Webhostig QNAP VPN/Firewall

    Hallo zusammen,

    ich hatte bisher meinen NAS mit 4 Ports im Internet hängen die 4 Ports waren alles https-Verbindungen zu

    - QTS/Filestation
    - Webserver

    - Gitea (Docker)

    - DokuWiki (Docker)

    Erreichbar über eigene Domain, sonstige Dienste nicht aktiviert, ebenfalls keine myQNAP Adresse. Bisher ist mein NAS nicht befallen worden, von Malware etc

    Um das auch in Zukunft so gut wie möglich zu verhindern, überlege ich das NAS hinter eine NETGATE pfSense zu setzen, jedoch stellt sich mir aktuell die Frage ob diese einen Mehrwert bieten würde, da ich ja Ports freigeben muss (hebelt man hierdurch die pfSense als Firewall aus?)


    Als alternative wäre der Zugang auf das NAS über VPN. Soweit ich VPN verstehe wäre meine NAS dann nur noch per VPN erreichbar, die Domain damit nicht mehr sinnvoll, oder?


    Besten Gruß

    Hallo nnead,


    Grundsatzdiskussionen zu dem Thema findest du hier.

    Zitat von nnead

    Soweit ich VPN verstehe wäre meine NAS dann nur noch per VPN erreichbar, die Domain damit nicht mehr sinnvoll, oder?

    Es wäre das Ziel, das NAS nur noch über VPN erreichbar zu machen. Außer für die VPN-Verbindung existieren dann keine weitere Portfreigaben. Eine häufig hier von Usern genutze Lösung ist End-to-Side-VPN. Der VPN-Server wird dabei auf dem Router oder einer zusätzlichen/alternativen Firewall betrieben. Der Benutzer wählt sich dann von extern mithilfe eines VPN-Klienten ("End") über den VPN-Server ins heimische Netzwerk ("Side") ein. Ist die Verbindung erfolgreich zustande gekommen, ist das Endgerät des VPN-Klienten zum Teilnehmer des heimischen Netzwerkes geworden.

    Eine eigene Domain erleichtert normalerweise die Adressierbarkeit des heimischen Servers, weil diese besser zu merken ist, als beispielsweise die Zahlen-Buchstabenkolonne einer MyFritz-DDNS-Adresse. Die VPN-Klienten speichern in der Regel die Adresse mit ab, so dass man nicht in die Verlegenheit kommt, diese erneut eingeben zu müssen.



    Zitat von nnead

    Um das auch in Zukunft so gut wie möglich zu verhindern, überlege ich das NAS hinter eine NETGATE pfSense zu setzen, jedoch stellt sich mir aktuell die Frage ob diese einen Mehrwert bieten würde, da ich ja Ports freigeben muss (hebelt man hierdurch die pfSense als Firewall aus?)

    Portfreigaben hebeln immer die Sicherheit einer Firewall aus. Das Risiko kann man dadurch wieder minimieren, dass man sich zusätzliche Regeln definiert, die den Netzwerkverkehr über die freigeschalteten Ports einschränken. Ferner besteht die Möglichkeit den Netzwerkverkehr auf bestimmte Angriffsszenarien zu überwachen. Allerdings braucht man aber dann auch die Kompetenz, die entsprechenden Regeln erstellen zu können. Eine VPN-Lösung ist für Laien dann doch die einfacher zu einrichtende und zu pflegende Verbindung. Eine Netgate PfSense kann trotzdem empfehlenswert sein, wenn man darauf den VPN-Server betreibt, um im Vergleich zum Router die höheren Datendurchsätze erreichen zu können.


    Gruß

    Vielen Dank für die Rückmeldung, ich überlege gerade an einer komplizierteren aber komfortableren Lösung.


    Der Gedanke war einen Mini-Linux PC mit Cloud-Dienst als Live CD aufzusetzen, der sich alle 24h herunterfährt sofern kein Cloud-Anwender aktiv ist. Die Daten werden auf einem externen USB Speicher abgelegt. Über einen USB Multiplexer kann zwischen NAS und RPi die Festplatte "weitergegeben" werden (RPi fährt herunter MUX schaltet auf NAS um). Die Festplatte wird im NAS idealerweise in einer VM gemountet und auf Viren gescannt. Keine Befunde, die Daten werden auf den Speicher der VM kopiert und von der Festplatte gelöscht und diese ausgeworfen. Sobald das Abgeschlossen ist, wird der RPi gestartet (MUX schaltet um, RPi hat exklusiven Zugang).

    Die Webseite würde ebenfalls auf dem RPi gehostet. Zugang zu den Container des NAS und alle Daten des NAS nur per VPN

    Ob sich der Live-CD Aufwand lohnt? Ich denke nicht. Nehmen wir an, es gebe in der Linux-Distri oder in der Cloud Apllikation eine bekannte Sicherheitslücke, über die man den Mini-PC kapern könnte. Die Live-CD würde es nicht verhindern können. Der Angreifer hätte lediglich den Aufwand, das System alle 24h wieder neu kapern zu müssen. Ein großer Nachteil ist außerdem, dass du durch die Live-CD die Möglichkeit verlierst den Mini-PC bezüglich Betriebssystem und Applikationen aktuell zu halten.

    Grundsätzlich finde ich aber die Idee gut, die eigene Cloud auf ein anderes System zu verlagern. Eines, dass nicht so in der Schusslinie der Schurken steht wie das QTS von QNAP. Ob sich der USB-Mux Aufwand lohnt? ich würde darauf verzichten und zwischen beiden Systemen die Daten über eine SSH-Verbindung übertragen. Wenn du den Mini-PC in ein eigenes abgeschottetes Netzwerk-Segment stellst, könnte das als Sicherheitsbarriere ausreichen.

    Wenn du unbedingt an der (Own/Next-)Cloud-Lösung festhaltet möchtest, besteht auch die Möglichkeit einen professionellen Hoster dafür einzusetzen. Der Datenaustausch zwischen NAS und Hoster sollte sich auch sicher gestalten lassen.