Sicherer Zugriff mit DDNS

    Hallo allerseits,

    lange habe ich damit gehadert mein NAS öffentlich zu machen.

    Grund: Bisher habe ich für alles VPN verwendet. Leider stellte sich das zunehmend als ein Problem dar. Vor allem auf meinem Handy, wo die Verbindung etwa alle 30s wieder abgeschaltet wurde.

    Frage: Welche Einstellungen sollte ich unbedingt vornehmen um hohe Sicherheit zu erreichen?

    Von mir gemacht:

    • NUR SSL Dienste
    • Nur Photostation und Filestation veröffentlicht, nicht die Adminkonsole
    • Gesondertes "Fernzugriffskonto" ohne Adminrechte
    • Let's Encrypt SSl Zertifikat
    • Andere Ports als Standard
    • UpnP deaktiviert. Nur ein Port für die Dienste durchgeschaltet
    • Zugriffskontrolle: Angepasst Was bedeutet das wirklich?
    • myqnapcloud Zugangscode aktiviert. Was ist das?
    • Telnet und SSH deaktiviert

    Fallen euch noch wichtige Punkte ein? Gibt es Kritik?

    Wie ihr sicher merkt kenne ich mich noch nicht perfekt aus.

    Grüße,

    Timo

    Also wenn sicher würde ich zumindest myqnapcloud nicht nutzen.

    Du hast ja schon einen DDNS Anbieter, somit benötigst du MyQNAPCloud nicht und verrätst nicht von vornherein deine Technik.


    Ich würde dir zudem raten den Admin solange komplett zu deaktivieren, wie du Ihn nicht wirklich brauchst und stattdessen einen eigenen Admin-Account zu erstellen. Dieser kann zwar kein SSH/Telnet und auch sonst gibt es ein paar Einschränkungen aber wenn man es wirklich benötigt kann man den Account vorübergehend aktivieren.


    Nur um die Angriffsfläche klein zu halten.


    Zu 90%wirst du die Antwort bekommen beim VPN zu bleiben und das aus gutem Grund.

    Das mit der 30s Trennung von VPN klingt nach einem Fehler im System, bei mir existiert soetwas nicht.

    Kannst du bitte mitteilen, ob du den Router oder die QNAP-Funktion benutzt oder ein komplett anderes System?

    Hast du DSL oder LTE (oder HYbrid)?

    Welchen Client nutzt du?

    Noch eine Zwischenfrage: Fliestation benutzt bei mir im zur Photostation den normalen Web-Port. Lässt sich das ändern?

    Ich habe keine der anderen MyQnapCloud funktionen bis auf DDNS aktiviert. Ich dachte daher ist das etwa gleichwertig. Natürlich kann ich es auch z.B. über Noip laufen lassen.

    Für VPN habe ich die Fritzbox 7530 nach https://avm.de/service/vpn/uebersicht/ benutzt. Idee war das Nas so selten wie möglich zu wecken. Am PC mit Shrew Soft funktionier das tadellos. Nur am Handy (Xiaomi Redmi 4x, Android 7.1.2) war es nicht möglich dauerhaft Verbindung zu halten. Wenn es kurz klappt lässt sich dort auch NICHTS anderes außer mein lokales Netzwerk mehr öffnen.

    Muss ich hier evtl. bei DNS etwas einstellen?

    OK,

    das klingt nach einem eingeschränkten VPN-Client auf deinem Handy.

    Shrew nutze ich auch und der läuft super und beim Galaxy S7habe ich auch keine Probleme.

    Hast du den DNS-Server nicht angegeben oder nur für das Bild gecleant? Dann kann das schon der ganze Fehler sein, denn er kann dann ja nur die IP auflösen, die du angiibst und nicht die Namen der Seite. (Die Google DNS-Server 8.8.8.8 und 8.8.8.4 würde ich aber nicht unbedingt dafür benutzen)


    Kann No-IP mittlerweile IPv6, hatte das die letzten Jahre etwas aus den Augen verloren.


    Ich nutze nur VPN und für einen Externen Scanner zeitweise FTP mit VErschlüsselung, sodass ich dir leider bezüglich des Ports der Fielstation nicht helfen kann.

    Wenn du den normalen Webport nicht benötigst, dann leite doch einen beliebigen Port über deine Fritzbox an diesen weiter.Vielleicht verstehe ich auch dein Problem falsch.

    Hallo Pfeiffer,

    DNS hatte ich nicht eingetragen, da nirgends bisher erwähnt. Ich werde da mal ausprobieren.

    Da ich noch eine IPv4 habe wäre das für mich kein Problem.

    Idee zu den Ports war: Photostation hat mit "Webserver" einen eigenen Port und lässt sich so von der restlichen UI "Nas-Web" getrennt freigeben. Wäre das auch für Filestation möglich könnte ich so beide Dienste aber nicht das UI über die Domain zugänglich machen. Ich werde jetzt erstmal nochmal alles mit VPN versuchen. Warum gilt das eigentlich als deutlich sicherer? SSL ist ja auch verschlüsselt

    Nutze auch das FritzVPN am iOS Handy.

    Das wird beim sperren halt schnell getrennt, Energiesparen halt.

    Aber so komme ich an alles ran von unterwegs, IP gibts per DHCP inkl. DNS.

    Surfen und alles läuft dann durch den Tunnel und brigt über mein eigenes Inet aus.


    Perfekt für ungesicherte Hotspots.

    Das bedeutet du gehst vor jedem Zugriff erst in deine Handyeinstellungen? Eine wirklich schöne Lösung ist das ja auch nicht :/

    Teilen von Inhalten per Link ist so ja auch nicht möglich, was ich sehr schade finde.

    Wohl asses für die Sicherheit

    Ja wegen der Sicherheit, arbeite jedoch auch als Netzadmin und das geht immer mehr richtung IT Security.


    Selbst im Büro muss ich mich für den Zugriff auf bestimmte Systeme erst im VPN anmelden inkl. 2 Faktor.


    Ist halt immer das gute alte Sicherheit vers. Komfort.

    IInteressant :) Bei mir ist das "nur" persönlicher Kram und Unterlagen aus der Uni. Nochmal, was macht VPN eigentlich so viel sicherer als eine SSL-Verbindung? Kombination aus Shared Secret, Name und Passwort? Gibt es eigentlich einen VPN Client am PC, welcher das Passwort verschlüsselt speichern kann? Ich habe da schon etwas ordentliches gewählt und so ist das Eintippen ist sehr mühselig.

    Ich hole mit das PW aus KeePass und dann rein und ab.


    Der Angriffsvektor VPN Router ist halt deutlich härter, als wenn du diverse Dienst des QTS direkt ins Internet hängst.

    Ob jetzt CSS oder ein anderer BUG im Dienst schlummert ist recht schwer zu sagen.

    Die Folgen jedoch gravierend.


    Mein QTS kommt beim Scan, manuell gehärtet im LAN auf eine 4.x, ohne den manuellen Eingriff mit aktivem SMB 2.1 auf eine 9.x beim Security Scan.


    Wenn dir VPN zu viel Aufwand ist, bitte.

    Aber später nicht Meckern wenn dein NAS doch übernommen wurde und du das DOM recovery durchführen musst.