WIe kann man meine NAS finden

  • Jetzt habe ich mal eine bescheidene Frage, um meine NAS zu schützen soll ich ja angeblich alle meine Ports abschalten und so zu sagen das Internet "kappen" und auf eine VPN umsteigen um dennoch von aussen drauf zu zugreifen. Jetzt habe ich mal zum Test QVPN auf meine NAS Installiert und Open vpn auf mein iPhone. Die Verbindung steht was mir aber absolut nicht gefällt, ich kann mich nur mit meinen Login Daten der NAS einloggen lässt sich nicht ändern. Ich surfe jetzt also mittels VPN mit dem iPhone über meine IP Adresse von zu Hause weil ich mich auf dem iPhone mit VPN vernunden habe. Welche Ports kann ich denn jetzt abschalten auf der NAS? Denn Open VPN läuft über UDP 1194. Kann ich dann jetzt den Web Server abschalten Port 80 und 8081, FTP 21, 8080 und 443 oder gehts um die Ports im Router 443, 80 usw.? Macht das überhaupt Sinn? SO ganz leuchtet mir das nicht ein. Ich möchte doch nur das meine NAS weniger bis gar nicht von aussen angreifbar ist, ich aber dennoch drauf zugreifen kann. Was bringt mir da eine sichere VPN Verbindung vom iphone bzw. anderen Rechner zur NAS? In jedem Fall muss die NAS ja von aussen erreichbar sein ob nun mit oder ohne VPN. Das ganze macht doch auch keinen Sinn wenn im Router selbst ein VPN läuft wenn ich zb. auf die NAS zugreifen möchte, entweder Full Login oder auch NUR FileServer.

    Einmal editiert, zuletzt von Kimble ()

  • Hallo und guten Morgen Kimble ,

    Du musst erstmal grundlegend unterscheiden aus welchem Netz(LAN und WLAN oder Internet) du zugreifst.
    Danach richtet sich das auch welche Ports offen sein müssen/sollten.

    Wir reden hier vor allem von den Ports, welche im Router auf das NAS weitergeleitet werden.

    Bei einer VPN Verbindung, welche vom Router aufgebaut wird, muss kein Port geöffnet werden. Der Router hat dann wie eine Tür von außen, welche man mit einen Schlüssel(Benutzernamen und Passwort) öffnen kann. Der Router sorgt hier für die "Sicherheit".


    Warum "Sicherheit"? Weil auch hier die Möglichkeit mittels Brute Force besteht das Password zu knacken, die Hürde zu überspringen und somit in dein LAN zu kommen.
    Daher ist es auch nicht wirklich sinnvoll das NAS mit einem VPN Server zu versehen - man landet als Angreifer, durch die notwendigen Portweiterleitungen im Router, direkt auf dem NAS. Um dann von deinem LAN auf das NAS zu kommen bedarf es dann weiterer Zeit und hier bekommt man dann auch spätestens mit(mit den entsprechenden Einstellungen), das da einer dran "spielt".


    Im LAN/WLAN müssen mehrere Prost, je nach Anwendungen auf dem NAS, in dessen Firewall(vom NAS) geöffnet werden. Dies ist unumgänglich.


    Von außen ist es schwer zu sagen welche Ports auf deinem NAS offen sein müssen, da du uns nicht mitgegeben hast was alles auf deinem NAS läuft. Das ist hier per seh aber auch nicht notwendig, da es ja um den Schutz von außen geht.

    Viele Grüße
    Friis

  • Also wäre es wirklich Sinnvoll sich eine Fritzbox anzuschaffen um auf dem Router den VPN anzulegen? Meine geöffneten Ports habe ich auf der ersten Seite geschrieben. Und eine Software wie QVPN auf der NAS ist demnach Sinnfrei, verstehe ich das richtig? Bisher geht es mir nur darum das niemand anderes von Aussen (ausser ICH) zugriff auf die Nas bekommt und das so sicher wie möglich. Da meine Erfahrungswerte das aber nicht zulassen ;) suche ich hier ja Hilfe wie ich das am besten mache. Das einzige was noch von aussen zugriff haben soll ist mein Teamspeak Server und ggf. PLEX.

  • Ob Fritzbox oder einen anderen VPN fähigen Router sei dahingestellt, aber definitv nicht auf dem NAS!

    Und die Diskussion sollten wir nicht in zwei Threads führen ;).


    Gruss

  • Hallo Kimble ,


    welche Ports sind den wo offen?

    Ich weis nicht ob ich nochmal eine Fritzbox kaufen würde oder ob ich eher auf einen Router mit externen Modem gehe.

    Das VPN(Geschwindigkeit) der Fritzbox haut einen nicht wirklich um.
    Ich würde mich mal bei QNAP und deren Routern umsehen. Viele schwören auch auf einen UNFI Security Gateway mit einem externen Modem. Andere wiederum sagen Firewall + externes Modem.


    Aber auch hier gilt, frage 5 Leute und du bekommst 8 Antworten.

    Eine Lösung für eine solches Problem("Sicherheit" und Geschwindigkeit) kann dann auch mal eben schnell 1000€ kosten ohne das es eingerichtet ist.


    Ich denke es hat auch sehr vieles mit Zeit und grundlegenden Verständnis für die Materie zu tun. Jeder ist hier unterschiedlich(leider), macht sich keine Gedanken(die man sich aber machen muss - Risikoanalyse) und kommt dann wenn was passiert ist und jammert das Hersteller, Entwickler einen schlechten Job gemacht haben.

    Es soll immer sicher und einfach sein - das geht zur Zeit meist noch nicht so einher. Einige/viele sagen warum soll ich ein IDS mitlaufen lassen welche mir das https aufbricht und dann wieder aufbaut nur um zu schauen was sich dahinter verbirgt.
    Ich kann die Leute verstehen, da es sich hier auch um eine Schwachstelle handeln kann.


    Alles basiert auf Menschen, Menschen machen Fehler - daher kann es sein, dass alles auch Fehler hat. Einige sieht man früher andere später.
    100% Sicherheit gibt es nur, wenn man wirklich abgeschottete Systeme(Rechner, Netzwerk ohne Zugriff von außerhalb, nicht mal für Updates) - Autarke Systeme hat. Sobald man im Internet ist, externe Medien einspielt, oder oder oder, ist es vorbei.


    VG

    Friis