Hallo,
Nachdem vorgestern meine TS-119 angekommen ist, hab ich sie natürlich direkt in Betrieb genommen und erstmal versucht, ein bisschen einzustellen. Sieht soweit auch alles top aus, hab zu allererst die neueste Firmware aufgespielt (Version 3.0.0 build 0428T), was es etwas schwieriger macht, da das Manual von der CD sich noch auf eine ältere Version bezieht, die grafisch anders aussieht.
Insgesamt aber schön übersichtlich, die meisten Sachen erklären sich gut von selbst.
Jetzt habe ich aber ein paar grundlegende Sicherheitsfragen. Vorab: ich habe zwar das Forum durchsucht und natürlich auch einiges gefunden, hilft mir aber im Moment noch nicht so weiter, dazu bin ich einfach zu wenig mit der Materie vertraut (Geisteswissenschaftler...). Ich versuche mal, es ein bisschen zu gliedern, was ja schon bei der Kaufberatung gut aufgenommen wurde
1. Was will ich?
Die TS arbeitet bei mir hauptsächlich in dem ihr zugedachten Bereich des Netzwerkspeichers. Drauf liegen Musik, Filme, Fotos, private Dokumente. Letztere aus dem Grund, da hier im Haushalt mehrere PC's stehen, die alle auf Arbeitsdateien zugreifen können sollen, ohne diese jedes Mal bei Bedarf aufs NAS zu spielen.
Zugreifen tun im Prinzip nur meine Freundin und ich, ich will aber auch die Möglichkeit haben, z.B. für Verwandte einen Account zu erstellen mit dem sie dann auf ein bestimmtes Verzeichnis (letzte Urlaubsfotos oder so) zugreifen können.
In Zukunft soll eventuell ein TV-Gerät folgen, dass auch auf die Medien (hauptsächlich Filme) zugreifen können soll.
Ich will wenn möglich eine Lagerung der Daten in Verzeichnisstruktur mit Zugriffserlaubnis auf Verzeichnisebene. Beispiel: Freigabeordner "Medien" wird als Netzlaufwerk verbunden und enthält die Ordner "Fotos", "Filme" und "Musik". Ich will bestimmten Benutzern den Zugriff z.B. nur auf den Ordner "Fotos" oder sogar nur auf Unterordner darin erlauben.
Außerdem möchte ich von außen auf die Freigabeeinstellungen Einfluss haben über den Admin-Bereich. Ich will also, wenn ich z.B. bei einem Kumpel bin, mich von ihm aus einloggen und einen Ordner für ihn freigeben können.
Das sind im Prinzip erst mal meine Bedürfnisse und das Ganze soll also so sicher wie möglich laufen.
2. Infrastruktur
Hatte ich in meinem Kaufberatungs-Thread schon beschrieben, hier eine kurze Wiederholung:
DSL kommt von 1und1 über eine Fritzbox rein, die als Router fungiert und (im Moment noch) über DHCP Adressen vergibt. Ein WLAN-Gerät ist erkannt und zugelassen (mein Notebook), weitere Geräte werden nicht zugelassen. An der Fritzbox hängt ein erster Gigabit-Switch. An diesem hängen der "Spiele"-PC und in Zukunft dann TV/Anlage im Wohnzimmer. Des weiteren geht von dem Switch ein Kabel ins Obergeschoss zu einem zweiten Switch. An diesem hängen Arbeits-PC und Docking-Station fürs Notebook sowie das NAS. Am NAS wiederum hängen per USB zwei Drucker sowie eine externe Festplatte (Freecom irgendwas, leider eine Version ohne eSATA), auf die gebackupped (tolles Wort) werden soll.
3. Konkrete Fragen
I. Verzeichnisrechte
Ist die geplante Zugriffsstruktur möglich, d.h. wenige Freigabeordner mit Ordnern innerhalb, bei denen ich für jeden Benutzer einstellen kann, ob er Zugriff hat? Wenn es nicht anders geht muss ich halt für jedes Verzeichnis einen Freigabeordner erstellen mit auf die Benutzer abgestimmten Rechten. Das wäre aber recht umständlich, da ich hier für jeden ein Netzlaufwerk hätte und das mir dann zuviele wären.
II. DynDNS
Ich habe einen DynDNS Account angelegt, der wird dann in der Fritzbox eingetragen. Was muss ich machen um möglichst sicher zu bleiben, aber den Zugriff auf die Daten und die Administration zu ermöglichen? Port-Weiterleitung muss eingerichtet werden, soweit klar, aber ich habe was gelesen von einem SSH-Tunnel, durch den dann alles laufen soll, wodurch nur ein Port weitergeleitet werden müsste? Wie funktioniert das, also wie kann ich dann noch dezidiert auf Admin-Panel (darf nur ich können) oder FTP bzw. Web File Manager zugreifen kann (dürfen auch andere)? Habe diesbezüglich noch keine einigermaßen leicht verständliche Erklärung gefunden.
III. Welche Zugangsform auf Daten von außen sollte ich wählen?
FTP-Server oder Web File Manager oder doch noch eine andere Variante die mir noch nicht bekannt ist? Zugang sollen nur bestimmte Personen erhalten, denen ich dann einen Benutzernamen und Passwort zuweise. Einen anonymen bzw. Gast-Zugang soll es nicht geben. Auch soll jeder Benutzer überhaupt nur die Verzeichnisse sehen, auf die er Zugriff hat. Zugang auf jeden Fall nur gesichert, also https bzw. sftp/ftps kurz gesagt. Aber was ist hier sicherer, bzw hat eingeschränktere Möglichkeiten. Im Prinzip sollen man von außen fast alles nur lesen können bzw. ein Verzeichnis ist für den Upload da, da soll dann jeder nur schreiben können (von außen, ich kanns dann hier im Netzwerk natürlich jeweils lesen und schreiben).
IV. Administration von außen
Ich lese etwas von SSH oder Telnet. Wenn ich DynDNS nutze, reichte dann nicht eigentlich die Eingabe der adresse meinname.dyndns.org:8080 ? Soweit ich das überblickt habe brauche ich das SSH doch nur um eine Shell zu bekommen, was für manche Dinge notwendig ist, ich aber eigentlich von außen nicht haben will, sondern nur von meinem PC hier im Netzwerk, da es ja tiefere Eingriffe erlaubt als die Administration des Web-Interface.
V. Schutz gegen Brute-Force Attacken
Mit der Firmware, die aktuell drauf ist, kann ich ja IP-Blocking einstellen. Was sind da sinnvolle Werte? Im Moment habe ich die Regel, dass bei 10 erfolglosen Login-Versuchen in 10 Minuten die IP einen Tag geblockt wird. Nun kann man ja bei manchen Providern die IP wechseln und es einfach nochmal probieren, macht da vielleicht eine Einstellung à la 10mal in 5 Minuten mehr Sinn?
VI. Ports und IP's
Macht die Änderung der Ports für bestimmte Dienste (FTP, Web File Manager) Sinn bzw. ist sie überhaupt möglich? Den Prot für die Administration sollte man ja tunlichst nicht ändern wie ich in einem anderen Thread gelesen habe. Aber ein Port-Scanner bekommt die ja trotzdem schnell raus, höchstens "dumme" Angreifer, die es auf Standard-Ports versuchen, werden vielleicht abgewehrt.
IP-Adressen bekommen meine Rechner hier ja im Moment über DHCP. Sind feste IP's sicherer? Leider kann ich bei der Fritzbox nicht einstellen, dass nur genau die 4 IP's erlaubt sind, die ich dann den Rechnern hier zuweisen würde. Wobei das ja eigentlich ja auch nur der internen Sicherheit dient, die wiederum nur über WLAN in Gefahr wäre (Wo allerdings keine neuen Geräte erlaubt sind + vernünftige Verschlüsselung), oder liege ich da falsch?
Ich glaube das sind im Moment erst mal die wichtigsten Fragen die ich noch habe. Bevor ich nicht sicher bin, dass von außen niemand so schnell hier einbrechen kann (sichere Kennwörter sind natürlich eingestellt, sonst macht das Ganze ja überhaupt keinen Sinn), wird auf jeden Fall DynDNS net eingeschaltet und keine Ports weitergeleitet...
Ich hoffe es sind keine allzu dummen Fragen und ihr könnt mir trotzdem weiterhelfen. Und bitte keine Hinweise auf die Suchfunktion, wie gesagt, die habe ich benutzt, auch Beiträge gefunden die hier vielleicht passen würden, aber für mich in der Form einfach nicht verständlich sind (fehlendes Grundwissen, sonstwas). Ich versuche es auf jeden Fall auch selber weiter, wenn ich was hinkriege werd ich's hier posten.
Vielen Dank auf jeden Fall schonmal