Sicherheitsvorkehrungen bei dyndns Anbindung

    Hallo,


    ich würde gerne wissen, welche Sicherheitsvorkehrungen empfohlen werden, wenn ich via MeineQnapNAS.dyndns.org auf meine NAS zugreifen will.
    Der Hintergrund ist, dass ich owncloud installieren und entsprechende Sicherheitsvorkehrungen beachten möchte, bis Qsync spruchreif ist.
    Man öffnet ja quasi seine NAS für das Internet.


    Ich habe bereits erfolgreich auf SSL umgestellt, was problematisch war, da mir zunächst nicht klar war, dass mein Router den Standard SSL Port bereits intern nutzt.
    Mit einem manuell eingestellten Port geht es aber nun. Dieser SSL TCP Port wird von meinem Router nun an die NAS Platte weitergeleitet.


    Ausserdem werde ich nun den Netzwerkzugangsschutz aktivieren, der IP-Adressen sperrt, die sich zu häufig pro festgelegter Zeit versuchen anzumelden.
    Die Option "Zertifikat und privater Schlüssel" in Systemeinstellung/Sicherheit gibt mir noch Rätsel auf, da ich mich mit der Erzeugung von Zertifikaten noch nie beschäftigt habe, und mein kurzer Versuch war erfolglos.
    Ich denke aber, die Zertifikatoption ist einzig sinnvoll, um Fehlermeldungen beim Zugangsversuch zu verhindern.
    Als Passwort habe ich für den Administrationszugang auf die Benutzeroberfläche die maximale Anzahl von Zeichen (16) genutzt und Zahlen, Klein-/Großbuchstaben und Symbole verwendet. Mein dyndns Passwort besteht aus 31 Zeichen (Zahlen, Klein-/Großbuchstaben und Symbole).


    Gibt es noch weitere Sicherheitsrelevante Dinge die ich beachten kann/muss?


    Vielen Dank für eure Hilfe!


    Details:


    FritzBox 7240 IPv4
    |
    |
    Switch (10/100/1000)
    | |diverse Rechner
    |
    Switch (10/100/1000)
    | |diverse Rechner
    |--- NAS (1x LAN, MTU:4074)


    - welches NAS mit welcher Firmwareversion: TS-219 PII, 4.0.1.20130604
    - welches Betriebssystem wird genutzt: Mac OS X 10.7.5, Windows 7
    - welche Bandbreite hat der genutzte Client: hinter dem Router ist alles Gigabit Ethernet
    - wird DHCP genutzt: nein, IP Adressen sind fix zugewiesen
    - gibt es Kabellängen > 80m: nein

    Hallo,


    ein fertiges Rezept gibt es hier nicht.


    Generell gilt, je mehr Du von Außen (Internet) zulässt, desto größer ist die Gefahr dass jemand eindringt.


    Ich würde nicht den SSL-Port 443 für den Zugriff auf das NAS wählen, sondern einen anderen. Soll heißen, das NAS kann ruhig den 443 nutzen, aber die Fritzbox sollte dort NICHT die Anfragen für das NAS entgegen nehmen.
    Du kannst z.B. die Weiterleitung von Port 8443 auf 443 (NAS) einrichten. Somit muss man dann von Außen auf https://dein_dyndns_name:8443 angeben um auf dem SSL-Port des NAS zu landen.


    Die SSL-Zertifikate sind für die "Vertrauensstellung" notwendig, damit der Browser dem Zertifikat vertraut (i.d.R. nur von gewissen Seiten ausgestelle Zertifikate wie Verisign).


    Und bitte beachten: Nur das an Ports öffnen (Weiterleitung Router an NAS) was wirklich benötigt wird. Je mehr offen desto mehr unsicher! :D


    Gruß
    Robert

    Du hast eine Fritzbox, nutz doch einfach deren VPN.

    Danke für den Tip.
    Ich habe VPN auf der Fritzbox aktiviert und auch in meinem Betriebssystem.
    Die Verbindung mit dem VPN auf der Fritzbox kommt auch zustande.


    Wie kann ich nun sichergehen, dass der Datenverkehr zu meiner persönlichen cloud (owncloud) auch tatsächlich über VPN läuft?
    Im Augenblick sind sowohl das VPN als auch meine Standardverbindung via LAN zum Internet aktiv.


    Muss ich vielleicht gar nicht auf das VPN auf der Fritzbox zugreifen, sondern auf das VPN der NAS?
    Die Dyndns der Fritzbox ist ja eine andere als die der NAS, und über diese MeineNAS.dyndns.org Adresse greife ich ja auf momentan via ungesichertem Internet mit owncloud auf die NAS zu.
    Muss ich dazu das VPN der Fritzbox abschalten und das der NAS anschalten?


    Kann ich den Datenstrom von einer Anwendung auf meinem Laptop via VPN auf MeineNAS.dyndns.org tunneln, während ich zum Beispiel mit dem Browser oder dem Emailprogramm ganz 'normal' im Internet bin?


    Ich blicke gerade nicht mehr durch. :(

    Kannst Du bitte noch mal etwas genauer erklären, was Du machen möchtest? Wenn man eine VPN-Verbindung nach Hause hat, wozu dann noch eine Cloud?
    Und ja, man kann einer Anwendung auf dem Laptop den Zugriff via VPN auf die heimischen Daten erlauben und gleichzeitig im Web surfen.

    Ich möchte dropbox aus Sicherheitsgründen mit einer 'persönlichen' cloud ersetzen.
    Da QSync nicht läuft habe ich owncloud auf der NAS und den Rechnern installiert.
    Der bisherige dropbox Ordner beinhaltet einen Audioprojekt Ordner der automatisch auf 3 Rechner synchronisiert wird, um den Workflow zu erleichtern (und ein Backup zu haben), d.h. ich arbeite zuhause an dem Audioprojekt, und bin mit dem Laptop unterwegs kann weiter arbeiten, bin dann im Studio und kann weiterarbeiten, habe aber immer die aktualisierten Daten sowohl auf allen am Projekt beteiligten Rechner und gleichzeitig ein RAID1 Backup.
    Die im Hintergrund arbeitende Funktionalität von dropbox fand ich sehr angenehm und unauffällig.


    Die owncloud Anbindung funktioniert aber ich möchte dies gerne über eine sichere Verbindung laufen lassen, also denke ich wäre VPN zumindest auf dem Laptop eine tolle Lösung.


    Zitat von "biboca"

    Wenn man eine VPN-Verbindung nach Hause hat, wozu dann noch eine Cloud?


    Bis jetzt habe ich die VPN Verbindung mit der Fritzbox aufgebaut. Wie aber komme ich auf die NAS? Kann ich einfach die NAS in die gleiche VPN-Umgebung einbinden?
    Oder leite ich einfach den entsprechenden Port an die NAS weiter und lasse die Fritzbox VPN aussen vor? Geht das?


    Zitat von "biboca"

    Und ja, man kann einer Anwendung auf dem Laptop den Zugriff via VPN auf die heimischen Daten erlauben und gleichzeitig im Web surfen.


    Wie leite ich eine spezielle Anwendung über VPN, während ich mit einer anderen über die 'ungesicherte' Netzwerkverbindung ins Internet gehe?

    Einmal editiert, zuletzt von dualmono ()

    Zitat von "dualmono"


    Die Dyndns der Fritzbox ist ja eine andere als die der NAS, und über diese MeineNAS.dyndns.org Adresse greife ich ja auf momentan via ungesichertem Internet mit owncloud auf die NAS zu.


    Hinter beiden Dyndns-Adressen verbirgt sich die selbe IP, nämlich die öffentliche IP deines Internetzugangs. Von daher macht das überhaupt keinen Unterschied.


    Wenn du nun VPN nutzen möchtest, einfach alle bisherigen Portweiterleitungen auf der Fritzbox deaktivieren, diese werden nun nicht mehr benötigt. Somit kannst du auch versehentlich keine falsche ungesicherte Verbindung mehr herstellen. Und mit der Verbindung über VPN ist es fast so als wärst du direkt zu Hause im LAN.

    Achso.
    Bis jetzt hatte ich eine MeineNAS.dyndns.org Adresse und eine MeineFritzbox.dyndns.org Adresse.
    Ich brauche also nur noch MeineFritzbox.dyndns.org und kann dann trotzdem über VPN auf die Administrationsoberfläche der NAS?

    Mit beiden DynDNS-Adressen hast du denselben Zugriff auf deine Fritzbox, egal ob Portweiterleitung oder VPN.
    Mit dem VPN der FritzBox hast du direkten Zugriff auf dein gesamtes Netzwerk.

    Zitat von "dualmono"

    Ich brauche also nur noch MeineFritzbox.dyndns.org und kann dann trotzdem über VPN auf die Administrationsoberfläche der NAS?


    Ja, Du musst es aber über die IP des NAS machen, also VPN zur Fritte an und dann IPdesNAS:8080

    So weit so schlecht.
    Ich scheitere gerade grandios an der Einrichtung von VPN. :oops:


    Also mach ich jetzt einen Schritt zurück und fange nochmal bei Null an.
    Dazu drei Fragen:


    1. Muss sowohl auf der Fritzbox als auch auf der NAS VPN aktiviert sein, oder reicht es VPN auf der NAS zu aktivieren?
    Anmerkung: Ich brauche nur Zugriff auf das Verzeichnis der cloud Applikation auf der NAS, keinen Zugriff auf mein gesamtes LAN.


    2. Wenn VPN auf der NAS aktiviert ist, muss sowohl PPTP als auch OpenVPN in Anwendungen/VPN Dienst aktiviert sein?


    3. Als Anmerkung steht in dem Fenster VPN Dienst unter OpenVPN Einstellungen:

    Zitat

    Auf dem Remote-PC wird eine OpenVPN-Client-Software benötigt. Sie können die VPN-Standardeinstellungen verwenden oder die Einstellungen manuell konfigurieren.


    Kann ich via VPN mit den internen Mitteln (= ohne Drittparteiprogramme) in Mac OS X auf die NAS zugreifen?
    Falls ja: welche der systemintern anwählbaren Optionen unter Mac OS X ist die richtige?
    - L2TP über IPSec
    - PPTP
    - Cisco IPSec

    Zitat von "dualmono"


    Kann ich via VPN mit den internen Mitteln (= ohne Drittparteiprogramme) in Mac OS X auf die NAS zugreifen?


    VPN über die Fritzbox geht ohne Drittsoftware, VPN über das NAS (OpenVPN) nicht. Da brauchst auf dem Mac z.B. Tunnelblick.

    Ok, melde Vollzug. Die VPN Verbindung zur NAS über MeineFritzbox.dyndns.org steht.
    Wie kann ich ein spezielles Programm ausschließlich über diese VPN Verbindung leiten, während ich mich 'normal' im Internet bewege?
    Im LAN leite ich die Client cloud Applikation mit:
    http://MeineNAS/owncloud/


    auf die owncloud Server Applikation.


    Wenn ich nun:
    http://MeineFritzbox.dyndns.org:VPNPort/owncloud


    verwende, wird dann die Verbindung über VPN geleitet?
    Sollte es so einfach sein? :-/

    Ich habe noch ein Brett vor dem Kopf glaube ich.


    Also ich erreiche die Administrations und Normalbenutzeroberfläche meiner Cloudapplikation auf meiner Qnap NAS über:

    Code
    https://meineNAS.dyndns.org:8081/MeineCloud/


    Und habe VPN erfolgreich mit Tunnelblick (OpenVPN) via:

    Code
    meineNAS.dyndns.org:MeinEigenerVPNPort


    verbunden, wobei MeinEigenerVPNPort von meinem Router an MeineNASimLAN:1194 weitergeleitet wird.


    Wie kann ich nun den Datenverkehr zu https://meineNAS.dyndns.org:8081/MeineCloud/ über die erfolgreich eingerichtete und aktive VPN Verbindung laufen lassen?


    Dies:

    Code
    https://meineNAS.dyndns.org:MeinEigenerVPNPort/MeineCloud/


    geht mit folgender Fehlermeldung im Browser nicht:
    "Fehler: Verbindung fehlgeschlagen.
    Firefox kann keine Verbindung zu dem Server unter meineNAS.dyndns.org:MeinEigenerVPNPort aufbauen."


    Was habe ich noch nicht verstanden?
    Vielen Dank.

    Zitat von "dualmono"


    Was habe ich noch nicht verstanden?


    Du hast noch nicht verstanden, dass du mit einer VPN-Verbindung (fast) lokal mit deinem LAN verbunden bist und somit keine andere Verbindung von extern nötig ist. Den Port 8081 kannst am Router schließen, falls dieser noch offen ist.


    Zitat von "GreyAngel"

    Sprich Deinen Server einfach über https://Server-IP:8081/MeineCloud (Beispiel) an.


    Wobei beachtet werden muss, dass das NAS mit einer OpenVPN-Verbindung nun über 10.8.0.1 anzusprechen ist, nicht 192.168.x.y

    Zitat von "tokon"


    Wobei beachtet werden muss, dass das NAS mit einer OpenVPN-Verbindung nun über 10.8.0.1 anzusprechen ist, nicht 192.168.x.y


    Danke Dir für die Ergänzung - das hatte ich glatt vergessen, da ich bei mir andere Kreise vergeben habe. :)

    Ok, ich wusste nichts von der 'neuen' IP Vergabe (10.8.0.1). :)
    Soweit ich das sehe verbinde ich mich nun problemlos mit:
    https://10.66.77.1:8081/MeineCloud


    10.66.77.1 laut Tip von der OpenVPN Website:

    Zitat

    The best solution is to avoid using 10.0.0.0/24 or 192.168.0.0/24 as private LAN network addresses. Instead, use something that has a lower probability of being used in a WiFi cafe, airport, or hotel where you might expect to connect from remotely. The best candidates are subnets in the middle of the vast 10.0.0.0/8 netblock (for example 10.66.77.0/24).


    Zwei Fragen noch:
    Verstehe ich das richtig, jede Verbindung zu 10.66.77.1 (egal welcher Port) läuft nun automatisch über die VPN Verbindung während zum Beispiel ein Aufruf von google.de im Browser wie gehabt unverschlüsselt parallel dazu läuft während die VPN Verbindung steht?


    Welche IP Adressen haben die Clients die über VPN verbunden sind, sprich, wie verbinde ich mich mit einem Rechner im heimischen LAN während ich woanders bin?
    Wenn die NAS die IP Adressen im Bereich 10.66.77.x automatisch (dynamisch?) vergibt, weiss ich ja nicht welcher Rechner welche IP hat um mich über VPN mit denen zu verbinden.

    Zitat von "dualmono"


    Verstehe ich das richtig, jede Verbindung zu 10.66.77.1 (egal welcher Port) läuft nun automatisch über die VPN Verbindung während zum Beispiel ein Aufruf von google.de im Browser wie gehabt unverschlüsselt parallel dazu läuft während die VPN Verbindung steht?


    Mit der Option "Redirect Gateway" geht auch der Internettraffic über die VPN-Verbindung.
    Kannst ja aber selbst prüfen. Geht auf eine Seite, die dir deine externe IP anzeigt und schaue ob das die von zu Hause oder von deiner mobilen Internetverbindung ist.


    Zitat

    Welche IP Adressen haben die Clients die über VPN verbunden sind, sprich, wie verbinde ich mich mit einem Rechner im heimischen LAN während ich woanders bin?
    Wenn die NAS die IP Adressen im Bereich 10.66.77.x automatisch (dynamisch?) vergibt, weiss ich ja nicht welcher Rechner welche IP hat um mich über VPN mit denen zu verbinden.


    Sofern sie überhaupt erreichbar sind, haben sie ihre normalen IP-Adressen. Der PC zu Hause baut ja keine VPN-Verbindung mit dem NAS auf.