Tablet zum Zugriff auf das Büronetz gesucht

[Worker151]

Ich suche für einen Verwandten ein tablet, mit dem dieser auf seine BüroDaten von extern zugreifen will. Die liegen dort auf einer Synology, es geht vor allem um emails, Word und excel und pdf. Sehe ich es richtig, dass da ein VPN die sicherste und beste Lösung ist?
Lässt sich dieser halbwegs automatisieren? Vielleicht sollte er einfach dauerhaft aktiv sein?
Vermutlich kommt nur Windows oder iPad in Frage?
Budget 500, Max 1000€

Edit: Internet über Handy hotspot reicht (Handy ist ein Samsung Galaxy, kann man das ähnlich automatisieren wie bei Apple?), gerne mit Möglichkeit einer Tastatur und Stift

Thema Sicherheit: er mag ungern Passwörter... ich bekomme aber Gänsehaut, wenn ich weiß, dass man von extern ohne Passwort in Das tablet kommt. Vielleicht zumindest eine gut funktionierende Touch ID oder Face ID Lösung? Ich befürchte nur, dass er das auch deaktiviert

 

[calippo]

Mit Android geht das, Word, Excel Outlook läuft unter Android und VPN Zugriff aufs NAS geht auch.
Automatisieren muss man da nichts. Ich habe einen Knopf für Wireguard VPN in der Schnellzugriffsleiste und aktiviere damit die Verbindung zu meinem Heimnetz.

 

[esb315]

Was sagt der Admin der Firma dazu?

 

[Worker151]

Was sagt der Admin der Firma dazu?

die „Firma“ ist so klein, dass es da außer ihm nur mich als gelegentlichen IT Helfer gibt

 

[calippo]

@Worker151

Das sind alles Anforderungen, die von gängigen Tablets z.B. von Samsung aber auch Apple erfüllt werden. Oder halt ein MS Surface

 

[esb315]

Das VPN verbindet das Tablet mit dem internen Netz. Also brauchst du auch einen Server/Router der die VPN-Anfragen verarbeitet. Und am besten gleich noch ne Backup-Lösung für die Firmendaten.
Das ist ein Thema wo ich Bauchschmerzen bekomme, wenn sowas einfach mal so eingerichtet werden soll.
Mach dich erstmal schlau was ein VPN ist und wie es funktioniert. Das ist nicht einfach Plug and play. Besonders nicht im Firmennetzwerk.

 

[Worker151]

Seht ihr da Vor-/Nachteile zwischen den Systemen?

Ich selbst mag i(pad)OS sehr gerne und würde mir selbst ein iPad Air holen, ich habe es aber bisher nie mit VPN verwendet. Für mich stellt sich eben auch die Frage, wie ich ihm da mit etwas möglichst sicherem helfe, ohne seine Komfortwünsche einzuschränken. Bei der Verbindung dürfte der VPN eine gute Lösung sein, die Frage ist dann noch, wie ich das Tablet selbst sichere. Am Handy hat er auch kein Passwort, das fände ich bei einem Gerät mit Bürozugriff erst recht fatal.
Ich bin aber auch kein Babysitter, jetzt ein Surface zu holen und ihm dann nur eingeschränkte Benutzerrechte mit erzwungenem Passwort zu gewähren, ist also auch nicht praktikabel. Vielleicht kann ich ihn überzeugen, dass ein PW absolut notwendig ist.

Ergänzung (19. November 2020)

Das VPN verbindet das Tablet mit dem internen Netz. Also brauchst du auch einen Server/Router der die VPN-Anfragen verarbeitet. Und am besten gleich noch ne Backup-Lösung für die Firmendaten.
Das ist ein Thema wo ich Bauchschmerzen bekomme, wenn sowas einfach mal so eingerichtet werden soll.
Mach dich erstmal schlau was ein VPN ist und wie es funktioniert. Das ist nicht einfach Plug and play. Besonders nicht im Firmennetzwerk.

es gibt mehrere Backup-Lösungen, sowohl lokal als auch verschlüsselt an einem anderen Standort, VPN würde am Unifi Router laufen (nicht so meins), wäre auf der Synology möglich, am liebsten wäre mir mittlerweile aber der Umstieg auf Wireguard. Ich bin der Ansicht ein VPN sollte möglichst in die Firewall / Router, die Unifi Dream Machine Pro kann nur leider noch kein Wireguard. Also entweder ein anderer VPN oder der läuft auf der Synology oder einem Raspberry.

Es gibt natürlich auch eine Alternative - externer Zugriff auf die Synology ohne VPN. Imho aber nicht erstrebenswert.

Natürlich freue ich mich auch über alternative Vorschläge. Denkbar wäre wohl beispielsweise eine Synchronisation der Dateien im WLAN. Allerdings mit Funktionseinschränkungen verbunden.

 

[esb315]

Vielleicht kann ich ihn überzeugen, dass ein PW absolut notwendig ist.

Sicherheit und Komfort sind gegenläufig. Frag ihn doch was ihm die Daten wert sind.

die Unifi Dream Machine Pro kann nur leider noch kein Wireguard

IPsec wäre hier eine Alternative.

 

[calippo]

@Worker151

Sollte kein Problem sein, da einen VPN Client einzurichten. Wireguard z.B. läuft unter iOS und Gesichtserkennung geht doch per IOS auch.
Geräteseitig sehe ich da eher keine Probleme, sei es Android, Ipad oder Surface.

Ich schließe mich da @esb315 an, die Herausforderung liegt in der Einrichtung des VPN Zugangs und der Sicherheit auf Firmenseite.

Bei mir läuft Wireguard auf einem Raspi, aber mein NAS ist normalerweise auch runtergefahren und wenn ich es per WOL hochfahre, dann ist es dennoch erst mal grundverschlüsselt und ohne Nutzerkennung und PW kommt man auch nicht drauf. Meine privaten Daten sind dann noch mal per Cryptomator verschlüsselt.

Mit diesem Risiko kann ich leben, ob ich so eine Lösung einem Freund in seiner kleinen Firma implementieren würde? Eher nicht.

 

[Worker151]

Seht ihr das Risiko auch eher im Nutzer oder auch in der Umsetzung an sich? Der externe Zugriff über VPN dürfte wohl auch in weit größeren Firmen üblich sein?

Ich werd nochmal mit ihm besprechen, wie Risiko und Nutzen aussehen.

Ergänzung (19. November 2020)

IPsec wäre hier eine Alternative.

Ja, Wireguard fände ich aber sympathischer. Oder gibt es Vorteile bei IPsec? (außer dass es auf der UDMP läuft und für alle Plattformen aus dem Beta status raus ist)

 

[esb315]

Oder gibt es Vorteile bei IPsec?

Ist so gut wie überall integriert. Wireguard ist ja doch relativ neu.

 

[calippo]

Gibt verschiedene Angriffsvektoren. Ein Endgerät ohne/mit schwachem Passwort ist ein Generalschlüssel, wenn man VPN Zugangsdaten und NAS-Kennung aus Bequemlichkeitsgründen speichert.

Aber ein ungepatcher VPN Server kann ebenfalls Sicherheitslücken aufweisen.

 

[Worker151]

Sicherer und wohl umsetzbar wäre ein User-Account für die Synology, der auf die gemeinsamen Ordner nur Lesezugriff hat, man könnte trotzdem noch einen Tablet Ordner mit Schreibzugriff einrichten. Auch das macht es halt auch etwas unkomfortabler.

 

[esb315]

Wie kommt man dann aus dem Internet auf die NAS?

 

[Worker151]

Wie meinst du das? Eben über VPN oder Alternativen, die ich nicht so attraktiv finde (zum Beispiel QuickConnect oder Portweiterleitungen)

 

[esb315]

Ja, stimmt. Ist schon spät.
Nimm am besten IPsec. Die Client-Software kostet zwar meist was, aber die Verbindung ist sicher. Mit Wireguard wird das erstmal Bastelei um einen Server aufzusetzen.

 

[Worker151]

Wisst ihr wie der VPN-Aubau / die Anmeldung am NAS bei ipadOS, Android und Windows umgesetzt ist, sprich habe ich da jeweils die Möglichkeit das zum Beispiel über Passwort oder TouchID zu sichern?

 

[esb315]

VPN wird einfach aktiviert, ohne Eingabe von Daten. Das wird via Profil gemacht.
Die NAS gibt die Daten bestimmt via SMB-Share frei. Also kannst du die Freigabe als Netzlaufwerk einbinden. Anmeldedaten lassen sich dabei auch speichern. Zumindest bei Windows geht so.

 

[Worker151]

Ja genau, über SMB wäre mir am liebsten, AFP unterstützt selbst Apple mittlerweile eher nur noch so nebenbei.

Ich glaube meine Frage war aber missverständlich, mir ging es weniger darum, ob man das ohne Eingabe von Daten machen kann, sondern mehr darum, ob man bewusst eine Sicherheitsabfrage festlegen kann. So könnte man beispielsweise auch sagen das Tablet hat kein Passwort, beim VPN muss dann aber über Passwort oder Fingerabdruck autorisiert werden. (Ja, ich finde kein Passwort für das Tablet nicht optimal.)

 

[esb315]

PW-Eingabe bei der VPN-Verbindung wäre da am sinnvollsten. Aber kann man nicht auch Apps mit PW sichern? Also auf Android geht das mit Tools, das man bei ausgewählten Apps PW eingeben muss (Kindersicherung). Sollte es doch auch auf Surface oder IPad geben.