NAS bestmöglich absichern

[Bannister0946]

Hallo!

ich habe eine Synology NAS, welche extern NUR via VPN (Fritzbox Wireguard) erreichbar ist.
Nun würde ich gerne auf meiner NAS ein Chat System (Chatwoot) als Docker Instanz aufsetzen.

Dieses Chat System muss natürlich von extern auch ohne VPN erreichbar sein (für Gäste).
Als erstes fällt mir dafür natürlich direkt die einfachste Lösung ein:
Ein DDNS der auf meine NAS zeigt und den entsprechenden Port zum Chat System auf der Fritzbox öffnen.
Heißt: "Jeder" kommt von extern via DDNSort auf die Docker Chat-System Instanz.

Nun kam mir ein Gedanke, der sich für mich sicherer anhört, wo ich mir aber nicht sicher bin, ob das wirklich "sicherer" ist?
Ich kann auf der NAS eine virtuelle NAS aufsetzen, mit eigener IP.

Wenn ich auf der virtuellen NAS die Docker Instanz vom Chat System laufen lassen würde und auf der Fritzbox den Port öffnen auf die IP der virtuellen NAS, wäre dann das Chat System nicht "isoliert" von meiner eigentlichen NAS?

 

[Nilson]

Dockercontainer haben generell eine eigene IP, aber in der Standardkonfiguration nur hinter dem Docker-NAT zu erreichen.
Ich weiß nicht ob die Docker-Implementation von Synology das zulässt aber mit dem Dockernetzwerken vom Typ MACVLAN oder IPVLAN kannst du dem Container direkt erreichbar machen. An Sicherheit gewinnst du dabei aber nichts, eher im Gegenteil. Die Gefahren kommer wo anders her. Von der Applikation und deren Einrichtung, ggf. von der Docker-Implementation von Synology etc.
Chatwoot gibt z.B. direkt an, ihre Applikation hinter nginx als Reverse-Proxy mit Let's Encrypt zu hängen
https://www.chatwoot.com/docs/self-hosted/deployment/docker
Selfhost braucht halt etwas Know-How wie man seine Anwendungen sichert und überwacht.

 

[Bannister0946]

Chatwoot läuft bereits bei mir hinter einem Reverse Proxy und mit einem LE Zertifikat.
Sagen wir mal Chatwoot hätte eine Sicherheitslücke und dem Angreif gelingt es, von hier aus auf meine NAS zukommen (möglich?)
Wäre es dann nicht "sicherer" wenn der Chat system wie oben nicht auf der eigentlichen NAS läuft, sondern auf der virtuellen NAS?

 

[Nilson]

Du meinst eine VM?
Das können nur eine selektierte Auswahl von Diskstations:
https://kb.synology.com/en-au/DSM/tutorial/How_many_virtual_machines_can_I_run_on_my_Synology_NAS

Die Sicherheitslücke in Chatwoot bleibt so oder so und Lücken haben auch eine recht hohe Bandbreite ihrer Auswirkungen.

Aber ja, generell gilt eine VM als "sicherer" als ein Docker-Container, wenn es um Isolierung geht. Das kommt aber mit Kosten, da du ein zweiten komplettes Betriebssystem betreibst, welches Ressourcen (RAM, CPU, Festplatte) verbraucht und eingerichtet, gepflegt und betrieben werden will.

 

[Bannister0946]

Okay, also würdest du sagen: separate VM ist "sicherer" als die Docker Instanz, welche ja eigentlich auch isoliert läuft (streng genommen)?

 

[Nilson]

Unter dem Gesichtspunkt der Isolation ja. Mit Docker nutzt der Container den Kernel des Host mit. Bei der VM hat die VM ihren eigenen Kernel etc. Das macht es potentiell schwerer auf den Host zu kommen.

 

[DerGast]

Was zeigt denn n*ap wenn man die öffenltiche IP scannt?
Wird dann bei entsprechender Weiterleitung nur die VM bzw Docker gezeigt, oder tatsächlich das QNAP und man könnte Rückschlüsse auf CVEs ziehen? Nur mal so ein Gedanke.
Und wirklich, ohne Protokollierung, Länder-IP-Blocking und Co würde ich das nicht machen.
Wenn ich sowas mache dann möchte ich auch sehen was passiert um handeln zu können. Weißt Du was ich meine?

 

[Bannister0946]

was ist n*ap?

 

[DerGast]

nmap