autoshot
Admiral
- Registriert
- Juni 2007
- Beiträge
- 8.716
Synology Disk Station als OpenVPN-Server betreiben sicher?
- Ersteller autoshot
- Erstellt am
Wilhelm14
Fleet Admiral
- Registriert
- Juli 2008
- Beiträge
- 23.541
Das sind immer diese Pamphlet-Beiträge, die ohne Lösung oder wenigstens Hinweise daher kommen. Kein VPN, kein Zugriff von außen, Kabel gezogen, ist natürlich immer unschlagbar.
Wenn man sich umschaut, Filialen, Praxen, Außenstellen,... sind meist mit einem VPN-Router vernetzt. Auch wenn die Gefahr bei einem Router kleiner ist, gab es auch schon dort Sicherheitslücken.
Was hast du überhaupt vor, wozu der OpenVPN-Server?
Wenn man sich umschaut, Filialen, Praxen, Außenstellen,... sind meist mit einem VPN-Router vernetzt. Auch wenn die Gefahr bei einem Router kleiner ist, gab es auch schon dort Sicherheitslücken.
Was hast du überhaupt vor, wozu der OpenVPN-Server?
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 17.944
In einem privaten Umfeld ist das in meinen Augen sicher genug. Die Sicherheit kommt primär durch OpenVPN, das auf einem NAS, welches in der Regel mit einem mehr oder weniger stark modifizierten Linux-Derivat läuft. Ergo ist der Dienst meist das 08/15 OpenVPN-Paket, das man zB auch auf einem Ubuntu, o.ä. findet.
Wenn man nun im Router ausschließlich den VPN-Port weiterleitet, ist eine ausreichende Sicherheit gewährleistet. Wie so ein NAS auf eine DoS oder gar DDoS Attacke reagiert ist sicher fraglich, aber das ist dann schon ein sehr gezielter Angriff, der nicht nebenbei durch banale Portscans gestartet wird, sondern ein klares Ziel verfolgt.
Was Malware betrifft kann das auch bei Geräten abseits des Consumermarkts passieren. Cisco hatte mal vor ein paar Jahren das Problem, dass eine Management-Schnittstelle angreifbar war. Und Cisco ist so ziemlich der Platzhirsch in der Netzwerkbranche.
Richtig ist aber, dass AllInOne Geräte natürliche tendenziell häufiger unter dem Satz leiden "vieles können, aber nichts davon richtig gut". Für private Zwecke ist es meiner Meinung nach aber ausreichend.
Wenn man nun im Router ausschließlich den VPN-Port weiterleitet, ist eine ausreichende Sicherheit gewährleistet. Wie so ein NAS auf eine DoS oder gar DDoS Attacke reagiert ist sicher fraglich, aber das ist dann schon ein sehr gezielter Angriff, der nicht nebenbei durch banale Portscans gestartet wird, sondern ein klares Ziel verfolgt.
Was Malware betrifft kann das auch bei Geräten abseits des Consumermarkts passieren. Cisco hatte mal vor ein paar Jahren das Problem, dass eine Management-Schnittstelle angreifbar war. Und Cisco ist so ziemlich der Platzhirsch in der Netzwerkbranche.
Richtig ist aber, dass AllInOne Geräte natürliche tendenziell häufiger unter dem Satz leiden "vieles können, aber nichts davon richtig gut". Für private Zwecke ist es meiner Meinung nach aber ausreichend.
Ich würde gerne via VPN auf die auf dem NAS gespeicherten Daten zugreifen und zudem im Ausland mit meiner Home-IP surfen, um Geoblocking zu umgehen.
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 17.944
Beim nochmaligen Lesen meines Beitrags ist mir eine unglückliche Formulierung ins Auge gesprungen. Als ich von Malware sprach und Cisco im selben Absatz erwähnte, hat das eigentlich nichts miteinander zu tun bzw uneigentlich auch nicht.
Die angesprochene Sicherheitslücke bei Cisco war einfach nur das, eine Sicherheitslücke. Weiß nicht mehr genau was das Problem war, unzureichende oder gar fehlende Verschlüsselung, Standardlogin oder irgendwas in der Art...
Malware hingegen ist ja eine Fremdsoftware, quasi ein Virus, der aber auf dem Betriebssystem lauffähig sein muss. Ein NAS mit einem quasi-Linux ist da natürlich potentiell anfälliger als ein Gerät mit einem propriertären Betriebssystem wie Ciscos IOS.
@Burfi : Ein geänderter Port bringt keinen relevanten Sicherheitsgewinn. Security by obscurity. Einige Atomkraftwerke haben Nebelwerfer zur Abwehr von Angriffen - nach dem Vorbild von Schiffen. Dumm nur, dass sich ein Schiff im Schutz des Nebels davonstehlen kann, während das AKW immer noch an Ort und Stelle verbleibt. Ähnlich verhält es sich mit geänderten Ports aus "Sicherheitsgründen". Ein simpler Portscan und der Dienst ist wieder aufgedeckt.
Die angesprochene Sicherheitslücke bei Cisco war einfach nur das, eine Sicherheitslücke. Weiß nicht mehr genau was das Problem war, unzureichende oder gar fehlende Verschlüsselung, Standardlogin oder irgendwas in der Art...
Malware hingegen ist ja eine Fremdsoftware, quasi ein Virus, der aber auf dem Betriebssystem lauffähig sein muss. Ein NAS mit einem quasi-Linux ist da natürlich potentiell anfälliger als ein Gerät mit einem propriertären Betriebssystem wie Ciscos IOS.
@Burfi : Ein geänderter Port bringt keinen relevanten Sicherheitsgewinn. Security by obscurity. Einige Atomkraftwerke haben Nebelwerfer zur Abwehr von Angriffen - nach dem Vorbild von Schiffen. Dumm nur, dass sich ein Schiff im Schutz des Nebels davonstehlen kann, während das AKW immer noch an Ort und Stelle verbleibt. Ähnlich verhält es sich mit geänderten Ports aus "Sicherheitsgründen". Ein simpler Portscan und der Dienst ist wieder aufgedeckt.
Avenger84
Lt. Commander
- Registriert
- Feb. 2008
- Beiträge
- 1.493
Schon mal über Wireguard mit einem Raspberry Pi nachgedacht ?
Das Einrichten dauert je nach Vorwissen 10-30min und das Ergebnis ist ultraschnell. Ich schaffe die volle Geschwindigkeit meiner Leitung (90MBit/s).
Client Software für Windows und Android vorhanden (Android kann man den QR-Code eben scannen, fertig.)
https://www.wireguard.com/install/
https://github.com/adrianmihalko/raspberrypiwireguard
https://github.com/adrianmihalko/ra...agement-with-Wireguard-User-Management-script
Ich persönlich würde den NAS lieber NAS sein lassen.
Mit dem Raspberry kann man auch noch Pi-Hole nutzen und entsprechend dann von außerhalb den Pi-Hole ebenfalls noch nutzen.
Das Einrichten dauert je nach Vorwissen 10-30min und das Ergebnis ist ultraschnell. Ich schaffe die volle Geschwindigkeit meiner Leitung (90MBit/s).
Client Software für Windows und Android vorhanden (Android kann man den QR-Code eben scannen, fertig.)
https://www.wireguard.com/install/
https://github.com/adrianmihalko/raspberrypiwireguard
https://github.com/adrianmihalko/ra...agement-with-Wireguard-User-Management-script
Ich persönlich würde den NAS lieber NAS sein lassen.
Mit dem Raspberry kann man auch noch Pi-Hole nutzen und entsprechend dann von außerhalb den Pi-Hole ebenfalls noch nutzen.
Zuletzt bearbeitet:
- Registriert
- Juni 2007
- Beiträge
- 8.716
Die Anschaffung eines Raspberry Pi zu diesem Zweck hab ich in den letzten Wochen auch schon mal kurz in Erwägung gezogen, dann aber wieder verworfen weil ich mir nicht noch ein Gerät in meine Studentenwohnung stellen wollte und zudem auch noch einen Mac mini habe, den ich als VPN-Server betreiben könnte. Letzteres habe ich sogar versucht - leider trotz erheblicher Anstrengungen aber ohne Erfolg 
(eine Verbindung zum Server war zwar möglich, die Umleitung des Traffics über meine Home-IP sowie der Zugriff auf die DS718+ wollten aber einfach nicht funktionieren...).
Daher jetzt die Notlösung mit dem VPN via NAS; das habe ich bereits am Montag mal kurz getestet und siehe da, nach 10min hat alles funktioniert. Im Moment ist zwar alles wieder aus bis ich herausgefunden habe, ob ich damit ein unnötig hohes Risiko eingehe. Aber verlockend ist das jetzt natürlich schon. Gibt es denn Möglichkeiten, das Synology VPN sicherer zu machen als out-of-the-box?
(eine Verbindung zum Server war zwar möglich, die Umleitung des Traffics über meine Home-IP sowie der Zugriff auf die DS718+ wollten aber einfach nicht funktionieren...).Daher jetzt die Notlösung mit dem VPN via NAS; das habe ich bereits am Montag mal kurz getestet und siehe da, nach 10min hat alles funktioniert. Im Moment ist zwar alles wieder aus bis ich herausgefunden habe, ob ich damit ein unnötig hohes Risiko eingehe. Aber verlockend ist das jetzt natürlich schon. Gibt es denn Möglichkeiten, das Synology VPN sicherer zu machen als out-of-the-box?
Burfi
Commander
- Registriert
- Aug. 2008
- Beiträge
- 2.077
Natürlich ist der geänderte Port security by obscurity - darum geht es ja - so ist vor allem nicht klar welches Protokoll "verfügbar" ist.
Mir erschließt sich der Sinn einen Raspberry stattdessen zu verwenden nicht.. Dadurch wird nur das exposed Device verändert..
Davon ab bezweifel ich, dass der Raspberry in meinem Fall mit 1Gbit/s up/down zurechtkommen würde.
Mir erschließt sich der Sinn einen Raspberry stattdessen zu verwenden nicht.. Dadurch wird nur das exposed Device verändert..
Davon ab bezweifel ich, dass der Raspberry in meinem Fall mit 1Gbit/s up/down zurechtkommen würde.
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 17.944
Das bietet dennoch keinerlei Sicherheitsgewinn. Die Sicherheit eines Dienstes kommt durch Verschlüsselung, starke Passwörter, Zertifikate, etc. Den Port zu ändern ist ungefähr damit zu vergleichen, das Türschloss an der Haustür ein paar Meter weiter rechts hinten in die Wand einzubauen - wenn das Schloß aber aus dem 1€ Laden stammt, ist der Einbrecher trotzdem sofort drin, sobald er das Schloß gefunden hat. Während der Einbrecher aber ggfs Stunden manuell danach suchen oder gut beobachten muss, ist ein automatischer Portscan bequem und einfach..Burfi schrieb:
Bei IPsec kann man den bzw die Ports zB gar nicht ändern. Bei OpenVPN geht das, wird aber in der Regel nicht aus Gründen der Sicherheit genutzt, sondern um restriktive Firewalls (zB in Firmen, Hotels, HotSpots) zu umgehen, indem das VPN zB über den https-Port läuft.
Avenger84
Lt. Commander
- Registriert
- Feb. 2008
- Beiträge
- 1.493
Ehm ich meinte die Geschwindigkeit des Tunnels, in deinem Fall den Open VPN NAS Tunnel. Wenn der 10GBit schafft, dann schmeiße ich meinen Raspberry sofort in die Tonne und kaufe mir dein NAS.
Ne FritzBox schafft keine 10MBit/s als Vergleich.
Wireguard wie gesagt bis an die 100MBit/s per Raspberry Pi (mehr kann der auch nicht da 100MBit LAN).
Über Open VPN laß ich bisher auch eher maue Geschwindigkeiten.
Ne FritzBox schafft keine 10MBit/s als Vergleich.
Wireguard wie gesagt bis an die 100MBit/s per Raspberry Pi (mehr kann der auch nicht da 100MBit LAN).
Über Open VPN laß ich bisher auch eher maue Geschwindigkeiten.
Wilhelm14
Fleet Admiral
- Registriert
- Juli 2008
- Beiträge
- 23.541
Andere Frage, quer reingestellt. Ein VPN erstellt ja einen (verschlüsselten) Tunnel, durch den man sein privates LAN legen kann. Möchte man "nur" auf Daten zugreifen, würde das auch ohne VPN mit https gehen. In beiden Fällen wären die Daten verschlüsselt. Für den Zugriff bräuchte ich die IP und den Port. Ist VPN tatsächlich "sicherer"?
PS: Nur als Hinweis, autoshot hat ja 10 GBit Glasfaser und vermutlich gar keine Fritzbox. In dem Falle würde ich auch keine Fritzbox besorgen.
Ist aber arg pessimistisch, zwei 7590, die zwei NAS verbinden, schaffen 1,8 MB/s. (MegaByte). Zwar auch nicht berühmt, aber doch das doppelte, von deiner Vermutung.Avenger84 schrieb:
PS: Nur als Hinweis, autoshot hat ja 10 GBit Glasfaser und vermutlich gar keine Fritzbox. In dem Falle würde ich auch keine Fritzbox besorgen.
Avenger84
Lt. Commander
- Registriert
- Feb. 2008
- Beiträge
- 1.493
15MBit/s - schön, letztens habe ich ne 7590 getestet und kam auf <1MB/s.
Trotzdem noch Welten zu Wireguard.
Wie Raijin schon schrieb, mit Open VPN per NAS wird´s wohl auch nicht schneller.
Wireguard ist ja nicht an Raspberry gebunden, sondern läuft auf (vermutlich allen) Linux Systemen.
Trotzdem noch Welten zu Wireguard.
Wie Raijin schon schrieb, mit Open VPN per NAS wird´s wohl auch nicht schneller.
Wireguard ist ja nicht an Raspberry gebunden, sondern läuft auf (vermutlich allen) Linux Systemen.
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 17.944
Https ist auch verschlüsselt und wird ja zB auch beim Online-Banking genutzt. Sogesehen ist es also ähnlich sicher wie VPN. Der Unterschied liegt eher darin, dass man ein VPN gewissermaßen universell einsetzen kann, um darüber auch verschlüsselt auf unverschlüsselte Dienste zugreifen kann - zB den internen Webserver des TV-Recorders, der leider nur http bietet und somit nicht ins www gehören würde.Wilhelm14 schrieb:
- Registriert
- Juni 2007
- Beiträge
- 8.716
So, hab jetzt mal ein bisschen getestet. SpeedTest ohne VPN (via AC-WiFi):
SpeedTest mit VPN (via AC-WiFi):
Wenn alles durch den VPN läuft ist die Bandbreite zwar deutlich geringer, aber immernoch vollkommen ausreichend zum Streamen.
SpeedTest mit VPN (via AC-WiFi):
Wenn alles durch den VPN läuft ist die Bandbreite zwar deutlich geringer, aber immernoch vollkommen ausreichend zum Streamen.
Ähnliche Themen
