ComputerBase Menü
Aktuelles

DS215j für externe Familienmitglieder zugänglich machen

Deswegen sagte ich ja, dass für's Anschauen am TV ein Download nebst lokalem DLNA-Server sinnvoll wäre. Wenn man am PC nur mal eine Handvoll Bilder gucken will, geht das ja noch. Eine Slideshow aus dem Urlaub mit 500 Bildern ist dann schon etwas anderes.

Das ist allerdings eine Frage der jeweiligen Nutzung der Verbindung. Ob VPN ja/nein ist davon meiner Meinung nach unberührt. Ich persönlich würde jedweden Zugang zu meinem Netzwerk von außen ausschließlich via VPN gewähren. Wenn man zB einen nackten FTP ins Netz stellt, dann gehen nicht nur die Daten unverschlüsselt rüber, sondern auch der Login! FTP ist ein gutes Beispiel für einen unsicheren Dienst, den man so nie online stellen sollte. Ein gewisses Maß an Sicherheit muss gewährleistet sein, zB durch SecureFTP bzw. SSH-FTP.

Der Vorteil an einem VPN liegt zudem daran, dass man für eine beliebige Anzahl an Diensten lediglich einen einzigen Zugang von außen benötigt. Über das VPN kann man dann im entfernten LAN alles nutzen als säße man auf der Couch mit dem Laptop. Das heißt man kann drucken oder die ungesicherte Konfigurationsseite des Receivers aufrufen, um Aufnahmen zu programmieren, etc... Ohne VPN müsste man für jedes Szenario eine Tür im Router öffnen.
 
Ja, somit ist VPN womöglich nützlich für den Eigner des NAS, um selbst von aussen wirken zu können, aber eben aus genau Deinen dargelegten Gründen ja nicht für "Fremde"? Das wäre ja so, als würde ich einer Teamviewer Sitzung zustimmen und dann von meinem Rechner weggehen.
Genau was Du sagst, dass ohne VPN explizit jeder Dienst im Router per Portfreigabe eingerichtet werden muss; so wie bei mir z.B. mit meiner DynDNS (nur über https), wo ich selbst auch nur das erreichen kann an Diensten, die ich eingerichtet habe. FTP gehört nicht dazu. Auch auf meine DSM Oberfläche komme ich von aussen z.B. selbst nicht rauf, weil ich Port 5001 nicht weiterleite.
 
Seh ich genauso. Grundsätzlich ist meine DS von außen nur über HTTPS erreichbar. Und die Ports die freigeschaltet sind, erlauben nur Zugriff auf explizit definierte Applikationen, sprich u.a. das Fotoalbum. VPN nutze ich auch, aber nur für mich, um von außerhalb mein Netzwerk wie zuhause verwenden zu können. Das würde ich nicht meinem halben Bekannten- und Verwandtenkreis geben wollen. Nicht weil ich grundsätzlich Bedenken hätte, dass diese wissentlich was anstellen. Vielmehr weiß ich ja nicht, was auf deren Rechnern sonst noch drauf ist. Wenn da was die VPN-Zugriffsdaten von mir abgreift, dann ist ja die Tür sowas von offen. Und mein Bekannten- und Verwandtenkreis hat zu großen Teilen kein Verständnis von der Thematik, da bräuchte ich erst gar nichts zu dem Thema erklären.
 
Ich weiß ja nicht was ihr mit eurem VPN macht, aber normalerweise stellt man die Firewall-Regeln passend dazu ein. Man kann also auch über VPN sehr wohl steuern wer was darf. Verbinde ich mich mit meinem OpenVPN-Server, habe ich vollen Zugriff. Wenn meine Sockenschublade ne IP hätte, käme ich drauf. Zudem kann ich via VPN mit meiner Home-IP surfen (zB für besagtes Telekom VoIP). Meine Eltern dagegen haben ausschließlich Zugriff auf zwei Freigaben am Server, aber weitere Verbindungen in mein Netzwerk sowie nach draußen ins Internet werden unterbunden.
Ob das auch auf einer Synology nutzerbasiert gesteuert werden kann, weiß ich nicht. Zur Not lässt man zwei VPNs laufen, eines mit Vollzugriff und eines mit NAS-only ohne Routing/Forwarding/NAT o.ä..

Wie dem auch sei, auch https ist eine adäquate Lösung, weil https eben auch für sichere, netzwerkübergreifende Kommunikation gedacht ist. Betreibt man zB einen öffentlichen Webserver mit https auf dem NAS, wäre ein VPN sogar hinderlich, weil dann ja nicht jeder Besucher die Seite sehen könnte.
Mir ging es primär um unzureichend geschützte Dienste, wie erwähnt der vermeintliche worst case mit nacktem FTP. Es gab auch schon genug Leute, die blindlings SMB- bzw. CIFS-Ports weiterleiten und dann am besten noch Freigaben ohne Kennwort und mit vollen Lese-/Schreibrechten verwenden. Herzlichen Glückwunsch sag ich dazu nur ;-)
Wenn ein Laie einmal eine Portweiterleitung ohne Hintergrundwissen bzw. Sicherheitsbewusstsein anlegt - auch wenn es für sicheres https gilt - dann legt er früher oder später noch eine zweite an, zB für FTP o.ä...

Es kommt also stark darauf an welche Ports man weiterleitet bzw. welche Dienste darauf laufen. Man muss sich darüber im Klaren sein, dass eine Portweiterleitung ins Netzwerk immer ein Sicherheitsrisiko ist. Und ja, auch in https bzw. VPNs können irgendwann Sicherheitslücken bekannt werden.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz