Synology auf Synology über Internet (Sicherheit?)

[LeFireblade]

Heyho

Ich sichere seit geraumer Zeit von meinem NAS zu Hause (DS220+ Raid PLUS noch eine 1TB USB Backup-HDD) auf mein altes DS112+ (auch inkl. USB-HDD zum extra extra Backup).

Die Sicherung läuft über HyperBackup direkt auf die 112+ per IPv6

Die Clientseitige Verschlüsselung ist aktiviert aber es werden ganz standardmäßig die Ordnerstrukturen gesichert (kein Extra Verschlüsselungscontainer a la TrueCrypt oder so)

Nun hab ich dazu aber mehrere Fragen

1. Das alte NAS bekommt keine aktuellen Updates mehr (ist ja auch schon gut 10 Jahre alt). Lohnt es sich da auf zB eine günstige DS120j zu wechseln? Außer paar Daten schaufeln muss das Ding ja nichts machen oder können.

2. Ist meine Backupstrategie sinnvoll und auch sicher? Übertragung sollte sicher sein, weil ja eigentlich verschlüsselt. Die Daten auf dem Laufwerk habe ich ja nicht extra verschlüsselt, kommt da also ggf. bei einem Hack oder so jemand ran?

3. Da ich ja direkt per IPv6 drauf gehe kann ja theoretisch jeder andere auch so drauf, kann ich das irgendwie "besser" absichern?

4. Ich würde, wenn die Sache aus eurer Sicht unsicher und ggf. sogar fahrlässig ist, auch auf einen Cloud Dienst wechseln. z.B. Strato, 1&1, Hetzner o.ä.
Da möchte ich aber das der Serverstandort Deutschland ist.

ODER

5. Ist es möglich einen TrueCrypt Container aurecht zu erhalten auf der DS220+ (da möchte ich dann das er Änderung automatisch dem Container hinzufügt) und dann eben nur diesen einen Container per Internet aufs alte 112+ zu schieben?. Oder ist sowas nicht möglich? Bin da nicht soooooo tief in der Materie.
Wenn ich mir das aber nochmal so durchlese und den Container gemountet lasse dann kann ich mir den Container eigentlich auch sparen xP

So, genug Fragen denke ich.

Danke für eure Hilfe!

Grüße
Michi

 

[Stock86]

Kannst du zwischen den 2 Standorten eine gesicherte VPN Verbindung mit aktueller Verschlüsselung einrichten und die beiden Synologys nur intern per VPN kommunizieren lassen?

 

[LeFireblade]

Gute Frage.
Fritz Box wäre jeweils eine 6591 Cable vorhanden.

Wie könnte ich das realisieren. Da hab ich echt zu wenig Ahnung

 

[redjack1000]

www.zerotier.com

Ist einfach zu Konfiguieren und läuft nativ auf einem NAS

 

[Stock86]

https://avm.de/service/wissensdaten...wischen-zwei-FRITZ-Box-Netzwerken-einrichten/

Hab ich mit 2 FritzBoxen auch noch nicht gemacht, aber sollte vermutlich einfach umzusetzen sein.

 

[Der Lord]

Alternative: die Fritzboxen bekommen demächst* das Wireguard-Update. Dann sollte sich das darüber am einfachsten realisieren lassen, wenn man nicht so im Thema steckt.

Die Boxen können sich dann bei Bedarf automatisch miteinander per VPN verbinden. Geht zwar jetzt auch schon, aber nicht mit Wireguard und auch nur IPv4-Only. (@Stock86 Cable-Vertrag, sicher nur mit CGNat -> IPv6 -> mag AVM derzeit noch nicht)

* CB berichtet schon regelmäßig darüber. Wann es letztendlich rauskommt, kA. Denke aber ewig wirds nicht mehr dauern.

 

[LeFireblade]

Leider ist die VPN Geschichte so nicht machbar da weder ich noch mein Dad eine "richtige" IPv4 Adresse bekommen. Wir haben beide das tolle IPv6 Tunneling

Wireguard sagt mir gar nichts, gleich mal einlesen.

Edit: klingt gut mit Wireguard, mal schauen wann die FB von mir (eine geliehene von VF) das Update bekommt
Stand jetzt ist noch 7.29 installiert :/ Mist

Danke an alle!

 

[redjack1000]

Mit Zerotier spielt das keine Rolle ob IPv4 oder/und IPv6

Cu
redjack

 

[zazie]

Zwei Fragen zum extra extra Backup:
1. Läuft die ds120j permanent oder schaltest du die manuell oder automatisch zu bestimmten Zeitpunkten ein?
2. Ist das extra extra Backup inkrementell ?

 

[LeFireblade]

Zerotier muss ich mir anschauen, Danke

@zazie
1. Die läuft permanent, hatte sie mal als Zeitfenster eingestellt, ist dann aber nicht hochgefahren.
2. Wenn ichs richtig verstehe ist es inkrementell, jeden Samstag wird abgeglichen und dann die neuen Daten rübergeschoben übers Netz. Zusätzlich dann nochmal Sonntags auf eine USB HDD am Backup NAS.

 

[Wilhelm14]

per IPv6

Woher wird die IPv6 bezogen? Woher kennen die beiden Synologys sich? Machst du das mit "QuickConnect"?

 

[LeFireblade]

Nein, per Portfreigabe und der direkten im Netzwerk meines Dads zugeteilten IPv6 komm ich von meiner Synology auf die Backup Synology.

QuickConnect wollte und will ich nicht benutzen.

Selbst das WebInterface ist aufrufbar über das Internet. Egal von wo.
Deshalb ja auch in der Hinsicht meine Sicherheitsbedenken.

 

[Wilhelm14]

Und woher kennst du die IPv6 deines Dads? Sry, wenn ich so blöd nachhake. 😉
Habt ihr feste IPv6? Bei IPv6 besteht eigentlich kein Grund mehr von der Providerseite aus die IPs wechselnd zuzuteilen, wie bei IPv4 noch. Würde mich aber nicht wundern, wenn das je nach Provider immer noch so ist.
Kein DynDNS/DDNS? Die IPv6 ist seit Jahren fest?
Wenn du https nutzt, sollte von außen auch keiner rein gucken können. Bis jetzt habe ich auch noch nicht gehört, dass man leichter in https gucken könnte, als in ein verschlüsseltes VPN. Ein VPN hat allerdings ganz andere Vorteile, unabhängig von der Verschlüsselung.

 

[LeFireblade]

Nunja, er wohnt 100m entfernt (Nein, Kabel von Fenster zu Fenster ist keine Option )
Ich komm selbst von meinem Balkon aus per seinem WLAN auf seine FritzBox, da komm ich also einfach an die jeweiligen Adressen

HTTPS, gute Frage ob das eingeschaltet ist :O da war mal was mit irgendwelchen Zertifikaten, hab ich nicht kapiert

Feste IPv6 haben wir am Router eigentlich nicht, aber die intern vergebenen IPv6 bleiben größtenteils identisch da ja abgeglichen wird ob eine IPv6 schon vorhanden ist weltweit (sprich der pingt die Adresse an, wenn vorhanden, Spiel von vorne)
Zumindest hab ich das in einem Video mit Erklärung von IPv6 so in Erinnerung

 

[zazie]

Danke für die Erklärungen. Ich finde auf dieser Grundlage, du müsstest deine Übungsanlage überdenken.

• Du hast die Daten verschlüsselt
• die alte Version (edit: deiner Daten) liegt auf dem extra extra Backup
• Die DS120j ist permanent am Netz, geschützt durch die Synology-eigene Software - allerdings in einer nicht mehr nachgeführten Version (welche eigentlich? Ich habe eine DS 213j und die hat auch schon viiiele Jahre auf dem Buckel, erhält aber zu ihrer Software-Version 6.x nach wie vor Sicherheitsupdates).
• Das Backup läuft inkrementell.

So. Das heisst doch, dass du entweder 'Angst' hast, dass die SW der alten NAS einen Angreifer nicht mehr standhält oder dass du während dem Backup Opfer einer 'Man-in-the-Middle'-Attacke wirst.

Ich sorge mich auch um die Sicherheit meiner Daten und habe auch ein extra extra Backup (inkrementell). Aber ich starte den entsprechenden Task manuell und hänge die Maschine fürs extra extra Backup nachher wieder ab. Der Kopiervorgang dauert eine überschaubare Zeit. Dass in dieser Zeit dann entweder ein (professioneller) Hack oder eine man-in-the-middle-Attacke stattfindet, ist zwar theoretisch nicht ausgeschlossen, aber wenig wahrscheinlich.
Das ist ein Risiko, das ich so zu tragen bereit bin.

In deinem Fall willst du mit technischen Massnahmen zusätzliche Sicherheit generieren, die aber am Grundproblem nichts ändern: Deine veraltete ds120j hängt permanent am Netz.

 

[LeFireblade]

Also einfachste und billigste Lösung. Einfach einmal im Monat die 112+ (nicht 120j, die wäre ja nicht alt) hochfahren, Backup, fertig.

Gegebenenfalls würde ich das so machen bis Wireguard nativ auf der FritzBox vernünftig läuft. Ergibt Sinn?

Und zur Sicherheit, ja, genau das, ich will das so sicher wie möglich.
Ich glaube jetzt kaum das jemand genau auf die IPv6 zugreift und mir die Daten da runter angelt aber man muss es ja auch nicht zu einfach machen

Edit: Die alten NAS ausschalten reicht vollkommen oder? Wird ja kaum einer genau auf die IP nen WOL starten, lol, aber man weiß ja nie

 

[TheHille]

Portfreigabe ist halt so eine Sache, sicherheitstechnisch...
VPN von NAS zu NAS wäre auch eine Möglichkeit, also nicht über die Fritzboxen, sondern nur VPN von NAS zu NAS. Ob das auch ohne Quickconnect geht, weiss ich nicht.

Anleitung ist schon etwas älter, aber vielleicht hilft sie...
https://www.synology-forum.de/threads/openvpn-site-to-site-verbindung-zwischen-zwei-ds.73026/

 

[LeFireblade]

Da laufe ich ins Problem das beide FritzBoxen die gleiche IP Range haben inklusive nach außen eine (pro Box natürlich) nur erreichbare IPv6. Nämlich die von AVM voreingestellte, 192.168.178.xxx. Da müsste ich dann meinen IP Bereich ändern. Ansich machbar. Aber ich denke ich werde dann warten bis Wireguard am Start ist. Das würde ja dann auch von Box zu Box laufen. Wenn ich dann den IP Bereich auch ändern muss bin ich zwar gekniffen und hätte das dann schon früher haben können was ich möchte aber so wärs halt dann

 

[Wilhelm14]

Den IP-Bereich beider Häuser musst du bei VPN eh ändern. Da kannst du dich schonmal drauf einstellen.
Ob du https hast, müsstest du doch irgendwie in der Synology sehen können. Ich habe aktuell keine Diskstation am Laufen, kann da also leider nichts konkret zu sagen.
Wenn du sogar das WLAN empfängst:
https://www.omg.de/search?query=wireless+wire
Oder Airfiber, wie hier im Youtube-Video.

 

[LeFireblade]

Also das Webinterface läuft auf jedenfalls mal über HTTPS laut Safari

Und Verschlüsselungen sind wohl auch alle aktiv

Ansonsten ist noch ein auto. IP Block bei mehr als 10 Versuchen/5 Minuten drinn

Ich glaub mehr kann ich ohne VPN nicht tun oder?