Hallo,
ich werde hier mal nach und nach eine kleine Zusammenfassung reinstellen über die Möglichkeiten des Dateizugriffs von Extern (WAN/öffentliches Internet) auf lokale Systeme wie das QNAP NAS auch unter dem Aspekt der Sicherheit da das doch immer wieder hier zum Thema wird.
Soweit mir bekannt werde ich auf vorhandenen How-To's oder externe Seiten verlinken wo man sich dann über die Details informieren kann. Das ganze soll also mehr eine Übersicht sein anhand der man sich die für seine Anwendung geeignetste Lösung raussuchen kann.
Aus Zeitgründene erst mal Stichwörter, wer dazu etwas beitragen will kannes ja hier posten und ich arbeite das dann in das Posting hier ein.
--------------------------------------------------------------------------------------------------------------------------------------
Web File Manager
--------------------------------------------------------------------------------------------------------------------------------------
Allgemein
Der Web File Manager ist kein Standardverfahren sondern eine Web Applikation, welche auf dem QNAP läuft und Dateizugriffe über einen Web Browser ermöglicht. Die Datenübertragung erfolgt dabei entweder unverschlüsselt mittels http oder über eine gesicherte Verbindung über https.
Clients
Webbrowser wie Internet Explorer oder Firefox
Routerkonfiguration
Port Forwarding der Ports 80 und/oder 8080, Port 443 für https (je nach Konfiguration des QNAP)
Sicherheit
Je nach Verbingungstyp sicher oder unsicher. Http ist als unverschlüsselte Verbindung als unsicher einzustufen wohingegen https sicher ist. Da das Zertifikat des QNAP allerdings keine "echtes trusted" Zertifikat ist (deswegen der Zertifikatsfehler) besteht theoretisch die Möglichkeit einer "man in the middle" Attacke. Die Verbindung an sich über https erfolgt aber trotz Zertifikatsfehler verschlüsselt.
Web Applikation können durch Programmierfehler potentielle Sicherheitslücken beinhalten. Derzeit ist diesbezüglich beim Web File Manager aber nichts bekannt.
Anwendung
Einfacher Dateizugriff über Webbrowser für gelegentliche externe Zugriffe. Keine automatisierter Zugriff (Scripts) möglich, daher nicht für größere Datenmengen oder automatische Prozesse geeignet.
QNAP
QNAP Applikation, daher vorhanden
--------------------------------------------------------------------------------------------------------------------------------------
ftp
--------------------------------------------------------------------------------------------------------------------------------------
Allgemein
Das ftp Protokoll http://de.wikipedia.org/wiki/File_Transfer_Protocol ist ein Netzwerkprotokoll zur Übertragung von Dateien über das TCP/IP Netzwerk. Es gibt zwei Modi (aktives und passives ftp) welche sich nur in der Art des Verbindungsaufbaus unterscheiden. Verwendet werden die Ports 20 und 21 sowie Ports >1024 für die Datenübertragung.
Clients
ftp clients gibt es als Konsolenprogramm bereits mit jedem Betriebssystem (Windows XP, Linux) sowie auch etwas komfortabler mit grafischer Benutzeroberfläche (z.B. http://www.filezilla.de/).
Über Netdrive (http://www.heise.de/software/download/netdrive/55134) kann ein ftp server unter Windows auch als Laufwerk eingebunden werden.
Über Web Browser, ggf. mit Plug-In.
Routerkonfiguration
Port Forwarding der Ports 20/21, Verbindung Port >1024 (in der Regel kein Portforwarding notwendig!)
Sicherheit
Das ftp Protokoll als solches bietet eine Authentifizierung über USER und PASSWORD, allerdings werden sowohl die Authentifizierungsdaten als auch die Dateien selbst ohne Verschlüsselung also im Klartext übertragen. Damit stellt eine einfache ftp Verbindung ein Sicherheitsrisiko dar, da mit einfach Mitteln (Network Sniffer) sowohl Authentifizierungsdaten als auch die Dateien selbst abgehört werden können.
Anwendung
Anonymous Server für Daten, die zum öffentlichen Download bestimmt sind wie z.B. Open Source Projekte. Übertragung unkritischer Daten oder Daten, die bereits anderweitig gesichert/verschlüsselt sind und dadurch öffentlich übertragen werden können.
QNAP
Die TS-Serie beinhaltet einen ftp-server, aktivierbar über das Admin Interface, keine weitere Software notwendig
--------------------------------------------------------------------------------------------------------------------------------------
Secure ftp
--------------------------------------------------------------------------------------------------------------------------------------
Allgemein
Clients
Routerkonfiguration
Sicherheit
Anwendung
QNAP
--------------------------------------------------------------------------------------------------------------------------------------
sftp
--------------------------------------------------------------------------------------------------------------------------------------
Allgemein
Clients
Routerkonfiguration
Sicherheit
Anwendung
QNAP
Zugriffsmöglichkeit über ftp clients
Routerkonfiguration notwendig
Kein Sicherheitsrisiko, da verschlüsselte Verbindungen
--------------------------------------------------------------------------------------------------------------------------------------
ftps
--------------------------------------------------------------------------------------------------------------------------------------
Allgemein
Bei FTP über SSL/TLS oder ftps (http://de.wikipedia.org/wiki/FTP_%C3%BCber_SSL) wird die Übertragung der Daten über den Kntroll- und Datenkanal verschlüsselt. ftp über SSL/TLS wird vom QNAP NAS unterstütz und kann über die Admin Webseite einfach aktiviert werden.
Clients
Alle ftp Clients, die SSL/TLS unterstützen wie z.B. WISE-FTP.
Routerkonfiguration
Port Forwarding für die ftps ports.
ftps-data 989/tcp ftp protocol, data, over TLS/SSL
ftps-data 989/udp ftp protocol, data, over TLS/SSL
ftps 990/tcp ftp protocol, control, over TLS/SSL
ftps 990/udp ftp protocol, control, over TLS/SSL
Sicherheit
An sich ist eine ftps Verbindung sicher. Bei den QNAP Produkten besteht lediglich das Problem, daß das SSL/TLS Zertifikat der QNAP NAS Box nicht gültig ist was es theoretisch ermöglicht eine Man-in-the-middle Attacke durchzuführen. Wer im Besitz eines gültigen Zertifikats ist kann das QNAP Zertifikat durch sein eigenes ersetzen und diese Lücke schliesen.
Anwendung
Dateizugriffe über ftp Clients für den Austausch von Dateien.
QNAP
Die TS-Serie beinhaltet einen ftps-server, aktivierbar über das Admin Interface, keine weitere Software notwendig
--------------------------------------------------------------------------------------------------------------------------------------
SSH / SSH Tunnel
--------------------------------------------------------------------------------------------------------------------------------------
Allgemein
Ein SSH Zugang (http://wiki.hackerboard.de/index.php/SSH_(Secure_Shell)) ermöglicht den verschlüsselten und somit gesicherten Zugriff auf die Konsole des QNAP NAS. Über einen sogenannten SSH Tunnel ist es möglich auch andere Dienste wie z.B. ftp über diese gesicherte Verbindung zu nutzen/tunneln.
Clients
SSH Clients wie z.B. putty
Routerkonfiguration
Port Forwarding für die ssh ports (Standard: 22). Der Port, der für SSH genutz wird, kann im Admin Interface geändert werden.
Sicherheit
SSH Verbindungen sind sicher. Das Ändern des Standard SSH Ports auf einen Alternativen Port bringt keinen Sicherheitszugewinn, da der SSH Server mittels Port Scan ohne große Mühen auch auf alternativen Ports auffindbar ist.
Anmerkung: Der administrative Zugang über Telnet sollte nicht von extern zugänglich sein, da unsicher!
Anwendung
Konsolen Zugang zum administrieren des QNAP NAS, mittels Tunneling auch für gesicherte Zugriffe auf andere Dienste (http, ftp, etc.)
QNAP
Die TS-Serie beinhaltet einen ssh-server, aktivierbar über das Admin Interface, keine weitere Software notwendig
--------------------------------------------------------------------------------------------------------------------------------------
VPN (virtual private network)
--------------------------------------------------------------------------------------------------------------------------------------
Allgemein
Ein VPN (http://de.wikipedia.org/wiki/Virtual_Private_Network) oder Virtual Private Network ist ein Verfahren, um Geräte aus einem anderen Netzwerk lokal einzubinden. Dies ermöglicht dem Remote Host die Teilnahme an allen lokalen Netzwerkdiensten und somit auch dem Zugriff auf Shares im lokalen Netzwerk. Die Verbindung kann (muss aber nicht) dabei verschlüsselt erfolgen weshalb auch öffentliche Netze (Internet) als Kommunikationsstrecke zwischen Remote Host und lokalem Netzwerk genutzt werden können ohne die Sicherheit des Private Network zu kompromitieren.
Mittels VPN können durch Bridging auch andere Protkolle (z.B. Datei- und Druckerfreigabe) an den Remote Host weitergeleitet werden.
Clients
Spezielle VPN Client Software sowie VPN Server notwenig (z.B. http://openvpn.net/)
Routerkonfiguration
Abhängig von der Konfiguration des VPN Servers und der verwendeten Protokolle
Sicherheit
VPN für sich alleine ist erst einmal ungesichert, allerdings besteht die Möglichkeit verschlüsselte Verbindungen zu benutzen. Mit einer verschlüsselten Verbindung wird sämtlicher Netzwerkverkehr gesichert übertragen und somit können auch ungesicherte Protkolle (z.B. ftp) gefahrlos zum Einsatz kommen.
Anwendung
Komplette Einbindung eines Remote Host oder Remote Netzwerk in das lokale Netzwerk (z.B. Anbindung von externen Büro's an ein Firmennetz - Home Office).
QNAP
Keine Out of the Box Lösung, VPN Server als Open Source über ipkg verfügbar bzw. über separaten VPN Server
http://wiki.nas-portal.org/ind…VPN_auf_QNAP_installieren
--------------------------------------------------------------------------------------------------------------------------------------
TBD
--------------------------------------------------------------------------------------------------------------------------------------
Allgemein
Clients
Routerkonfiguration
Sicherheit
Anwendung
QNAP
Gruß,
Gerald