Moin,
ich möchte mich hier mal als stiller Leser outen. Tolles Forum und viele nützliche Tips.
Mit Eurer Hilfe habe ich mein NAS eigentlich gut umgesetzt. In erster Linie als erhöhte Ausfallsicherheit, und dann als Kodi Datenbank mit den entsprechenden Medien. Extern möchte ich gar nicht darauf zugreifen, reine Verwendung im internen Netz.
Bisher habe ich eigentlich versucht alles nach Euren Vorgaben einzurichten und soweit abzusichern: >>
- keine unnötigen Dienste aktiviert (einzig MariaDB, Webserver und phpMyAdmin nur bei Bedarf kurzfristig)
- alle unbenötigten Apps entfernt, alle nicht dauerhaft benötigten gestoppt.
- Auto Updates für Apps und System zugelassen
- QNapCloud nicht eingerichtet (Fernzugang damit dicht)
- Sichere Passwörter
- zweistufige Anmeldung für mein Admin Konto
- Standard Admin deaktiviert (und starkes PW)
- Zugriffsschutz eingerichtet
- Berechtigungen erstellt
- nur sichere Verbindungen erlauben
- Hohe Sicherheitsprotokolle für Https und SMB (cipher aktiviert)
- uPNP deaktiviert
- Firewall für alle Verbindungen ausserhalb meines internen Netzwerkes gesperrt
- Malware Remover und Antivirus eingerichtet (ja, ich weiß keine Echtzeitsuche)
- Security Counselour abgearbeitet (bis auf die QNapCloud Meldung wegen Internetzugang)
- uPNP im Router nicht eingeschalltet
- keine Ports im Router freigegeben
- Backup der Datein auf dem HauptPC.
- FOLGT: Backup auf externen HDD auswärts gelagert.
Joa, ich glaube soweit war es das. Bitte gerne noch Vorschläge unterbreiten, sollte ich etwas vergessen haben.
Jetzt kam ich auf die Idee, doch per QVPN meinen VPN Anbieter (Proton) über OpenVPN als Standard Gateway einzurichten.
Und hier kommen meine Fragen auf - mir fehlt schlicht die genaue Kenntnis.
Was ich glaube verstanden zu haben.:
- VPN Client erstellt einen NIC
- Verbindung vom NIC zum VPN Server
- es wird dann für die Kommunikation ein Schlüssel erstellt, den nur Server und Client kennen
- Alle Anfragen werden dann über den neuen VPN DNS gesendet
- Datenverkehr zwischen mir und dem VPN Server ist sicher verschlüsselt
- VPN Server gibt keine Anfragen oder Paket an mich weiter, die nicht explizit von ihm für mich angefragt wurden
- Anfragen auf seine IP lehnt er ab, da diese ohne den Schlüssel kommen und er somit gar nicht weiß an welchen der möglichen zahlreichen Clients er es senden soll
Hoffe ich habe das in meiner laienhaften Weise richtig dargestellt.
Jetzt geht aber der Traffic ja komplett an meinem Router (Fritze) vorbei, das NAT kann den Verkehr nicht mehr scannen.
Auch würden ja die geschlossenen Ports des Routers ignoriert, da die Verbindung ja daran vorbeigeht (über den offenen OpenVPN Port).
Es wird zwar die Internetverbindung vom Router genutzt, aber ich bin ja Teil des internen Netzwerkes vom VPN Server.
Das führt zur Fragestellung No. 1:
Ich sehe das Problem, daß Anfragen ungehindert durch die Fritzbox zum NAS kommen, so denn der VPN Server sie nicht ablehnt.
Und, über meinen Router wäre der Port, den OpenVPN nutzt offen. Oder habe ich da was nicht verstanden?
Das führt zu Fragestellung No. 2:
Erhöhe ich jetzt damit die Sicherheit, Anonymität and so on and so on....
ODER erhöhe ich damit das Risiko?
Wie ihr seht, ich habe hier nur Halbwissen zur Funktionsweise von VPN´s und würde mich mega freuen von Euch etwas an die Hand genommen zu werden. ICh habe viel gegooglet, konnte mir meine offenen Fragen aber einfach nicht genau beantworten. Scheint sich bisher wenig mit in den Foren der Welt aufgetan zu haben. Vielleicht ja auch, weil mein Problem gar keines ist. Entschuldigt, sollte meine Frage zu theoretisch oder doof sein, ich möchte es halt gerne verstehen.
Die Frage ist in sofern mega relevant, da ich alle Geräte, auch die Kodi Clients (Shield, FireTV Cube, Windoof und Mac Kisten) alle über das VPN lenke.
Mein Mutmaßung:
Ich wünsche/glaube/hoffe ja, das der Traffic von ProtonVPN durch ein engmaschiges Sicherheitsnetz flutscht und ein Portscan immer ins Leere läuft, da ja die Anfragen nicht an einen spezifischen Rechner im internen Netz des Servers weitergeleitet werden können. Aber...Fritzes NAT und andere Sicherheit würde dann ja versagen. Man käme rein theoretisch doch direkt auf mein NAS, wenn man am VPN Server vorbei käme.
>> Ich habe mit portchecker.de geprüft und alle relevanten Ports gelten als geschlossen. Hinter VPN und auch ohne an der Fritze.
Schluss endlich folgende Einschränkung:
Zentral am Router einrichten, ist keine Alternative, da ich hier nur sehr unkomfortabel um-/ausstellen kann, wenn nötig. Vor allem für die Familie ist das relevant, wenn Netflix oder Prime gerade zickt, weil der Server von Proton blacklistet ist. Und nein, mein Interesse ist nicht Geoblocking zu umgehen, sondern schlicht Sicherheit und Anonymität zu erhöhen. Was bei einem Bezahldienst mir User Login nicht klappt, ist kla. Aber zumindest die Anfragen von Kodi und einige andere Dinge.
Danke für das Lesen meines recht umfangreichen Problems und weiterhin schöne Weihnachten.
Gruß
G.com