T-253D (QTS 5.0.1.2248) Sicherheitskonzept, bräuchte mal Hilfe zum Thema VPN

    Moin,


    ich möchte mich hier mal als stiller Leser outen. Tolles Forum und viele nützliche Tips.


    Mit Eurer Hilfe habe ich mein NAS eigentlich gut umgesetzt. In erster Linie als erhöhte Ausfallsicherheit, und dann als Kodi Datenbank mit den entsprechenden Medien. Extern möchte ich gar nicht darauf zugreifen, reine Verwendung im internen Netz.


    Bisher habe ich eigentlich versucht alles nach Euren Vorgaben einzurichten und soweit abzusichern: >>

    - keine unnötigen Dienste aktiviert (einzig MariaDB, Webserver und phpMyAdmin nur bei Bedarf kurzfristig)

    - alle unbenötigten Apps entfernt, alle nicht dauerhaft benötigten gestoppt.

    - Auto Updates für Apps und System zugelassen

    - QNapCloud nicht eingerichtet (Fernzugang damit dicht)

    - Sichere Passwörter

    - zweistufige Anmeldung für mein Admin Konto

    - Standard Admin deaktiviert (und starkes PW)

    - Zugriffsschutz eingerichtet

    - Berechtigungen erstellt

    - nur sichere Verbindungen erlauben

    - Hohe Sicherheitsprotokolle für Https und SMB (cipher aktiviert)

    - uPNP deaktiviert

    - Firewall für alle Verbindungen ausserhalb meines internen Netzwerkes gesperrt

    - Malware Remover und Antivirus eingerichtet (ja, ich weiß keine Echtzeitsuche)

    - Security Counselour abgearbeitet (bis auf die QNapCloud Meldung wegen Internetzugang)

    - uPNP im Router nicht eingeschalltet

    - keine Ports im Router freigegeben

    - Backup der Datein auf dem HauptPC.

    - FOLGT: Backup auf externen HDD auswärts gelagert.


    Joa, ich glaube soweit war es das. Bitte gerne noch Vorschläge unterbreiten, sollte ich etwas vergessen haben.


    Jetzt kam ich auf die Idee, doch per QVPN meinen VPN Anbieter (Proton) über OpenVPN als Standard Gateway einzurichten.


    Und hier kommen meine Fragen auf - mir fehlt schlicht die genaue Kenntnis.


    Was ich glaube verstanden zu haben.:


    - VPN Client erstellt einen NIC

    - Verbindung vom NIC zum VPN Server

    - es wird dann für die Kommunikation ein Schlüssel erstellt, den nur Server und Client kennen

    - Alle Anfragen werden dann über den neuen VPN DNS gesendet

    - Datenverkehr zwischen mir und dem VPN Server ist sicher verschlüsselt

    - VPN Server gibt keine Anfragen oder Paket an mich weiter, die nicht explizit von ihm für mich angefragt wurden

    - Anfragen auf seine IP lehnt er ab, da diese ohne den Schlüssel kommen und er somit gar nicht weiß an welchen der möglichen zahlreichen Clients er es senden soll


    Hoffe ich habe das in meiner laienhaften Weise richtig dargestellt.


    Jetzt geht aber der Traffic ja komplett an meinem Router (Fritze) vorbei, das NAT kann den Verkehr nicht mehr scannen.

    Auch würden ja die geschlossenen Ports des Routers ignoriert, da die Verbindung ja daran vorbeigeht (über den offenen OpenVPN Port).

    Es wird zwar die Internetverbindung vom Router genutzt, aber ich bin ja Teil des internen Netzwerkes vom VPN Server.


    Das führt zur Fragestellung No. 1:

    Ich sehe das Problem, daß Anfragen ungehindert durch die Fritzbox zum NAS kommen, so denn der VPN Server sie nicht ablehnt.

    Und, über meinen Router wäre der Port, den OpenVPN nutzt offen. Oder habe ich da was nicht verstanden?


    Das führt zu Fragestellung No. 2:

    Erhöhe ich jetzt damit die Sicherheit, Anonymität and so on and so on....

    ODER erhöhe ich damit das Risiko?


    Wie ihr seht, ich habe hier nur Halbwissen zur Funktionsweise von VPN´s und würde mich mega freuen von Euch etwas an die Hand genommen zu werden. ICh habe viel gegooglet, konnte mir meine offenen Fragen aber einfach nicht genau beantworten. Scheint sich bisher wenig mit in den Foren der Welt aufgetan zu haben. Vielleicht ja auch, weil mein Problem gar keines ist. Entschuldigt, sollte meine Frage zu theoretisch oder doof sein, ich möchte es halt gerne verstehen.


    Die Frage ist in sofern mega relevant, da ich alle Geräte, auch die Kodi Clients (Shield, FireTV Cube, Windoof und Mac Kisten) alle über das VPN lenke.


    Mein Mutmaßung:

    Ich wünsche/glaube/hoffe ja, das der Traffic von ProtonVPN durch ein engmaschiges Sicherheitsnetz flutscht und ein Portscan immer ins Leere läuft, da ja die Anfragen nicht an einen spezifischen Rechner im internen Netz des Servers weitergeleitet werden können. Aber...Fritzes NAT und andere Sicherheit würde dann ja versagen. Man käme rein theoretisch doch direkt auf mein NAS, wenn man am VPN Server vorbei käme.


    >> Ich habe mit portchecker.de geprüft und alle relevanten Ports gelten als geschlossen. Hinter VPN und auch ohne an der Fritze.


    Schluss endlich folgende Einschränkung:

    Zentral am Router einrichten, ist keine Alternative, da ich hier nur sehr unkomfortabel um-/ausstellen kann, wenn nötig. Vor allem für die Familie ist das relevant, wenn Netflix oder Prime gerade zickt, weil der Server von Proton blacklistet ist. Und nein, mein Interesse ist nicht Geoblocking zu umgehen, sondern schlicht Sicherheit und Anonymität zu erhöhen. Was bei einem Bezahldienst mir User Login nicht klappt, ist kla. Aber zumindest die Anfragen von Kodi und einige andere Dinge.


    Danke für das Lesen meines recht umfangreichen Problems und weiterhin schöne Weihnachten.


    Gruß


    G.com

    17 Mal editiert, zuletzt von G_dot_com ()

  • G_dot_com

    Hat den Titel des Themas von „T-253D Sicherheitskonzept, bräuchte mal Hilfe zum Thema VPN“ zu „T-253D (QTS 5.0.1.2248) Sicherheitskonzept, bräuchte mal Hilfe zum Thema VPN“ geändert.

    - admin bitte reaktivieren (wird oft gebraucht)

    - 2FA ist nur Hinderniss, QNAP sind so schlecht programmiert, das wird einfach übergangen

    - QNAP Firewall und den andere Gedöhns würd ich auch vom NAS runterwerfen


    VPN bitte auf nem Anständigen Router oder dediziertem Gerät einrichten (Raspi,Firewall)


    Der Rest ist sehr tl:dr..sorry

    Wo sitzt denn dein VPN Provider?

    Welchem Recht unterliegt dieser?

    EU mit DSGVO oder irgendwo im Nirgendwo wo dann alles möglich ist?


    VPN Anbieter sehen alles was du machst, dafür dann dein Provider nicht mehr, er sieht nur noch EAP Pakete.

    Ist dein Provider mit EU Recht unterwegs dein VPN Anbieter aber mit US Recht, kannst du dir denken was du gewonnen hast.


    In der Vergangenheit sind davon so einige Dinge passiert, vor allem waren die Kisten dann voll mit Logs.

    Das hier ist ein Bsp. was man nach 10s Google finden konnte:

    Datenleak bei unseriösen FREE VPN Services erschüttert die Nutzer
    Ein Datenleak bei UFO VPN und anderen FREE VPN Services der Firma Dreamfii HK erschüttert die Nutzer, dabei sind solche Probleme vorhersehbar und betreffen…
    vpntester.org


    Ich nutze VPN um mich Remote zu verbinden und dann auf mein internes Netzwerk sowie die anderen über VPN S2S Tunnel angebundenen Netze zugreifen zu können.

    dolbyman Danke dass Du meinen Beitrag gelesen hast. Leider kann ich Dir nicht ganz folgen. habe einen lokalen Admin und schalte, wenn nötig den globalen Admin an. War bisher einmal notwendig. VPN am Router ist klar besser, warum ich es nicht mache steht ja oben.


    Crazyhorse Auch Dir Danke. Ich nutze ProtonVPN mit Payservice, Schweizer Recht.


    Ich frage dann mal anders. wie schaffe ich es, dass der Qnap zwar Updates ziehen kann, aber ansonsten hinter der FRITZ!Box „sicher“ ist. Reichen da meine von Euch vorgeschlagenen und umgesetzten Schritte?


    Und die eigentliche Frage war ja, sieht mein Router noch den Datenverkehr und bleibt NAT erhalten? Der Tunnel ist ja zwischen Client und VPN Server.


    VPN war halt die Idee über die Serverstruktur vom Anbieter höhere Sicherheit zu erhalten, da das NAS ja so kaum direkt ansprechbar ist.

    Das schafft für das NAS keine weitere Sicherheit.

    NAT ist keine Sicherheitsfunktion sonder aus der Not der knappen IPv4 Adressen heraus geschuldet.


    Aber selbst bei IPv6 ist man von WAN Seite nicht ansprechbar, wenn es im Router oder der Firewall nicht extra erlaubt wird.

    Mit 7.5+ kann die doch jetzt sogar Wireguard und IPsec ist IPv6 fähig für S2S Anbindung.


    Für den Heimanwender ja, für den Netzwerker gibts anderes.

    Qnatsch Danke auch Dir gür das Lesen. Naja. Klar wäre eine dedizierte Firwall sinnvoll. Man kann es aber als reiner Privatmensch aiuch übertreiben. Am Ende ist es immer ein Kompromiss im Leben zwischen Aufwand und Ertrag. Ich wurde noch nie gehackt oder anderweitig erfolgreich angegriffen. Insofern und für Surfen oder Streamen reicht die Sicherheit von der Fritzbox durchaus für Heimanwender. Zumindest Stand heute.


    Crazyhorse Klar, solange keine Ports explizit nach aussen freigegeben werden, reagiert die Box nicht auf Anfragen aus dem WAN. Frage war aber ja, wie genau das noch gegeben ist, wenn ich im virtuellen Netz des VPN hänge. Dann werden meine Anfragen ja nicht mehr über das Gateway (Fritzbox) im Heimnetz sondern über den VPN Server geleitet. Dann kommen die Anfragen aus der WAN Seite doch durch den Tunnel direkt auf das Endgerät oder ist die Fritzbox immer noch involviert?


    Anders. Das virtuelle NIC auf dem Hostgerät muss ja immer noch über den dedizierten Netzwerkanschluss vom Host. Dieser baut ja die Verbindung zur Fritzbox auf und die hängt im WAN. Somit läuft der Datenverkehr ja immer noch über den Router. Aber alle Anfragen vom Host werden dann an das VPN und von dort ins Netz gestellt. Die Fritzbox sieht dann ja nur den verschlüsselten Datenverkehr über OpenVPN Port 1194. Habe ich das soweit verstanden?

    Einmal editiert, zuletzt von G_dot_com ()

    Ja der VPN Server kann in dem Moment wo das NAS sich per VPN eingewählt hat direkt auf das NAS zugreifen.

    Die Fritzbox lässt das durch, weil es in ihrer Firewall dafür entsprechende States gibt.


    Ist also der VPN Einwahlknoten kompromittiert, ist das ein Problem!

    Crazyhorse Ergo, VPN aus, Box hinter dem Router lassen. Klingt dann sicherer. Zumindest unter meiner Kontrolle.


    Vielen Dank für deine Erklärung!


    Letzte Frage:

    Wenn im Router keine Portfreigabe existiert, kein uPNP aktiviert ist und keine QNap Clouddienste aktiviert sind, sollte das NAS von aussen nicht erreichbar sein. Man müsste dazu ja erst einmal in mein Heimnetz. Richtig?

    Zitat von G_dot_com

    Das führt zur Fragestellung No. 1:

    Ich sehe das Problem, daß Anfragen ungehindert durch die Fritzbox zum NAS kommen, so denn der VPN Server sie nicht ablehnt.

    Und, über meinen Router wäre der Port, den OpenVPN nutzt offen. Oder habe ich da was nicht verstanden?


    Hi G_dot_com ,


    ach, da hast Du ein unzutreffendes Bild.


    Ich mal Dir ein anderes Bild.


    Du legst Dir ein Netzwerkkabel von der Firma bis zuhause in Dein Arbeitszimmer. Das Kabel in der Firma steckt im Server und zuhause in Deinem PC.

    Das Kabel ist Titan-ummantelt, unzerstörbar.

    Das ist ein VeryVery Private Network.


    Das ist sicher, aber umständlich.


    Jetzt lösen wir uns etwas vom "Kabel"


    Die Leitung geht "virtuell" durch die FritzBox. Durch die Leitung gehen verschlüsselte Datenpakete, mit denen im Regelfall, keiner etwas anfangen kann.

    Es können nur zwei verstehen, der Sender und der Empfänger.


    Das Paket geht nicht nur durch DEINE Fritzbox, sondern auch durch zig andere Switche, Verstärker, Router, Umsetzer, was weiß ich.

    Alle diese Geräte verstehen den Inhalt Deiner Datenpakete nicht.


    Der Absender hat aus der Information "Tanne" die Zeichenfolge "qjwerp3jr2p!" gemacht und nur der Empfänger hat den Schlüssel, das Wort "Tanne" wieder zu entschlüsseln.


    Wenn Daten über den speziellen Port reinkommen, sagt das nur der FritzBox, "dieses Paket ist verschlüsselt. Leite das Datenpaket an 192.168.3.137 weiter."


    Das ist alles:

    - Zwei Systeme haben einen Schlüssel, Datenpakete zu verschlüsseln und zu entschlüsseln.

    - Auf der FritzBox macht man einen Port auf, der Datenpakete kennzeichnet, die von außen nur an eine interne Adresse weiterleitet werden dürfen.

    - Die VPN-Lösung dekodiert das Datenpaket, sofern es ein gültiges Datenpaket ist. Wenn nicht, wird es verworfen.


    Es entsteht also eine Datenleitung, die beim externen VPN-Client beginnt, durch viele Geräte geht und bei einem VPN-Server endet.
    Nur besteht diese nicht aus Kupfer und Isolationsmaterial, sondern aus Verschlüsselung.


    Also keine Erhöhung des Risikos.

    2 Mal editiert, zuletzt von MarGol ()

    MarGol Danke für die Erklärung, so habe ich das in etwa verstanden.


    Aber wozu erstellt das VPN Tool dan einen Virtuellen NIC mit eigenem Subnetz?


    Sendet er dann das Signal an meine Ethernet Ports im Nas, die dass dann an die Fritzbox sendet und sagt sende Paket X über Port Y an Server Z und die Fritzbox handelt weiter das WAN? Dass das Paket verschlüsselt ist und erst am VPN Endpunkt entschlüsselt wird, habe ich verstanden.


    In deinem Beispiel ginge ja meine Anfrage über das lange Kabel zum Server und von da aus ins Internet.


    Genau in der Funktionsweise habe ich mein Wissensloch.

    { Jetzt hören alle "HighEnder" bitte weg }


    Im NAS gibt es nur 1-3 Netzwerkadressen, die mit dem lokalen Netz übereinstimmen MÜSSEN, das sind die Netzwerkkarten.


    Der ecoDMS Container hat eine 10.0.1.x Adresse, oder was auch immer.

    Die VM eine 10.0.3.x Adresse, oder was auch immer.

    Die VPN Mimik eine eigene.


    Was machen die IP-Adressen untereinander nicht?

    Stören!


    Will ich mit einem PC auf ecoDMS zugreifen, nutze ich NAS-IP:Port. Das NAS leitet dann die Anfrage an die 10.0.2.x-Adresse weiter.


    Willst Du VPN prinzipiell nutzen, klicke auf VPN zum Std.-Gateway machen, klicke es an und das QNAP erstellt eine Route, dass alle Anfragen, die ins Internet gehen sollen, über QVPN laufen.


    Nutzt Du dann auch vom PC diese Funktionalität, muss das NAS zum Gateway werden, kommt eine Anfrage aus dem lokalen Netzwerk, wird diese an das QVPN weitergeleitet (an die 10.0.x.x Adresse), die dann an Deinen Router wieder mit der NAS-IP weitergeleitet wird.

    MarGol Danke für deine Erläuterung. Hatte ich so irgendwie vermutet. Heisst aber ja auch, dass die Fritte dann immer noch mein internes Netz brwacht. Die Daten aus dem Internet kommen immer noch dadurch.


    Wenn einer also den VPN Server scannt werden die Portanfragen an mich nicht weitergeleitet, weil diese nicht für mich angefordert wurden. Und wenn ich das provoziere z.B. mit Portscanner(.)de aus dem eigenen Subnetz kommt es zwar an, aber die Fritzbox weist es als nicht angefordertes Paket ab?


    Ich müsste das für mich einfach mal soweit verstehen, dass ich ein gutes Gefühl dabei habe. Ja, VPN war/ist per OpenVPN als Standard Gateway eingerichtet. Nur hatte ich Angst, damit das Scheunentor an der Fritzbox aufgemacht zu haben.


    Bitte, wenn jemand da Links zum tieferen Einlesen hat…bitte her damit. Ich möchte es gerne besser verstehen. Und habe ja auch fast ein schlechtes Gewissen Euch ein Loch in den Bauch zu fragen.


    Ich halte aber fest. Ich kann guten Gewissens mein NAS über VPN Standard Gateway verbinden und gehe damit kein Risiko für mein internes Netzwerk ein.


    Anders gefragt, was gewinne ich?

    Du gewinnst einen sicheren Zugriff von Außen auf Deine Infrastruktur.


    Wenn Du es aber nicht brauchst - lass es.


    Ich wohne in Frankreich und nutze VPN für verschiedene Zwecke, jedoch nicht, um gesicherten Zugriff auf mein NAS zu erhalten, sondern um mit deutscher IP im Netz zu sein, wenn ich es brauche.


    (Z.B. Bei Stiftung Warentest einen Test zu kaufen, ist von hier nicht möglich, aber mit deutscher IP.)


    Gruß MarGol

    Zitat von G_dot_com

    Die Daten aus dem Internet kommen immer noch dadurch.

    Es ist eine transparente Kommunikation. Am Ende des Tunnels ist ein Client, am anderen Ende ein Server. Die FritzBox bekommt davon nichts im Detaul mit, außer, dass dort ein "geheimer Tunnel" erstellt wurde und er die Pakete an genau eine Adresse weiterzuleiten hat.


    Zitat von G_dot_com

    Wenn einer also den VPN Server scannt werden die Portanfragen an mich nicht weitergeleitet, weil diese nicht für mich angefordert wurden. Und wenn ich das provoziere z.B. mit Portscanner(.)de aus dem eigenen Subnetz kommt es zwar an, aber die Fritzbox weist es als nicht angefordertes Paket ab?

    Die FritzBox weißt kein Paket aus einer VPB-Verbindung ab. Die weiß ja gar nicht, was Du angefordert hast. Die weiß, Port xx, leite ich weiter an yy.
    Abgewiesen wird es vom Empfänger, dem NAS. Nur das kann erkennen, ob das Paket valide ist.



    Zitat von G_dot_com

    Nur hatte ich Angst, damit das Scheunentor an der Fritzbox aufgemacht zu haben.

    Gibt es einen sachlichen Grund, einen externen Zugriff nutzen zu müssen, sollte man es "sicher" regeln.

    Und VPN ist sicher.

    Ich habe es am Anfang genutzt, weil es cool war, im Garten zu stehen und über das Mobilnetz eine Suchanfrage an das NAS zu stellen.

    Dann war ich stolz wie Oscar!

    Dann las ich über die Probleme mit externem Zugriff und habe diese Dinge flott abgeschaltet.


    Man macht kein Scheunentor auf, aber man sollte sich überlegen, ob es zur Erreichung der Ziele notwendig ist, dieses zu tun.


    Ich habe begonnen, OneDrive einzurichten und als externe Quelle mit dem NAS zu verbinden, Dropbox ebenso.


    Die Daten, die ich dort bereitstelle, sind NIE richtig heiß, eher handwarm.


    Einen direkten Zugriff auf das NAS werde ich nicht mehr angehen.

    Nö.

    Einmal editiert, zuletzt von MarGol () aus folgendem Grund: Ein Beitrag von MarGol mit diesem Beitrag zusammengefügt.

    Man muss unterscheiden was man will und wie man VPN dafür einsetzt.

    Will man seine IP Adresse -aus war für Gründen auch immer- verschleiern dann setzt man i.d.R. für ausgehende Verbindungen auf irgendeinen VPN Anbieter. Das kostet meist und ist, wie man weiter oben sieht, Vertrauenssache.


    Will man aber sicher eingehende Verbindungen haben, dann hat man einen eigenen VPN Server am besten auf dem Borderdevice, also dem Router.

    Der lauscht dafür nur auf einem einzigen Port.

    Dieser ist zwar i.d.R. auch standardisiert, für openVPN z.B. 1194, aber es werden Zertifkate und Schlüssel und evtl. Passwörter benötigt. Die erstellt man selbst, installiert diese auf dem Client. Nur wenn dann alles zusammenpasst, dann werden die Pakete vom VPN Dienst durchgelassen, alles andere wird verworfen.


    Wie überall gilt auch hier: 100% Sicherheit gibt es nicht. Wenn man die haben will, dann darf man gar kein Internet haben. ;)


    Wenn man von außen zugreifen will, dann gibt es nicht sicherers als VPN!

    Es gibt andere, gute Möglichkeiten z.B. SSH per starkem Key, Verbot von interaktiver Verbindung (Passwortabfrage), evtl. Reverse Verbindung, aber m.E. ist VPN sicherer.


    Gruss

    Danke, danke. Aber kurz zur Richtigstellung. Ich nutze kein VPN für den Fernzugang. Ist so in QVPN nicht eingerichtet.


    Lediglich den ausgehenden Verkehr leite ich über OpenVPN an ProtonVPN weiter. Dafür habe ich das Abo. Dachte damit die Sicherheit vom NAS zu erhöhen. ist ein reines Client VPN.


    Auch nutze ich auf jedem Gerät einen eigenen VPN Client. Nutze das NAS nicht als Gateway für andere Geräte im Netzwerk.


    Aber ich habe das grundlegende verstanden.


    VPN Client SUB Netz -> Netzwerkanschluss Host -> Router -> VPN Server -> Internet


    - Tunnel ist verschlüsselt

    - Client horcht auf Port x intern

    - Server sendet Paket an Router

    - Router leitet an Netzwerkkarte weiter

    - diese reicht ins VPN Subnetz weiter


    WAN ist dann für den Host Die Server Adresse vom VPN Anbieter.


    Der Server reicht nichts an mich weiter, was nicht für mich bestimmt ist.


    Ob das jetzt für die Updates der App und Virendefinitionen notwendig ist…muss ich entscheiden.


    Die Sicherheit meines Netzes gefährtet es nicht.


    Eigentlich wird ja nur der DNS Server und der WAN Knotenpunkt vom ISP an den VPN Provider umgestellt. Da ich aber ja keinen Port in der Fritzbox freigegeben habe und der VPN Client auf dem PC das auch nicht kann sollte da kein Risiko bestehen.