Externer Zugriff auf NAS sicher - Bsp. Synology DS214+/214play

Flamingo26

Lieutenant
Registriert
Nov. 2010
Beiträge
708
Hey Leute,

Ich habe mal eine Verständnisfrage zum externen Zugriff auf eine NAS.

Was bringt da die Verschlüsselung der NAS (z.B. bei der DS214+) in Bezug auf die Sicherheit vor einem externen Zugriff?
Kann man relativ einfach vom Internet aus auf die Daten zugreifen, wenn die NAS selbst nicht verschlüsselt ist oder gibt es da noch andere starke Barrieren?

Grüße,

Flamingo26
 
Wenn Du am Router ne Port Weiterleitung machst kann man prinzipiell drauf zugreifen, da nützt die Verschlüsselung dann aber auch nix mehr sondern bestenfalls noch ein Login am NAS selbst. Sollte man tunlichst nicht tun weil sehr unsicher.

Besser wärs für solche Fälle man wählt sich per VPN ein (z.B. bei Fritzbox Geräten ist ein VPN Server recht einfach einrichtbar), dann muss man sich erstmal authentifizieren bevor man überhaupt mal in dein Netzwerk kommt (Login oder Zertifikat) und die Datenverbindung darüber ist dann auch noch verschlüsselt.

Also wenn Du ein Router verwendest und keine Port Weiterleitung eingerichtet hast zum NAS kommt prinzipiell keiner auf das NAS von aussen drauf.
 
Zuletzt bearbeitet:
Also wenn man den Login einrichtet und das Passwort entsprechend sicher ist, kommt man auch nicht so leicht auf die NAS?

Edit: Ich frage, weil ich gerne Dokumente auf der NAS ablegen will, auf die ich extern über die App von Synology zugreifen kann.
 
Zuletzt bearbeitet:
Das Problem ist eher dass dann das NAS von aussen sichtbar ist und z.B. Sicherheitslücken o.ä. die das Login umgehen oder nicht berücksichtigen trotzdem ausgenutzt werden können. Drum ist die Variante mit vorgeschaltetem VPN Server sinnvoll wenn Du die Absicht hast von aussen auf das NAS zugreifen zu können.
 
D.h. ich muss bei dem jeweiligen Gerät mit dem ich auf die NAS zugreife (PC oder Smartphone) erst eine VPN Verbindung herstellen, um dann auf die Daten zuzugreifen?

Edit: Dann lässt sich die Synology App für Android also auch nur per VPN nutzen, wenn man eine sichere Verbindung haben will?
 
Richtig. Dafür gibts VPN Clients die man sich installieren kann.
Das wäre sozusagen ein mehrstufiges Sicherheitskonzept.

1. Stufe: Router.
2. Stufe: Authentifizierung am VPN Server für generellen Zugriff ins Netzwerk.
3. Stufe: Authentifizierung am NAS für Zugriff auf Daten.

Bez Synology App für Android: Weiss ich nicht aber ich denke schon, man ist ja dann eigentlich wie ein lokaler Client im Netzwerk unterwegs.
 
Zuletzt bearbeitet:
Super, schon mal danke, für die Erklärungen!

Also hat die Verschlüsselung der DS214+ keinen Vorteil, da die Daten ja sowieso entschlüsselt werden, wenn man auf die NAS zugreift (?)

Das mit dem VPN Server wäre natürlich nervig, da man so keinen Zugriff über den Browser hat, ohne sich mit dem VPN Netzwerk zu verbinden.
Ich denke hier jetzt z.B. an den Owncloud Server der auf den Servern unserer Uni läuft.
Der ist komplett verschlüsselt und lässt sich sowohl über den Browser, als auch über einen Desktop Client aufrufen.
Bei der Verbindung über den Browser kommt auch jedes mal die Meldung, dass das Zertifikat nicht bekannt ist.
Ist das mit einer NAS in ähnlicher Weise nicht auch möglich?
 
Flamingo26 schrieb:
Bei der Verbindung über den Browser kommt auch jedes mal die Meldung, dass das Zertifikat nicht bekannt ist.
Ist das mit einer NAS in ähnlicher Weise nicht auch möglich?

Die Meldung, dass das Zertifikat nicht bekannt ist, bekommst du deswegen weil du versuchst mit der IP und HTTPS auf dein NAS zuzugreifen.
Bei dir im Heimnetzwerk kannst du auch via HTTP auf dein NAS zugreifen, dann bekommst du die meldung nicht.
Am sichersten ist aber die Verwendung eines Domain Names in Verbindung eines öffentliches Zertifikates (siehe dazu https://www.startssl.com dort gibt es kostenlose SSL Zertfikate).

Ich habe es bei mir wie folgt gelöst.
DynDNS für mein NAS eingerichtet und eine günstige Domain gekauft, welches dann mittels Forwarder auf die DynDNS Adresse von meinem NAS zeigt.
Habe mir dann ein SSL Zertifikat gekauft, welches auf die gekaufte Domain zeigt und im Webserver des NAS eingerichtet.

Mit dieser Lösung kannst du von überall mit https auf dein NAS zugreifen.
 
Zumindest die Mobil-Apps sollten auch, ohne Portfreigaben einzurichten, über Synology QuickConnect verbunden werden können.

Flamingo26 schrieb:
Also hat die Verschlüsselung der DS214+ keinen Vorteil, da die Daten ja sowieso entschlüsselt werden, wenn man auf die NAS zugreift (?)

Die (Grund-)Verschlüsselung ist ausschließlich dafür da, die Daten vor einem physischen Zugriff (Etwa bei Diebstahl) zu schützen. Für Angriffe aus dem WAN oder auch aus dem LAN bringt die Verschlüsselung rein gar nichts.

Kapinos schrieb:
DynDNS für mein NAS eingerichtet und eine günstige Domain gekauft, welches dann mittels Forwarder auf die DynDNS Adresse von meinem NAS zeigt.
Habe mir dann ein SSL Zertifikat gekauft, welches auf die gekaufte Domain zeigt und im Webserver des NAS eingerichtet.

So ähnlich hab ich das auch gelöst. Ich habe mir bei Strato (Die bieten DynDNS an!) eine weitere Domain registriert und dafür bei StartSSL.com ein kostenloses Zertifikat ausgestellt. Dieses habe ich in die Fritz!Box und die Synology importiert und habe nun via HTTPS Zugriff auf meine DiskStation.
 
Hat Synology nicht auch einen VPN-Dienst in der Firmware? Mir war so als hätte ich hier im Forum mal davon gelesen. Mangels eigener DS kann ich das leider nicht selbst prüfen. Ich würde offen gestanden immer den Weg via VPN gehen.

Natürlich braucht man bei VPN stets einen VPN-Client auf dem Fremdsystem, aber in der Regel nutzt man die Daten vom NAS ja auch immer von denselben Geräten. Die Installation ist demnach einmalig und die Verwendung des Clients beschränkt sich auf einen Klick auf "Verbinden".
 
Ja, es gibt ein VPN Server Paket für DSM.

Generell empfehle ich auch grundsätzlich VPN. Aber das wäre mir in diesem Zusammenhang einfach zu umständlich. Ich habe die wenigen Ports genau der Dienste, die ich von außen erreichen will, freigeschalten. Und nutze ausschließlich verschlüsselte Verbindungen.
 
Zurück
Oben