Reicht der Zugriff über https, um als sicher zu gelten?

  • Moinsen,


    sollte man eine VPN-Verbindung immer einer https-Verbindung vom Internet auf die NAS vorziehen? Oder reicht auch die https-Verbindung aus? Zwar meckert der Browser dann wegen des nicht gültigen Zertifikates, aber sicher ist das doch trotzdem oder?


    Es dankt
    der Spender

  • Ja :) . Ein VPN schliesst eine https-Verbindung ja nicht aus. Nur das diese Verbindung dann über einen gesicherten Tunnel läuft.

  • Du kannst ein Lets Encrypt Zertifikat in der NAS erstellen, dann meckert er nicht mehr.


    https verschlüsselt nur die Dateiübertragung. Die Weboberfläche ist aber für alle zugänglich und kann von allen versucht werden anzugreifen. Je nachdem welche weiteren Dienste du über die Oberfläche auch zugänglich machst bietest du mehr Angriffsfläche: QNAP schließt Sicherheitslücke in Photo Station
    D.h. du solltest über das Internet alle Dienste die du nicht vom Internet aus erreichen musst abschalten, die Protokollierung der Verbindungen einschalten, wiederholte Falschverbindungen blocken.


    Wenn du VPN nutzt so bietest du die kleinste Angriffsfläche, d. h. es ist sicherer, dafür bist du aber auch weniger flexibel.

  • Primär will ich lediglich Qfile also auf Dateien zugreifen, die auf der NAS liegen und Dateien hoch bzw. herunterladen. Worddokumente, kleine Filme, PDFs.
    wenn ich eine VPN nutze, dann greife ich doch per Explorer auf die NAS zu , oder? und nutze nicht den Browser.
    @UpSpin
    Was meinst du damit, dass die https-Verbindung nur die Dateiübertragung verschlüsselt, aber nicht die Weboberfläche?
    Wenn die Verbindung doch steht, sind die DAten doch alle verschlüsselt, oder?
    hppts


    Es dankt
    der Spender

  • Was meinst du damit, dass die https-Verbindung nur die Dateiübertragung verschlüsselt, aber nicht die Weboberfläche?
    Wenn die Verbindung doch steht, sind die DAten doch alle verschlüsselt, oder?

    VPN ist trotz des Komfortverlustes eigentlich IMMER zu bevorzugen. Der Haken an HTTPS ist weniger die Verschlüsselung daran sondern die Tatsache, dass man einen Webserver zum Internet hin offenhat, der bei der kleinsten Sicherheitslücke der Webseite oder des Servers ausgesprochen simpel von jedem ausgenutzt werden kann, der die NAS IP findet. Und auch das ist einfacher als man denkt: es gibt Suchmaschinen wie "Shodan", mit denen man sehr simpel nach diversen Webdiensten suchen kann. Da die QNAP Dienste auf Millionen Geräten laufen dürfte es ein leichtes sein, ein Skript zu entwerfen, welches solche Lücken automatisiert ausnützt. Das ist leider die bittere Wahrheit. VPN ist rel. simpel und gut ausgetestet. Es sollte allerdings auch am besten auf dem Router und nicht auf dem NAS laufen. Deswegen ist die Angriffsfläche bei einem VPN viel kleiner.

  • Naja, ich kann versuchen mich auf deiner Weboberflaeche, sofern ich die IP habe, anzumelden. Kenne ich eine Schwachstelle in der Weboberflaeche kann ich diese ausnutzen, um mich anzumelden. Wie es eben bei der Photostation der Fall war. Schwachstellen koennen einfach so existieren, oder durch Ueberlastung des Webservers verursacht werden.


    Wenn du eine VPN Verbindung nutzt, dann bist du, nach Aufbau der Verbindung, wie in deinem eigenen Netz. D.h. du kannst mit der lokalen IP deiner NAS dann wie gewohnt ueber den Webbrowser auf die Weboberflache gelangen, oder eben mit einem Explorer wie gewohnt auf die Windows Freigabe zugreifen.


    Auch eine VPN Verbindung ist mit einer Brute Force Attacke angreifbar, d.h. auch hier solltest du darauf achten, ein langes zufaelliges Paswort zu verwenden.

  • Das heißt ihr verwendet keinen 443 Port und nutzt nicht den Browser, um auf Dateien eurer NAS zuzugreifen... ?


    Noch eine Frage zu den Zertifikaten: Nutze ich Firefox, dann kann ich die Ausnahme hinzufügen und der Brwoser läuft über https, merkert zwar, dass er das Zertifikat nicht kennt, aber es geht.
    Nutze ich google Chrome erkennt er dieses Zertifikat gar nicht an und schaltet automatisch auf http


    Die Verbindung über Firefox ist doch trotz des bestätigen des nicht gültigen Zertifikates verschlüsselt und sicher, so als wäre es ein offizielles Zertifikat oder?


    Kann ich Chrome dazu bringen das Zertifikat trotzdem anzunehmen?


    Es dankt
    der Spender

  • Das heißt ihr verwendet keinen 443 Port und nutzt nicht den Browser, um auf Dateien eurer NAS zuzugreifen... ?

    Du kannst bspw. bei der FritzBox einen VPN Zugang einrichten. In Android kann man problemlos die enstprechenden Einstellungen importieren, die Fritz!Box gibt dafür auch Hinweise, was wohin muss. Dann baust Du von außen zuerst eine VPN Verbindung auf und bist dann anschliessend quasi virtuell in Deinem Netz. Du kannst ALLES nutzen, als ob Du lokal in Deinem WLAN wärst bspw. Eine Einschränkung ist lediglich bei einigen VPN Clients, dass die DNS Anfragen nicht weitergeleitet werden. D.h., Du musst im Zweifel statt des Hostnamens direkt die IP Adresse angeben. Aber sonst sollten die QNAP Anwendungen bei aktiver VPN Verbindung problemlos laufen.
    Der Punkt ist, dass man das VPN Passwort ( was im Beispiel von der FritzBox generiert wird) natürlich gut schützen muss. Man kann aber natürlich den Zugang auch schnell löschen, wenn man den Eindruck hat, das Passwort ist abhanden gekommen. Ansonsten ist aber das Verfahren an sich sehr sicher. Vor allem, weil es im wesentlichen nur aus einem standardisierten Anmeldevorgang besteht, was Millionenfach parallel verwendet wird und immer wieder auf Sicherheitslücken abgeklopft wird. Das ist bei einfach ins Netz gehängten Webdiensten einfach schon aus Komplexitätsgründen kaum möglich. Zudem ein simples Update bpsw. der Photostation oder irgendeines anderen Dienstes auf dem QNAP sofort eine Riesenlücke reißen kann, wenn man Pech hat. Der VPN Zugang kann eigentlich nur durch Verlust der Anmeldedaten komprommitiert werden, ansonsten sind Sicherheitslücken in den letzten Jahren eher nicht bekannt geworden.



    Auch eine VPN Verbindung ist mit einer Brute Force Attacke angreifbar, d.h. auch hier solltest du darauf achten, ein langes zufaelliges Paswort zu verwenden.

    Schon richtig, aber das betrifft natürlich jedes Authentifizierungsverfahren. Ansonsten s.o.




    Kann ich Chrome dazu bringen das Zertifikat trotzdem anzunehmen?

    Man kann das Zertifikat abspeichern, und im Windows hinterlegen. Oder sich bspw. über eine eigene Zertifzierungsstelle wie XCA (kann man bei sourceforge runterladen) sich passende Zertifikate erstellen. Die muss man dann auf alle Rechner / Geräte verteilen, dann gibt es diese Fehlermeldungen nicht mehr. Ist ein wenig mühsam, aber geht. Firefox braucht die Zertifikate übrigens immer separat, weil er diese selbst verwaltet. Also einfach im Windows Zertifikatsspeicher installieren reicht nicht. Für ein ausführliches Tutorial zu dem Thema fehlt mir jetzt allerdings die Zeit.

  • Ich nutze keinen VPN, da ich auch von Netzen auf die NAS zugreifen will, von denen aus ich keine VPN Verbindung aufbauen kann. Ebenso will ich auch auf fremden Rechnern ohne VPN Client auf die NAS zugreifen koennen. Ebenso nutze ich den Webserver fuer eine private Homepage fuer meine Familie. Ebenso nutze ich weitere Dienste, die im Hintergrund sich mit der NAS synchronisieren koennen sollen, ohne dass ich jedes mal erst eine VPN Verbindung aufbauen will. Somit habe ich port 443 und Port 80 auf die NAS von der Fritzbox aus weitergeleiett, Port 80 fuer den Webserver, port 443 fuer die QTS Oberflaeche und weitere Dienste. (baikal, Note Station bspw.)


    Du kannst ein Zertifikat ausstellen, dann wird die Verbindung als sicher markiert, auf jedem PC ohne selbstsignierte Zertifikate installieren zu muessen:
    QTS 4.3 - Let's Encrypt SSL Zertifikat mit wenigen Klicks erstellen


    Wuerde ich nur auf Dateien zugreifen koennen wollen oder nur von meinen Computern, waere VPN das sinnvollere.

  • Ich nutze gerne SSH-Tunnel zur Verbindung in beliebige Netze. Das erfordert lediglich einen SSH-Server, den fast jedes NAS mitbringt und einen SSH-Client, wie z.B. Putty.

  • Wenn du via https und auf den Webserver des NAS zugreifst, solltest du dir drei Dinge überlegen:

    • Für alle Benutzer die 2-Faktor-Authentifizierung auf dem NAS aktivieren
    • unter System > Sicherheit den "Netzwerkzugangsschutz" aktivieren und restriktiv einstellen
    • überlegen, ob zumindest die Website nicht besser auf ein externes Paket bei einem professionellen Hoster verlegt wird

    Mit der 2-FA wird der Zugriff deutlich sicherer. Auf jeden Fall sollte der Admin des NAS die 2-Fa benutzen und ein Passwort bekommen, dass auf keinem deiner Rechner verwendet wird.


    Webdienste wie eine Homepage sollte man meiner Ansicht nach immer bei einem professionellen Hoster liegen haben, alleine deswegen, weil man dann die Mailadressen dieser Domain wirklich nutzen kann. Ein Hostingpaket kostet z.B. hier nur 2,29 € pro Monat, wird aber professionell mit Updates versorgt, und auch gesichert. Es gibt da viele weitere Angebote, die mit Sicherheit vergleichbar sind.