ComputerBase Menü
Aktuelles

Zugriff auf NAS konfigurieren

B

Bannister0946

Lt. Junior Grade
Registriert
Nov. 2021
Beiträge
315
Guten Morgen!

ich benötige eure Hilfe bei einer Thematik, mit der ich etwas überfordert bin.
Kurze Erklärung der IST-Situation:

Ich habe eine Fritzbox, worüber VPN Wireguard genutzt wird.
Dahinter hängt eine Synology NAS, welche für extern nur via VPN erreichbar ist.
Fritzbox hat keine offene Ports.

Jetzt möchte ich aber gerne ein System auf der NAS zur Verfügung stellen, welches auch extern ohne VPN erreichbar sein soll.
Würde bedeuten: Ich müsste Port 443 auf der Fritzbox öffnen. Dieses System hat auf der Synology den Port 888.
Das System wäre dann erreichbar via https://contacts.domain.de und wird via Reverse Proxy (auch auf der Synology) auf localhost:888 umgeleitet. Das klappt auch. Allerdings habe ich dadurch das Problem, dass die anderen Systeme jetzt auch von extern erreichbar sind (cloud und calendar.domain.de). Anbei eine kleine Skizzierung der Situation.

Bildschirmfoto 2023-06-12 um 07.29.02.png



Ich könnte auf der Synology mit Zugangsprofilen arbeiten.
Beispielsweise:
  • Findet ein Zugriff via contacts.domain.de statt, dann Zugriff erlauben
  • Findet ein Zugriff via calendar.domain.de statt, dann Zugriff nur erlauben, wenn der Zugriff von Quelle 192.168.178.0/24 kommt (sprich intern oder via VPN)

Auch das klappt in der Praxis.
Ich bin mir damit nur unsicher, da ein Angreifer, welcher von extern einen Zugriff von calendar.domain.de versucht, bis zur Synology durchkommt und dort erst geblockt wird. Das heißt: Der Angreifer befindet sich in dem Moment schon auf der Synology (unabhänig vom Block).

Was meint ihr?
Dennoch eine Möglichkeit das so problemlos zu händeln?
Oder seht ihr noch eine besserer Variante.
 
Zuletzt bearbeitet:
Über die grundsätzliche Sicherheit deines Vorhabens hinweggesehen, würde ich dem von außen erreichbaren Dienst einen exklusiven Port zuweisen und diesen dann auch von außen erreichbar machen.
 
exlusiven Port? Du meinst einen anderen als 443?
Da sehe ich zwei Faktoren:
  • viele Firmen blockieren Anfragen, welche nicht an Standardports gerichtet sind.
  • mehr Sicherheit bringt das nicht. Ein Angreifer lässt dann einen Portscan laufen und würde auch den exlusiveren Port herausfinden
 
  • Gefällt mir
Reaktionen: Roesi und GaborDenes
Sicher ist die Konstellation über Fritzbox und Synology eh nicht, da wollte ich aber auch nicht drauf hinaus.
Wenn du z.B. contacts, cloud, calendar etc. auf jeweils einen anderen Port verfügbar machst ist nur das von außen erreichbar, von dem du den Port in der Fritzbox öffnest und weiterleitest.
 
das verstehe ich. aber aus dem Aspekt:
"viele Firmen blockieren Anfragen, welche nicht an Standardports gerichtet sind."

müsste ich das über Port 443 laufen lassen, um auch diese Situation abzufangen.
Somit ist die Ausgangssituation wie im Post 1 beschrieben
 
Ich ging davon aus, dass du nur für dich persönlich einen solchen Zugang haben möchtest. Für ein Firmenumfeld halte ich das für keine valide Lösung. Daher ist erst mal zu klären, wo (Firma / Privat) die Freigabe erfolgen soll und von wo (Firma / Privat) und wem (Einzelperson / Öffentlichkeit) zugegriffen werden soll.
 
Du leitest doch auch jetzt schon 443 auf 888 um?
Machst halt
calendar 887
cloud 888
contacts 889

dann machst du nur den zugang zu einem auf, nicht zu allen dreien.
 
@Crumar
genau! das hatte ich ja so auch beschrieben.
Problem ist aber dennoch: das der Angreifer bis zur Synology käme, egal welche domain er von den verfügbaren benutzt, da port 443 erst mal für alle auf ist. Und dann entscheidet die Syno: Zugriff ja / nein
 
Wie ich schon schrieb: aus Security – Sicht keine vernünftige Umgebung / Lösung.
 
und was würdest du vorschlagen? danach frage ich ja bereits seit meinem ersten Beitrag :)
 
Das ist nicht in 5 Zeilen ausführlich zu erklären.
Ganz Grob als Vorschlag: Fritzbox weg oder nur als „dummes“ DSL – Modem nutzen, Firewall hinstellen. Eine kleine Forti, Palo o.ä. gibt’s schon im 3Stelligem Preisbereich. Alternativ gibt es auch schon nette kostenlose Lösungen meist auf Linux - Basis.
Die Dienste Trennen, je nach Wichtigkeit auf eigene Hardware oder zumindest auf eine gehärtete Virtualisierungsumgebung, dann sauber getrennt durch VLANs etc.
Für jedes System eine eigene kleine DMZ, Mikrosegmentierung und entsprechendes Regelwerk.
 
  • Gefällt mir
Reaktionen: Roesi
ja okay, das wäre natürlich die ultra Lösung - so nenn ich es mal ;)
aber da ich persönlich kein Unternehmen bin sondern nur privater User, sehe ich das für mich als "zu viel" an.
Von den Zugangsprofilen hältst du nichts? Ist ja quasi eine Art "Firewall"
 
Also ist der Zugriff nur für dich alleine? Dann verstehe ich noch nicht so ganz dein „viele Firmen...“.
 
nein, der Zugriff soll auf das eine System für alle erreichbar sein. manchmal kommt der Zugriff aber auch aus Firmennetzwerken (wo vielleicht Anfragen an nicht 443 Ports geblockt werden). Diese Anfragen möchte ich natürlich auch zulassen.
 
Ich bleibe bei meiner Meinung, für eine öffentliche Freigabe ist deine Umgebung nicht geeignet, weil sehr angreifbar.

Zumindest würde ich eine logische Trennung anstreben, sogar mit eigenem DSL Anschluss . Was dich allerdings nicht aus der Haftung nimmt, wenn du demnächst irgendwelche Warez oder komische Filme anbietest.
Ich würde mir dafür einen seriösen Cloud – Anbieter suchen.
 
  • Gefällt mir
Reaktionen: Roesi
für illegale Zwecke ist diese Situation nicht gedacht ;)
Okay, ich überlege mal weiter. Danke!
 
Die syno bietet auch einen direkten Zugang von aussen mit Passwort und Namen auf Ordner an, mit ähnlicher Sicherheit wie vpn. Nutz doch das. So wäre ein hacker nicht direkt im Netzwerk und du hast die Kontrolle wer wann auf was zugriff hat.
 
du meinst sicherlich quickconnect. das möchte ich nicht nutzen - auch aus Sicherheitsgründen ;)
 
Bannister0946 schrieb:
für illegale Zwecke ist diese Situation nicht gedacht ;)
Zum Vergrößern anklicken....
Das hast du falsch verstanden, damit wollte ich dir auch nichts unterstellen. Ich meinte im Falle eines Sicherheitsvorfalls, wenn deine NAS dann für sowas missbraucht wird.
chrigu schrieb:
Die syno bietet auch einen direkten Zugang von aussen mit Passwort und Namen auf Ordner an, mit ähnlicher Sicherheit wie vpn.
Zum Vergrößern anklicken....
Es soll ja eine öffentliche Freigabe werden.
 
  • Gefällt mir
Reaktionen: Bannister0946
Du nutzt die SICHERERE Möglichkeit aus SICHERHEITSGRÜNDEN nicht ? Das ist .... um es direkt zu sagen : Bekloppter als alles was schon da oben steht .......

Wenn du jedem Depp zugriff auf dein NAS geben willst dann bitte, aber das wird dann SEHR schnell Illegal genutzt da man nichtmal nen Trojaner o.ä. braucht um da Massiv Illegales Zeug zu speichern und Abrufbar zu machen .....
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

FelixATV
Zugriffe über Wireguard einschränken (FritzBox-FritzBox)
Antworten
12
Aufrufe
634
riversource
R
B
Fritzboxen via VPN verbinden
Antworten
9
Aufrufe
854
Bannister0946
B
B
Kompletter Zugriff aufs VPN Netzwerk
Antworten
7
Aufrufe
1.131
Blauesfeuer90
B
Nicodil
Fritzbox VPN sperrt DSM Ports
Antworten
5
Aufrufe
673
Nicodil
Nicodil
V
Kann Netzwerk-Geräte via Browser/Explorer nicht über Namen aufrufen
2
Antworten
25
Aufrufe
793
vocaris
V
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz