene Port, jedes Programmpaket, ....

Was ich nebenbei nicht verstehe: Wenn deine Firma es nicht erlaubt, auf etwas zu Hause (oder sonstwo) zuzugreifen, weshalb willst du es dann trotzdem irgendwie hin bekommen ? Wenn die so strikt sind, wie sie tun, dann protokollieren sie vermutlich den Traffic auc. Und dann spielst du mit deinem Job, wenn du es trotzdem versuchst ("Gefährdung der Sicherheit des Firmennetzes ... Arbeitszeitbetrug ... unwiderruflicher Vertrauensverlust ..."). Es muss nur mal jemand nachgucken !

Es gibt aus meiner Sicht keinen Grund, das zu riskieren. Nimm ein Mobilgerät, richte es sicher ein (incl. VPN-Zugang), dann kann dir niemand an den Karren fahren. Und du kannst deinen Router und die Syno komplett zu nageln, und nach außen wirklich nur einen VPN-Zugang zulassen. Ich würde den auf dem Router nehmen, aber vielleicht bin ich zu vorsichtig (oder mißtraue meinen eigenen Fähigkeiten zu sehr).
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten