NAS-Ordner per "Netzwerkadresse hinzufügen" (Windows 10) als Netzlaufwerk verbinden

    Hallo,


    ich wollte einen Windows 10-Rechner über das Internet mit meiner NAS 253A , welche an einer mit dem Internet verbundenen Fritzbox hängt, verbinden. Hierbei wollte ich per Netzwerkadresse hinzufügen ein Ordner der NAS als Netzlaufwerk verbinden. Bekanntlich gibt es da bei Windows 10 ein Zertifikatproblem. Meine Frage ist, wie man das löst und ob es möglich ist, das SSL-Zertifikat (gekauft im QNAP store), welches ich auf der NAS installiert habe, zu verwenden. Falls ja, ist die Frage, wie es geht. Falls nein, ist meine Frage natürlich, wie man das Zertifikatproblem dann löst. Netdrive will ich nicht verwenden.


    Danke

    Grüße

    Volker

    Wie verbinden ? SMB offen im Netz ? Bitte nicht.


    Via VPN mit dem Netzwerk verbinden und das klappt wie im lokalen Netzwerk. Fritzboxen können VPN Server selber hosten afaik. (Firtzbox gibts hier nicht, kann ich also nicht viel zu sagen)

    TCP 445 offen über das Internet, am besten noch SMB 1.0 im NAS aktiv, dann kannst das Teil gleich löschen!


    Hoffe da sind, waren nur deine eigenen Daten drauf, wenn die geknackt wurde/wird.


    Denn dank DSGVO kannst du sonst alle Leute in deinem dort abgelegtem Adressbuch anschreiben und über den Datenschutzverstoß aufklären.


    https://avm.de/service/vpn/pra…nrichten-fritzfernzugang/


    Ist alles erklärt was du benötigst.

    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

    Ok Webdav, auch nicht so viel besser.


    Hier wurden schon einige NAS System, beider Hersteller übernommen, weil die über ein http/https Protokoll direkt von außen erreichbar waren.


    Von einem Device, was hinter einer Firewall inkl. VPN Zugang übernommen wurde, habe ich bisher nix gelesen.


    iDomiX ist nett zu schauen, aber tief technisch ist das auch nicht und IT Sicherheit sieht anders aus als mit einem QNAP mal eben so Webdav zu machen.


    Kann man aber machen, mit einem Proxy der HTTPs aufbricht und in die Daten schauen kann, ob da nicht doch was böses dabei ist.


    Du kannst dir kaum vorstellen, wie viel Scheiße man mit so einem Proxy aus dem Datenverkehr raus filtert, wenn man etwas öffentlich erreichbar macht.


    Der Webserver dahinter, ist der gehärtet? Welche Version ist hier im Einsatz?


    Führst du selber Scans durch um bekannte Sicherheitslücken in deiner Umgebung zu finden und dann entsprechend zu reagieren?


    Oder ist das hinterher wie beim Kammergericht Berlin?


    Seit 2016 hat sich die Lage an der Front deutlich verändert.


    Aber nur zu...


    Aber zum Zertifikatsproblem, baue dir doch einfach eine eigene CA auf, importiere das RootCA in dein Windows unter vertauenswürdige Stammzertifizierungsstelle, dann kannst du mit dem Serverzertifikate ausstellen und die für all deine internen Geräte einsetzten.


    QTS, Plex Server, FritzBox usw.

    Dann bekommst du, so lange die gültig sind, nie eine Warnung angezeigt.


    XCA kann so was aufbauen.

    Was für eine firewall gibt es denn für QNAP außer pfSense Virtual Machine? Wie sicher ist es denn, per cloudlink auf die NAS zuzugreifen?

    Das hängt vom Cloudlink ab, wenn da Daten raus fallen, bist ggf. mit dran.


    Warum nicht einfach VPN auf deine Fritz?

    Einmal editiert, zuletzt von Crazyhorse ()

    Ja, das mache ich ja. Als ich meine NAS eingerichtet hatte, gab es die Fritz-VPN für Windows 10 noch nicht und da war das alles ein Gemurkse.


    Was heisst "Daten rauf fallen"?


    Was ist mit meiner Frage, wie man eine NAS, die an einer Fritzbox hängt, am besten schützt? Firewall?

    Die Firewall in der Fritz kann das nicht, du brauchst dafür einen Proxy, bzw. reverse Proxy.


    Eine Sophos UTM kann so was z.B., dann hängt das NAS aber nicht mehr an der Fritz, sondern die Fritz hängt hinter der Firewall.


    Ich nutze hier eine kleine pfSense Appliance und gehe über einen VPN IKEv2 Tunnel rein, der rennt mit dem Speed den meine Leitung bietet und der ist mit aktuellem Stand verschlüsselt. Da kommt keiner rein.

    Win 10 hat nativ den passenden Client dabei, so bin ich mit 3 Klicks verbunden.


    Im Handy ist das nicht anders.


    Mache aus dem f ein s, dann passt es.


    Wäre jedenfalls nicht der erste Cloud Dienst, der ein Leck hat.

    Zitat von Dr.L

    Meine Frage ist, wie man das löst und ob es möglich ist, das SSL-Zertifikat (gekauft im QNAP store), welches ich auf der NAS installiert habe, zu verwenden.

    Ich stimme der Vorgehensweise von Dennis voll zu. Kenne die SSL-Infrastruktur aus dem QNAP Store nicht und bezweifle, ob ein entsprechender Import der RootCA zu viel Vertrauen vergibt. Reicht Let's Encrypt für diese Vorgehensweise für Deine Zwecke aus statt dem SSL-Zertifikat aus dem QNAP Store?

    Zitat von Crazyhorse

    Der Webserver dahinter, ist der gehärtet? Welche Version ist hier im Einsatz?

    Ist Teil der Härtung nicht auch, eine neuere Version des Webservers einzusetzen als die von QNAP bereit gestellte?

    Moin QNAPler,

    ich kann und werde nicht verstehen, wie man Ports an die QNAP weiterleiten kann, da hilft auch keine Firewall.

    Die Dienste auf der QNAP sind teilweise veraltet (z.B. Apache).

    Ein Zugriff per VPN würde ich nur (Beispiel) mit pfSense machen, das VPN der Fritzboxen ist mir nicht geheuer.

    Zitat von frosch2

    Ein Zugriff per VPN würde ich nur (Beispiel) mit pfSense machen, das VPN der Fritzboxen ist mir nicht geheuer.

    Den ersten Teil verstehe ich noch. Aber was macht das VPN der Fritzboxen Dir nicht geheuer?


    Also zusätzlich eine bessere Firewall dazwischen schalten trotz VPN der Fritzboxen halte ich auch für sinnvoll. Solche Firewalls haben vermutlich oft auch mehr VPN-Möglichkeiten. Willst Du damit sagen, dass es dann sinnvoller ist, ein VPN auf solchen Firewalls zu nutzen statt zu splitten zwischen VPN auf Fritzbox und separater Firewall? Wenn ja, warum?

    Zitat von frosch2

    kann und werde nicht verstehen, wie man Ports an die QNAP weiterleiten kann, da hilft auch keine Firewall.

    Das ist vermutlich blindes Vertrauen und Experimentierfreudigkeit mit den Angaben aus der QNAP-Werbung. Wer solch blindes Vertrauen hat, wird Deine Bedenken auch nicht nachvollziehen können, solange er nicht von einem entsprechenden Sicherheitsvorfall mit seiner Infrastruktur oder seinen Daten erfährt.


    Was meinst Du mit dem, dass dabei auch keine Firewall helfe? Beziehst Du Dich damit auf Deine Erwartungen auf ausreichendes Sicherheitsniveau, weil Deine Sicherheitserwartungen entsprechend hoch sind? Oder meinst Du dies unabhängig von Deinen Erwartungen?


    Das mit den teilweise veralteten Diensten sehe ich ja auch so. Und deshalb dachte ich, dass es ausreichend sei, per VPN den Zugriff auf vertrauliche Clients zu beschränken, gegenenfalls mit zwischengeschalteter Firewall, um diese Auswahl weiter filtern und einschränken zu können.

    Einmal editiert, zuletzt von chef1 ()

    Die Fritz können nur ein IKEv1 und dann AES128 und eine recht schwache DH Gruppe.


    Eine pfSense kann AES256 mit sha256 in Phase 1 und AES256 und bis zu sha512 in Phase 2.

    Dazu noch Mobike support für dynamisches Routing des Tunnels usw.


    Die kleinste Netgate schiebt durchs VPN 75Mbit, das ist Faktor 10 gegeüber der Fritz.

    Zitat von chef1

    Willst Du damit sagen, dass es dann sinnvoller ist, ein VPN auf solchen Firewalls zu nutzen statt zu splitten zwischen VPN auf Fritzbox und separater Firewall?

    Genau so sehe ich das. Crazyhorse hat es gut beschrieben und ausgeführt.

    Zitat von chef1

    Was meinst Du mit dem, dass dabei auch keine Firewall helfe?

    Wenn ein Dienst in einer veralteten Version vorliegt, dann kann eine FW keine Sicherheitslücken in der Anwendung beheben.

    In diesem Fall geht es um SMB, welches zu keinem Zeitpunkt dazu gedacht war, es außerhalb des LANs zu nutzen.

    VPN ist das richtige Mittel. Aber FritzBox VPN ist sehr langsam, ob da Freude auf kommt muss Dr.L selbst entscheiden.

    Selbst löse ich das per ssh-mount, da geht es aber von einem Debian-Server auf einen Ubuntu-Server.

    Ich habe mal etwas mit dem überarbeiteten vpn der Fritzbox unter FritzOS 7.21 experimentiert.

    In Phase 1 akzeptiert die Fritte klaglos AES256 mit SHA512, damit sollten die größten Schnitzer des Aggressive Mode wohl ausgemerzt sein. In Phase 2 geht AES256 und SHA512 auch, aber dann ist die Fritte immer noch sehr langsam. Wenn man es auf AES256 uns SHA1 ändert konnte ich die 16 Mbit Leitung zu meiner Mutter mit 1.7 MByte/s komplett ausreizen, ein wesentlicher Fortschritt, und das auf einer 7430.

    Bei Aggressive Mode ist egal was du dann einstellst, der PSK wird ja einfach so beim Gegenüber abgekippt.


    Das kannst du nicht wieder ausgleichen.

    Und mit PFS Group 2 kannst auch keinen Blumentopf mehr gewinnen.

    Hmm, soweit ich das verstanden habe, ist der größte Unterschied zum Mainmode aber nur der, dass dort der Hash des PSK verschlüsselt übertragen wird, oder gibt es da noch mehr?

    Zitat von equinux FAQ

    The differences between Main Mode and Aggressive Mode is simply that in Main Mode the digest is exchanged encrypted because the session key exchange already negotiated a session encryption key when the digest is exchanged, whereas in Aggressive Mode it is exchanged unencrypted as part of the key exchange that will lead to a session key. By snooping the connection establishment of an Aggressive Mode connection, the attackers were able to get the digest as well as all values required to calculate that digest, except for the PSK itself. Please note that this alone doesn't mean the connection is broken already, it only means that the attackers now have enough data to start guessing the PSK using a brute force or dictionary attack.


    Quelle:

    https://www.equinux.com/us/faq…?site=equinux.com&tab=faq

    Ein HASH unverschlüsselt zu übertragen ist inzwischen mehr als Grenzwertig.


    Mit einer Fritz geht es leider immer noch nicht anders, was willst machen, außer den Schrott wegwerfen und was gescheites hinstellen.

    Für mich als kleine OVPN-Schlampe ist IPsec immer wieder ein Rätsel... und das Thema VPN für einige sowieso...


    Was genau läuft auf einer Fritte denn jetzt für ein Protokoll und was lief vorher? Was ist und war daran alles Mist?

    Was sind bei IPsec die Alternativen und welche weiteren gibt es überhaupt im Vergleich?


    Ich glaube das ist mindestens einen neuen Thread wert, wenn nicht auch einen Blog... einen Kandidaten für die allgemeine Aufklärung mag ich jetzt aber nicht aufzeigen :S

    Das Protokol ist IPSEC mit IKEv1 mit Pre-shared-key im sog. aggressive mode, der eben von Fachleuten, vor allen Dingen im Zusammenhang mit SHA1, als unsicher betrachtet wird.

    Wird schon was dran sein, aber für mich hats bislang immer ausgereicht und Anzeichen davon, dass ich gehackt wurde, habe ich auch noch nicht. (Oder ich weiss nur nichts davon...)