Eigene dropboxartige Cloud

    Hallo, wir betreiben in unserer kleinen Firma zwei Qnaps. Einer als Speicherort unserer Daten, der zweite als Backup von Time Machine. Jetzt möchte ich einen dritten einrichten auf welchem wir im Dropbox Stile unseren Kunden Bilder und Dokumente mittels Link zum Betrachten und runterladen zur Verfügung stellen. Aus Sicherheitsüberlegungen soll dies eben auf einem separaten (dritten) Server passieren. Es wird nicht viel trafic stattfinden auf diesem Server, also einige wenige Zugriffe pro Tag oder Woche. Ich habe nun den TS-233 in Betracht gezogen und würde da wohl eine App wie ownCloud oder Nextcloud oder ähnliches betreiben müssen. Ist es möglich bei diesem TS-233 zugriffsrechte so einzurichten, dass der Besitzer des Links ohne komplizierte Logins etc darauf zurückgreifen kann, aber dennoch genug Sicherheit besteht, dass das Teil nicht gleich gehackt wird? Also ganz wie sich die Leute das von Cloudlösungen wie Dropbox gewohnt sind?

    Vielen Dank für Eure Hilfe und Tipps!

    Zitat von Niki_1001

    ...aber dennoch genug Sicherheit besteht, dass das Teil nicht gleich gehackt wird?...

    Betreibe alles in einer VM um ein Mindestmaß an Sicherheit zu haben (ist das TS-233 dafür geeignet???).

    QNAP und Cloud Dienste aus dem Internet zugänglich, das ist für mich ein rotes Tuch!

    Es sind ja auch erst ca. eine Million € (!) an Lösegeld geflossen, darf ruhig noch etwas mehr werden... :evil:


    Warum nicht einen Dropbox Account nutzen?


    Gruss

    Mir ist eine Lösung auf dem selbstverwalteten NAS / Gerät auch lieber als "eine Cloud".

    Keinesfalls aber mit QNAP Boardmitteln, das muss dann wirklich schon ordentliche Software wie Nextcloud sein. Dann sind aber auch sämtliche Funktionen wie Zugriffsrechte etc von QNAP raus, das wird dann ja alles über die entsprechende Software verwaltet.

    Das 233 ist dafür aber nicht geeignet, jedenfalls kann es keine VM, hier gehen nur Container und da weiß ich 1. nicht ob es entsprechende Container für das Vorhaben gibt und 2. gibt es da ja afaik immer so unschöne Einschränkungen, wie dass man den Container nicht in ein VLAN hängen kann... das wäre mir nichts...

    Zitat von FSC830

    Warum nicht einen Dropbox Account nutzen?

    ......Weil ein Dropbox account mind. 12 Euro/mntl kostet

    Zitat von tiermutter

    Das 233 ist dafür aber nicht geeignet, jedenfalls kann es keine VM, hier gehen nur Container und da weiß ich 1. nicht ob es entsprechende Container für das Vorhaben gibt und 2. gibt es da ja afaik immer so unschöne Einschränkungen, wie dass man den Container nicht in ein VLAN hängen kann... das wäre mir nichts...

    ....ich hab jetzt mal testhalber auf meinem aktuellen Qnap TS-251+ ownCloud installiert nachdem ich aufgefordert wurde vorgängig ContainerStation runterzuladen um ownCloud überhaupt installieren zu können. Da ich aber von der Sicherheitssache ausser pure Angst kaum eine Ahnung habe, lasse ich lieber die Finger davon wenn die Comunity sagt es sei eine schlechte Idee...

    Einmal editiert, zuletzt von Niki_1001 () aus folgendem Grund: Ein Beitrag von Niki_1001 mit diesem Beitrag zusammengefügt.

    Ja, und das aktuelle Lösegeld für Deadbolt beträgt 0.05BTC, also ca. 1.180,- €.

    Damit kann man Dropbox schon einige Zeit finanzieren.

    Vom Imageschaden und evtl. DSGVO Verstössen abgesehen. 8o


    Oder man leistet sich einen vernünftigen Router und Firewall und richtet für die Kunden einen VPN Zugang ein.

    Das in ein oder mehrere getrennte VLANs, damit man auch von übrigen Netzwerken getrennt ist.

    Ja, ist für Kunden aufwändiger als auf einen Link klicken, aber jeder Kunde sollte das zur Steigerung der Sicherheit akzeptieren.

    Sicherheit für lau gibt es eben nicht.


    Aber nicht meine Daten...


    Gruss

    Einmal editiert, zuletzt von FSC830 ()

    Huch! ich sehe schon! Mein Unterfangen ist nicht ganz so einfach wie ich mir das vorgestellt habe!

    Also doch Dropbox...

    Vielen Dank für die Imputs!

    So langsam nervt mich das ständige nachgeblabber mit Deadbolt usw.


    Ja QNAP ist nicht sicher über irgendwelche eigene Dienste die direkt erreichbar sind… So weit hat das auch glaub ich jeder verstanden.


    ABER: Wenn der Docker oder die VM entsprechend so konfiguriert sind, das nur die Dienste der Nextcloud auf Port 443 lauschen, greifen hier nur die Geschichten der Nextcloud und die QNAP ist nur das „dumme“ Gerät, wo das Zeug draufliegt.


    Ich setze natürlich ein entsprechendes Know How voraus und auch in der NC können diverse Mechanismen zur Sicherheit eingebaut werden.


    Sorry ich glaub ich hatte nen schlechten Tag….

    Schon richtig. Ich hatte zwischendurch auch das Gefühl, dass ein Sicherheitsrisiko eher der Hardware zugesprochen wird.

    Dem ist nicht so. Die exponierte Software ist das Risiko und da hat -entsprechend umgesetzt- QNAP per se nichts mit zu tun.

    Ich hab ne nextcloud auf nem QNAP laufen (schon mehrfach an anderen Stellen erwähnt)


    Eigenes Netz (nicht Teil des Hausnetzes) >Router mit 'UTM'* > TBS-453DX > Ubuntu VM (auf VMS) > nextcloud (autoupdate via snap)


    Bisher sehr zufrieden, aber halt mit Bedacht eingerichtet. (und aufs Schlimmste so gut es geht vorbereitet)



    *Laut UTM wird die NC ständig durch diverse Exploit Kits attackiert (also zumindest probiert, bis zur UTM halt, und was die UTM nicht sieht ist hoffentlich nicht erfolgreich)

    Zitat von dolbyman

    Eigenes Netz (nicht Teil des Hausnetzes) >Router mit 'UTM'* > TBS-453DX > Ubuntu VM (auf VMS) > nextcloud (autoupdate via snap)

    Entschuldigt meine Ignoranz zu diesem Thema: Aber genau deswegen möchte ich ja diese Geschichte auf einem separaten dritten Qnap mit ownCloud/Nextcloud o.ä. laufen lassen. Wenn dieser, mit relativ unwichtigen Daten, attackiert würde, wäre das weiter absolut untragisch. Unter keinen Umständen möchte ich aber natürlich, dass unser Hauptserver ins Visier der Hacker käme! Brauche ich unter diesen Umständen dennoch ein separates Netz wie hier beschrieben?

    Das erfordert dann eine DMZ in der die eigene Cloud betrieben wird.

    Am besten eine Firewall wie die pfSense davor, dort geht dann der HA Proxy mit ACME in betrieb und die Kunden kontaktieren diesen.

    Von da geht es dann im Backend auf die eigentliche Cloud Lösung ob Conti oder nativ auf einem Pi ist egal.


    Dann noch pfBlocker mit Firehole 1 und 2 inbound, schon kann man so was betreiben.


    Ist aber deutlich mehr Aufwand als man eben nen Docker klicken.