Synology DDNS einrichten?!

Synology DDNS einrichten?! (85 Beiträge, 971 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Liebe Geizhals Gemeinschaft!

Vorweg: Ich bin ein Nackerpatzl was Netzwerk & Co. betrifft. Habe mir eine Synology geholt, weil ich häufig gelesen habe, dass diese "leicht" einzurichten wäre. Mir geht es hier vorrangig, um den externen Zugriff. Diesen bekomm ich irgendwie nicht hin.

Habe mir vor kurzem eine Synology DS220+ gekauft. Nun habe ich recherchiert, welcher Zugang einen relativ sicheren Zugriff erlaubt und da kam ich auf DDNS und nicht über QuickConnect.

Habe nun nach einer Anleitung (https://www.youtube.com/watch?v=c5c32VirXpY ) dies so eingerichtet. Ich beziehe das Internet über Magenta. Ich habe dann versucht eine Portweiterleitung am Router einzurichten. Nur weiß ich nicht so recht, ob die Daten die ich eingetragen habe richtig sind?

Lokale IP: da kommt die IP welche meine NAS besitzt, oder?
Lokaler Start Port: 5100?
Lokaler End Port: 5100?
Externer Start Port: 5100?
Externer End Port: 5100?
Protokoll: TCP?
Aktiviert: An?

und dann auf Regel hinzufügen.

Wenn ich dann probiere zuzugreifen über meine adresse: xxx.synology.me:5100 funktionierts nicht. Irgendwo ein Fehler?

Ich verwende meine NAS ausschließlich für meine digitalen Dokumente und Bilder. Sonst nichts. Externer Zugriff eher selten. Welche Sicherheitsmaßnahmen sind noch anzudenken? 2-Faktor Authentifizierung und Viren Scanner habe ich auf der NAS ebenfalls aktiviert. Firewall ebenso. Firewall im UPC Router aktiviert. Da kann man nicht wirklich viel einstellen.

Ich würde mich freuen, wenn mir hier weitergeholfen wird. Bitte verständlich erklären, für mich ist dies wirklich eine andere Sprache. Danke!!

LG Nilpferd

Magenta betreibt standardmäßig die Internetanschlüsse mittels Carrier-grade NAT (https://de.wikipedia.org/wiki/Carrier-grade_NAT ). Das heißt dein Anschluss hat eigentlich keine eigene öffentliche IPv4-Adresse und daher bist du auch aus dem Internet nicht direkt erreichbar und Port-Weiterleitungen funktionieren nicht.

Wenn du das so machen willst, musst du dich mit deinem Vorhaben an Magenta wenden und dir eine öffentliche IPv4-Adresse zuteilen lassen.

Wenn du das so machen willst, musst du dich mit deinem Vorhaben an Magenta
wenden und dir eine öffentliche IPv4-Adresse zuteilen lassen.

Alles klar. Machen die das dann? Hast du damit Erfahrung? Bringt das Nachteile, wenn ich mir eine öffentliche IPv4-Adresse zuteilen lasse?

Dann werde ich heute Abend mal bei Magenta anrufen. Danke schon mal.

Machen die das dann?

Sie fragen zwar nach warum man das braucht, aber wenn man ein Port Forwarding braucht um auf sein NAS oder per VPN zuzugreifen machen sie das meiner Erfahrung nach problemlos.

Hast du damit Erfahrung?

Ja ich habe das bei mir so und ein paar Bekannte von mir auch.

Bringt das Nachteile, wenn ich mir eine öffentliche IPv4-Adresse zuteilen
lasse?

Dass dein Anschluss direkt aus dem Internet erreichbar ist, was natürlich eine gewisse Sicherheitsproblematik mit sich bringt.

Zumindest früher hat es funktioniert wenn man im Magenta (früher halt T-Mobile) Modem die APN wechselt, und zwar auf business.gprsinternet.
Brauchst nur danach googeln.

wenn man im Magenta (früher halt T-Mobile)

hier gehts aber um Magenta (früher UPC)

Magenta (früher UPC)

... formerly known as Chello ...

... formerly known as Telekabel ...

ich hab nochmal geschaut ob da noch was dazwischen war.
dachte an teleweb, aber das war nur der produktname.

dann einen thread von 2003 gefunden in der WCM. Da wollten sie 512kbit/s im UL, oder besser 1024 aber das wäre "utopisch"

jetzt 19 jahre später, meine eltern haben immer noch ~700

dann einen thread von 2003 gefunden in der WCM. Da wollten sie 512kbit/s im UL, oder besser 1024 aber das wäre "utopisch"

The Times They Are a-Changin’.

jetzt 19 jahre später, meine eltern haben immer noch ~700

Bei Telekabel/Chello/UPC/Magenta - Glasfaser? 700k upload? Oag.

Bei Telekabel/Chello/UPC/Magenta - Glasfaser? 700k upload? Oag.

nein, eh nix magenta. 0815 A1 ADSL.
Aber halt witzig, dass sich das nicht verändert hat.

Naja, witzig fällt mir da nicht als erstes ein. Eigentlich traurig. Gab ja schon mehrere Breitband-Initiativen in unserem Land. Offensichtlich die meisten eher wirkungslos.

ja, der 20. ist echt besch.. vernetzt.
Teilweise bekomm ich nichtmal 4G zusammen.

Ich hab auch noch good old Kupferkabel.
Der Fonira 40/10 Anschluss bringt in echt grad laut speedtest 36/7,8. Eigentlich ganz ok.

4G ist bei mir im Spusu/Drei Netz auch keine Offenbarung.

Kupfer is eh ok.
Hab 250/50.

Aber meine Eltern wollen nix ändern, weil ist alles kompliziert und mimimi.

Kupfer is eh ok.
Hab 250/50.

Bei mir würd glaub ich auch um einiges mehr möglich sein. Ich bin aber zu geizig.

Aber meine Eltern wollen nix ändern, weil ist alles kompliziert und mimimi.

Das kenn ich.

Ah! Schmarrn, ich hab Magenta alleine mit T-Mobile gleichgesetzt, sorry.

Kurze Frage, da du den Port 5100 verwendest sollte die Adresse mit einem https://xxx.synology.me:5100 lauten. Ansonsten sollte eine Fehlermeldung kommen und das keine Verbindung hergestellt werden kann.

Ansonsten wüsste ich nicht das hier Magenta das Problem ist, wenn du eine ip4 Adresse bekommst und den Router mit der Portweiterleitung korrekt konfiguriert hast funktioniert es auch. Ich hab das seit gut 10 Jahren problemlos am Laufen. Zu Testzwecken auch mal den normalen (ohne https) Port versuchen, also die 5000 und nicht die 5001 (=https)

lg
teuflisch
----------------------------

zwischen zu früh und zu spät, liegt stets der Augenblick

für was brauchst du DDNS wenn du eher selten externen Zugriff auf dein NAS brauchst. Wäre da VPN nicht die bessere Lösung?

Wäre da VPN nicht die bessere Lösung?

Wie funktioniert das über einen VPN?

Übers VPN stehst du mit deinem Laptop dann quasi in deinem LAN. Hilft dir wenig oder ist gefährlich, wenn du unterwegs die Urlaubsfotos von einem fremden Gerät aus zeigen willst.

also wenn du wirklich unbedingt externen Zugriff brauchst, dann wäre das über VPN die sicherste Lösung. Aber wie Paulas_Papa schon geschrieben hat, würde ich halt den Zugriff auf deine Geräte beschränken, also du kannst dann zb. nur mit deine Laptop und deinem Smartphone von überall auf deine NAS zugreifen. Wenn du es mittels OpenVPN erledigst, installierst du nur auf deinem Laptop und Smartphone den OpenVPN-Client, importierst dort deine Dateien(config,cert..) und schon kannst du dein NAS mit deiner private IP(zb. 192.168.1.10) ansurfen.

bekommst du bei wieistmeineip bei IPv4 ein "Adresse" und ein "OK"?

also wenn du wirklich unbedingt externen Zugriff brauchst, dann wäre das über
VPN die sicherste Lösung. Aber wie Paulas_Papa schon geschrieben hat, würde
ich halt den Zugriff auf deine Geräte beschränken, also du kannst dann zb. nur
mit deine Laptop und deinem Smartphone von überall auf deine NAS zugreifen.
Wenn du es mittels OpenVPN erledigst, installierst du nur auf deinem Laptop
und Smartphone den OpenVPN-Client, importierst dort deine
Dateien(config,cert..) und schon kannst du dein NAS mit deiner private IP(zb.
192.168.1.10) ansurfen.

möchte auch nur von meinen Geräten zugreifen. Also Handy, Laptop und das Handy meiner Frau.
Ich möchte diesen Zugriff hauptsächlich dazu verwenden, um in der Familie eventuell spontan mal Fotos herzeigen (zb. vom letzten Urlaub) oder ich bin unterwegs und ich brauche ein spezielles Dokument.

Also das mit dem OpenVPN hört sich nicht schlecht an. Ist dies kompliziert zu installieren und wie hoch ist das Risiko auf einen Hackangriff? Ein Hacker müsst ja sowieso auch die 2- Faktor- Authentifizierung knacken. Das ist doch fast unmöglich, oder?

bekommst du bei wieistmeineip bei IPv4 ein "Adresse" und ein "OK"?

Ja, ich bekomme bei IPv4 eine Adresse und bei Test IPv4 und Test Dual Stack steht "Ok".

also wenn du externen Zugriff benötigst, bist du mit VPN zum NAS schon sicher unterwegs. Du kannst direkt am NAS einen VPN-Server erstellen und dann musst du nur noch am Router einen Port weiterleiten und halt wenn du OpenVPN nimmst, die ClientApp am Laptop und Smartphone installieren.

hab jetzt nur mal schnell gegoogelt:
https://stadt-bremerhaven.de/synology-vpn-server-einrichten/

hab mir aber jetzt nicht die komplette Anleitung durchgelesen, am ersten Blick schaut sie nicht so schlecht aus. falls nicht glaub ich dass der idomiX auf yt auch früher mal ein opvenvpn synology video gepostet hat.

Zugriff gibst du nur deinen normalen User, der keine Adminrechte hat.

03.02.2022, 11:15 Uhr - Editiert von Core*Master, alte Version: hier

Angesichts deiner Ahnungslosigkeit (KEIN Vorwurf) fürchte ich, dass du am Ende des Tages sperrangelweit offen stehen wirst. Portweiterleitungen sind SEHR riskant. Alles hinter dem Port muss gepatched und gehärtet sein. Sonst bist du = dein NAS nach einer Stunde in fremden Händen.

Ich würde daher versuchen, die Lösung über die Bordmittel von Synologie zu erzielen. Für DAU's ist das immer noch deutlich sicherer.

Das macht mir nun Sorgen

Also du meinst, ich sollte lieber über "QuickConnect" extern einsteigen?

JA, das meine ich ERNST!

Aus meiner Sicht musst du entscheiden, ob du Synologie traust oder nicht.

Wenn du das tust, dreh am Router UPNP ab und verlasse dich auf Quickconnect. Dieses baut eine Verbindung vom NAS zu den Syno-Servern auf. Und von dort wird der Traffic dann auf dein Endgerät weitergeleitet.

UPNP ist eines der gefährlichsten Router Features, die es gibt. Es erlaubt JEDEM Endgerät in deinem LAN "Löcher" in deine Firewall zu bohren = Portweiterleitungen einzurichten. Womit dieses Gerät/Anwendung komplett "exposed" ist gegenüber dem Internet.

Tausende Kinderspiele versuchen dies btw am PC, Handy etc - womit du keinerlei Kontrolle hast, was in deinem LAN passiert.

Meine Fotos liegen in der (Onedrive) Cloud, von wo ich sie immer und überall & jederzeit präsentieren/weiterleiten/teilen kann. Ich kenne die Technologie und den Hersteller dahinter recht gut und vertraue ihm daher.

03.02.2022, 21:48 Uhr - Editiert von Paulas_Papa, alte Version: hier

https://de.wikipedia.org/wiki/Microsoft_OneDrive#Zentrale_Durchsuchung_der_Dateien

super Idee....

was hindert einen EDV-affinen Menschen sich diesen Dienst selber zu bauen und auf einem vertrauenswürdigen Server innerhalb .at zu hosten? Ist wahrscheinlich auch billiger in Summe!?

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Mit O365 Family - ohne die Office Lizenzen für PC, Handy & Tablet überhaupt zu bedenken, bekomme ich 6 x 1 TB Storage. Für 50 € pro JAHR!

Geh bitte, zeig mir, wo es das sonst noch gibt.

Und da meine kompletten Daten aus dem Büro auch schon dort liegen und ich täglich mit den Typen von MS = Azure eng zusammenarbeite, nehme ich sie privat halt auch. Drauf gesch...

Ich muss mich nicht ums Backup/Patching etc kümmern.

Und natürlich hat MS Zugriff auf meine Daten. Genau wie Google & Apple. Ich hab meinen Peilsender immer bei mir.

Dort, wo ich NICHT will, dass der Cloudprovider mitliest, lege ich die Daten verschlüsselt in die Cloud. Gibt dafür gute & transparente Lösungen.
https://www.boxcryptor.com/de/onedrive/

03.02.2022, 19:09 Uhr - Editiert von Paulas_Papa, alte Version: hier

Dort, wo ich NICHT will, dass der Cloudprovider mitliest, lege ich die Daten
verschlüsselt in die Cloud. Gibt dafür gute & transparente Lösungen.
https://www.boxcryptor.com/de/onedrive/

Ich habe auch onedrive und cryptomator. Habe dann einige Files verschlüsselt und plötzlich bekam ich von Microsoft zwei Mails: "Anzeichen von Ransomware erkannt" Keine Ahnung was nun weiter passiert? Verunsichert mich auch sehr.

Eine korrekte Information.

https://www.borncity.com/blog/2020/08/17/cloud-datenschutz-na-dann-verschlssele-ich-eben/

Such nach sordon

Ok, das beruhigt. Mal schauen, ob sie nach 30 Tagen bei mir wirklich noch da sind

Wofür benötigst du den externen Zugang?
Warum langt da nicht der einfache Weg über die vorgesehenen boardmittel?

Mir würde niemals einfallen mein Daten - NAS über das I-net zu erreichen wollen. Es gibt cloudlösungen...

Ich verwende an mehreren Orten die quickconnect Lösung für ganz simple Dienste und das funktioniert prima.

naja wenn man zb Synology Drive als Cloudlösung verwendet ist ein externer Zugang schon sehr praktisch

So kurz wie möglich erklärt.

Wenn du eine Fritzbox hast hier den Port 5000 auf dein NAS weiterleiten (dieses hat hoffentlich eine fixe Ip, sonst klappt das nicht so recht mit dem Port weiterleiten). Dort in der Firewall auch die nötigen Ports freigeben, damit das NAS den Zugriff überhaupt zulässt. Die Adresse wäre dann für unverschlüsselten Zugriff http://xxx.synology.me:5000

Für eine verschlüsselte Verbindung müsstest du den Port 5001 auf dein NAS weiterleiten und ebenfalls in der (NAS)Firewall freigeben. Damit erhälst du eine verschlüsselte Verbindung mit https://xxx.synology.me:5001
Nur wird hier der Browser dann meckern das du kein gültiges Zertifikat hast. Dieses müsstest du vorab einmal erstellen, Synology verwendet hier das kostenlose LetsEncrypt.
Dazu gehst du auf Sstemsteuerung -> Sicherheit und hier dann im rechten Fensterbereich oben auf Zertifikat klicken -> auf Button hinzufügen klicken und im neuen Fenster dann auf „neues Zertifikat hinzufügen klicken“ den weiteren Schritten folgen, dann wird ein Zertifikat erstellt und eingerichtet. Wenn du nun eine verschlüsselte Verbindung aufbaust meckert der Browser nun nicht mehr da er ein gültiges Zertifikat angezeigt bekommt.

Möchtest du das ganze etwas sicherer gestalten, dann könntest du einen externen Port abseits der 5001 verwenden und intern auf das Nas und den Port 5001 weiterleiten.
z.B Extern 77777 auf intern 5001 des Nas.
Dann würde der externe Link https://xxx.synology.me:77777 lauten.

----------------------------

zwischen zu früh und zu spät, liegt stets der Augenblick

02.02.2022, 21:04 Uhr - Editiert von teuflisch, alte Version: hier

z.B Extern 77777 auf intern 5001 des Nas.

Wieviele Ports gibts bei dir?

Das war eine fiktive Beispielzahl (Port), mir ist klar das bei etwas über 65000 Schluss ist mit den Ports

Aber ja, in diesem Zahlenbereich hab ich so manchen Port für mich angepasst, damit es nicht beim Standard bleibt

----------------------------

zwischen zu früh und zu spät, liegt stets der Augenblick

stört dich das nicht wenn du extern einen maskierten port also deine "7777" beim router einträgst und intern auf 5001 bleibt. da ja dann beim Link erzeugen wenn du zB wenn eine Datei schicken willst, steht ja im Link der interne Port drin, den du dann händisch immer ausbessern musst.

also da finde ich die unmaskierte variante besser, also gleich den port auf der DS auf "7777" ändern und beim Router dann auch "7777" überall eintragen.

Mir stellts alle Haare auf!

Wenn du Links auf das eigene NAS per Mail verschickst, kannst du gleich eine Newsgroup eröffnen, in der du alle deine offenen Ports und die Technologie dahinter publizierst. Das spart den Hacker wenigstens etwas Arbeit.

jetzt erklär mir bitte wenn ich zB. einem freund auf signal einen moments-link schicke, was da sooooo schlimm ist. welche arbeit erspart sich da der hacker?

Du kannst davon ausgehen, dass dein Mail auf der Strecke mindestens von 5 Stellen gescannt wird, die du nicht kennst.

Unverschlüsselte Mails haben die Sicherheit einer öffentlichen Newsgroup.

Nein.

Ich hab nie etwas von Mails geschrieben. Wir leben im 2022 und ich schicke meinen Freunden keine E-Mails sondern Nachrichten die E2E verschlüsselt sind.

Oder scannen die jetzt auch jede Signal/Whatsapp Nachricht?

Du kannst davon ausgehen, dass dein Mail auf der Strecke mindestens von 5
Stellen gescannt wird, die du nicht kennst.

Das glaube ich nicht, Tim!

Oder scannen die jetzt auch jede Signal/Whatsapp Nachricht?

Noch nicht...

Was weißt du, was ich nicht weiß?

Meine Annahme ist, dass auch diese Services von den diversen NSA‘s dieser Welt unterwandert sind und daher notfalls mitgelesen wird.

So chaotisch und schnell, wie diese Services gewachsen sind, haben die NULL Kontrolle darüber, was sich in ihren Millionen LOC befindet. Und welcher ihrer Mitarbeiter von wem noch zusätzlich fürstlich bezahlt wird.

Was weißt du, was ich nicht weiß?

Ich nicht, aber der arme Snowden Ed. Der ist zumindest von Signal überzeugt.

Leider ist aber nix auszuschließen.

Also wenn ich einen Link (mit)teile, dann hat dieser einen Passwortschutz, eine Limitierte Zugriffsanzahl sowie ein Ablaufdatum und wenn ich möchte benötigst du noch ein Konto auf dem NAS um überhaupt Zugriffsberechtigt zu sein. Daneben gibt es noch Geoblocking, ebenso wie ein blocken der Ip-Adresse bei zuviel falschen Dateneingaben. Des weiteren passt hier noch mein Router auf wer was wie wann versucht und blockt bestenfalls ebenso, hinter diesem läuft dann noch adGuard auf einem eigenen Gerät das ebenfalls nach persönlichen Filterlisten prüft und filtert. Eins ist mir klar, einen 100% Schutz gibt es nicht, aber man kann versuchen den Zugang ins www bestmöglich abzusichern. Der Link selbst ist auf den möglichen Inhalt bezogen nichtssagend.

----------------------------

zwischen zu früh und zu spät, liegt stets der Augenblick

Hi,

Das wäre die optisch sauberste Lösung beide Ports abändern.
----------------------------

zwischen zu früh und zu spät, liegt stets der Augenblick

Du machst damit dein NAS (oder wenn falsch konfiguriert irgendein anderes Gerät bei dir) aus der ganzen Welt erreichbar. Darauf liegen deine Dokumente und Fotos. Finde den Fehler.

Synology-NAS bei Konsumenten zuhause sind in der Vergangenheit bereits mehrfach erfolgreich angegriffen worden, erst letzten Sommer haben manche User alle gespeicherten Dateien verloren, weil ein Cryptolocker-Virus das Gerät übernommen hat: https://www.bleepingcomputer.com/news/security/synology-warns-of-malware-infecting-nas-devices-with-ransomware/

Auch ist möglich, dass unberechtigte Dritte Daten runterkopieren.

>Firewall ebenso. Firewall im UPC Router aktiviert.

Die Firewall ist aber rudimentär und für die Portweiterleitung vom NAS außer Kraft gesetzt.

Was mir dazu noch einfällt:

- Das NAS sollte niemals direkt aus dem Internet erreichbar sein. D.h. für den Remotezugang hat man einen eigenen VPN-Server bzw. Gateway, manche Router können das auch sicherheitstechnisch einwandfrei, aber dazu gehört das Billig-Router-Klump von Magenta nicht.

- Sämtliche Sachen müssen regelmäßig gepatcht werden, und du musst auch irgendwo erfahren falls es wieder mal einen großen Angriff oder eine Sicherheitslücke gibt. Es kommen dann von den Herstellern manchmal so tolle Empfehlungen wie: Wir können das jetzt nicht fixen, bitte Gerät vom Netzwerk trennen (zuletzt bei irgendwelchen NAS von WD). Das bekommt dann der Verbraucher oft erst gar nicht mit, das Gerät wird einmal gekauft und eingerichtet und das wars.

- Selbst wenn man die sicherste Hard- und Software hat, muss das noch kompetent eingerichtet werden. Man kann das auch unabsichtlich so konfigurieren, dass die Sicherheit von vornherein ausgehebelt ist.

- Nächste Stolperfalle IPv6, das ist bei Magenta manchmal schon aktiviert, da gibt es Stolperfallen die erfahrene Admins oft nicht kennen, weil IPv6 noch nicht weit verbreitet ist. Auch das hat wieder einen Einfluss auf die Erreichbarkeit aus dem Internet, und damit auf die Sicherheit.

In anderen Worten, meiner Meinung nach kannst du dir keinen vertrauenswürdigen sicheren Zugang von extern einrichten. Die meisten User richten das nach dem "wird scho nix sein"-Motto ein.

Dann war es für mich als Normal-User ein Fehlkauf? Aber dann darf man eigentlich garnicht mehr ins Internet. Jede Cloud ist doch ebenso "hackbar" bzw. liegen die Daten auf irgendeinem Server einer Firma (Apple, Microsoft, Google,...) die genauso gut missbraucht werden können.

Ich denke, dass heute eh schon jeder Mensch ein gläserner Akt ist und jeder klick im Internet ist ein Risiko. Aber das ist ja wieder ein anderes Thema.

Was soll ich nun mit meiner Synology machen? Nur als Home-Server verwenden? Wie riecht ich mir diesen ein? Einfach externen Zugriff verweigern und über die IP-Adresse der Nas einsteigen?

Das Cloud Business ist ein Milliardenmarkt! Das letzte, was die Cloud Provider wollen ist, dass ihnen Daten unkontrolliert abhanden kommen. Das würde ihr Geschäftsmodell gefährden. Amazon macht mehr Kohle mit AWS als mit dem Rest der Firma. Und Microsoft ebenso. Daher haben sie auch wenig Interesse an den Bestrebungen der diversen Geheimdienste.

Die besten Security Leute der Welt arbeiten bei diesen Firmen. Wenn du die Cloud so verwendest, wie die Provider es dir empfehlen, hast du den höchstmöglichen Securitylevel. Alles, was du dagegen zu Hause zusammenbringst, ist lächerlich.

Hättest du früher gefragt, hätte ich dir gesagt, dass ein NAS heutzutage für einen Privatanwender ein Unsinn ist. Außer er hat galaktische Datenmengen (Videos) im täglich schreibenden Zugriff. Für alles andere ist Cloud und Internet der einfachere, sichere und zukunftsträchtiger Weg.

Und richtig, für die Data Privacy musst du auch dann noch selbst sorgen. Verschlüsseln, verschlüsseln, verschlüsseln.

Ach auch hier gibt es Sicherheitslücken…
https://www.netzwoche.ch/news/2022-01-18/sicherheitsluecken-in-aws-entdeckt

https://www.heise.de/news/Azure-Active-Directory-Sicherheitsluecke-entbloesst-private-Schluessel-6272248.html

Kurz Google befragt und schon Ergebnisse gelistet.
----------------------------

zwischen zu früh und zu spät, liegt stets der Augenblick

Ich behaupte nicht, dass Clouds fehlerlos sind. Ich arbeite mit den beiden Großen jeden Tag auf tiefster technischer Ebene zusammen. Ich könnte dir grandiose Geschichten erzählen. Die kochen mit Wasser, keine Frage.

Aber ich garantiere dir, dass dein „wasserdichtes“ Setup noch deutlich mehr Probleme hat. Nur gibt es zu wenige User und Interesse, das herauszufinden und offenzulegen.

Btw verwenden wir auch ORCA, um unsere Probleme = Vulnerabilities aufzufinden. Btw auch eine Cloud Lösung - und eine SEHR geile! Wäre spannend, was die bei dir alles finden würde!

04.02.2022, 00:40 Uhr - Editiert von Paulas_Papa, alte Version: hier

Was ist ORCA?

Danke, Gruss,
j.

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

https://orca.security/

Als professioneller Serviceprovider musst du aktives vulnerability management betreiben. Du musst alle bekannten Security Löcher suchen und zeitnahe stopfen. Egal ob im Rechenzentrum oder in der Cloud.

Und ORCA ist ein Scanner, der „alle“ bekannten Anwendungen und Konfigurationen kennt und prüft, ob diese sicher und up to date sind. Er weiß auch, wie die diversen Plattformen „gehärtet“ sein sollen. Es gibts dafür dutzende internationale Standards.

Als Ergebnis bekommst du eine priorisierte Liste von potentiellen Schwachstellen, die du dann in mühsamer Kleinarbeit beseitigst. Und mit jeder Release des jeweiligen Herstellers wird die Liste wieder länger und du beginnst von vorne…

Wenn du so eine Scanner auf eine durchschnittliche KMU losläßt, wird der vermutlich 500 kritische Findings liefern. Wenn ich 500 hätte, wäre ich beim AMS.

04.02.2022, 00:38 Uhr - Editiert von Paulas_Papa, alte Version: hier

Danke fuer die ausfuehrliche Erklaerung.
Gruss,
j.

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Ich hab nichts von wasserdicht geschrieben, sondern mit meinen technischen Möglichkeiten bestmöglich. Ich denke nicht das es für jemand wirklich interessant wäre, da es sich großteils nur um Fotos handelt, so zwischen 100.000 - 150.000. SystemBackups der PC, sollten sie mal nicht mehr laufen. Sowie Musik und Videothek, da alle Medien DVD, BlueRay und CD digital abgelegt wurden. Denke nicht das es für jemand spannend wäre. Das NAS ist also ein zentraler Datenspeicher und Medienzentrale für mich, mit zusätzlichen Sicherheitsbackups auf externen Festplatten.
----------------------------

zwischen zu früh und zu spät, liegt stets der Augenblick

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Eben, deine Daten sind vollkommen uninteressant. Genau der Schrott liegt billiger und besser in der Cloud. Und wird von dort gestreamt, wohin auch immer.

Die komplette Musik und alle Filme in meinem Haus, kommen aus diversen Clouds. Auf den CD, DVD und Bluerays liegt der Staub der Jahrzehnte. Braucht und will keine Sau.

Eben, deine Daten sind vollkommen uninteressant. Genau der Schrott liegt
billiger und besser in der Cloud. Und wird von dort gestreamt, wohin auch immer.

Genau, in MEINER persönlichen Cloud und von dort wird im Bedarfsfall gestreamt.

----------------------------

zwischen zu früh und zu spät, liegt stets der Augenblick

Deine „persönliche“ Cloud wird auch von einem Provider betrieben und ist daher potentiell angreifbar.

Meine persönliche Cloud betreibe ich bei mir zu Hause auf meinem Gerät

Der einzige Provider den ich habe ist mein Internetanbieter. Ach und dann noch mein Hostingprovider für meine Webseite, die ist dann aber in der Cloud

----------------------------

zwischen zu früh und zu spät, liegt stets der Augenblick

Bei geeigneter Qualifikation durchaus OK. Die ist im vorliegenden Fall aber sicher nicht vorhanden.

Wenn es danach ginge, wäre niemand Qualifiziert genüg, da kein System 100% Safe ist, auch deine Clouds nicht, keine einzige. Ich für meinen Teil bin zufrieden mit "meiner" Cloud zu Hause. Wie sagt man so schön, aus Fehlern lernt man. Bis zum heutigen Tag gab es viele Versuche (höchstwahrscheinlich keine professionelle Hacker) auf NAS/Server zu kommen bzw die eigenen PCs, die (zum Glück) nicht durchkamen. Liegt wohl auch an den persönlichen Einstellungen für NAS, Server, PC, Smartphone und den weitgehend eingeschränkten Rechten, sowie Firewall und weiteren Zugriffsfiltern via zusätzlicher Hardware. Und natürlich die Sensibilisierung der Menschen hinter dem Bildschirm, da kann man schon vieles verhindern. Für mich reicht das aus, das war mein Ziel, ich brauch keinen Wettbewerb wer ist hier bessere.

----------------------------

zwischen zu früh und zu spät, liegt stets der Augenblick

genau das ist es ja. Keinen Hacker/Kriminellen interessieren die Daten die bei einem durchschnittlichen Privatanwender daheim liegen.
Was allerdings interessant ist, sind Zahlungen um verschlüsselte Daten wieder zugänglich zu machen.

Viele vergessen halt, dass ein Dateisystemfehler, verschlüsselte Daten etc. auch zwischen 2 Festplatten (RAID1) synchronisiert werden - also dann auf beiden Festplatten nicht mehr zu gebrauchen sind. Abhilfe schafft nur das weitere Backup in ein zusätzliches System (eben zB. einen Cloud-Speicher der "Großen"). In meinem erweiterten Bekanntenkreis, inkl. einiger KMUs/EPUs, kann ich diejenigen, die das tatsächlich machen aber an einer Hand abzählen. Mit einem NAS ist ja eh schon alles gesichert, warum dann noch ein paar € im Monat zahlen um noch mal alles zu sichern?

Erst vor kurzem gabs auch bei QNAP wieder eine schwere Sicherheitslücke die tausende Anwender eiskalt erwischt hat, das komplette System verschlüsselt hat und ~1.000€ in BTC gefordert hat um (möglicherweise?) den Key zum Entschlüsseln zu übermitteln:
https://www.heise.de/news/Jetzt-handeln-Erpressungstrojaner-DeadBolt-hat-es-auf-Qnap-NAS-abgesehen-6340174.html
Mein letzter Stand ist dass das VPN-Service von QNAP bzw. Wireguard auf QNAP (?) evtl. ausgenutzt wurde, das wäre natürlich besonders pikant, weil auch die etwas erfahreneren Nutzer davon betroffen sind, die sich denken VPN am NAS aktivieren und ich bin sicher.

Das zeigt sehr schön dass - wenn VPN - dieser auf einem separaten System laufen sollte, weil angepasste Herstellerpakete im Zweifel eher mehr als weniger Lücken haben.

Und ja, es gibt div. Möglichkeiten das Eindringen daheim zu erschweren - aber das heißt auch entsprechende Hardware zu kaufen, div. Pakete zu kennen/finden, installieren, aktuell zu halten etc... Ziemlich viel Aufwand wenn man's richtig macht. Würde mich interessieren ob sich das irgendjemand, der sich in der Materie dementsprechend auskennt, tatsächlich selbst macht.

Die für mich interessanteste Variante wäre evtl. eine "Cloud-Firewall" wie die WAF von AWS mit CloudFront vor das NAS zu setzen - ich denke das ist der minimale Aufwand mit der maximalen Security die man für daheim erreichen kann; sofern das NAS unbedingt öffentlich erreichbar sein muss. Für mich war das aber im Endeffekt auch zu viel Aufwand, drum bleib ich bei meiner VPN-Lösung.

Was allerdings interessant ist, sind Zahlungen um verschlüsselte Daten wieder
zugänglich zu machen.

Genau darum gibt es die Möglichkeit seine wichtigsten Daten ausserhalb eines NAS bzw. privaten Servers nochmals zu Sichern, um genau dafür gerüstet zu sein. Und genau das mache ich bei mir so, die für mich wichtigsten Daten auf einer externen Festplatte sichern und außerhalb der Wohnadresse lagern, sollte mal was passieren wie Wasser-, Feuerschaden, Trojaner oder einfach nur ein unerwartetes Festplattensterben.

Und ja, es gibt div. Möglichkeiten das Eindringen daheim zu erschweren - aber
das heißt auch entsprechende Hardware zu kaufen, div. Pakete zu kennen/finden,
installieren, aktuell zu halten etc... Ziemlich viel Aufwand wenn man's
richtig macht. Würde mich interessieren ob sich das irgendjemand, der sich in
der Materie dementsprechend auskennt, tatsächlich selbst macht.

Genau das versuche ich, natürlich nur im kleinen, da ich kein großes Unternehmen bin noch ein interessantes Ziel.
----------------------------

zwischen zu früh und zu spät, liegt stets der Augenblick

Ich denke es ist trotzdem wichtig, besonders hier - wo jemand mit weniger technischem Verständnis gefragt hat - auf genau diese Risiken hinzuweisen.

Ich hab den Thread auch als Anlass genommen mich noch mal etwas genauer zu informieren, ich denke im Endeffekt wirds bei mir auf einen Raspberry Pi hinauslaufen (wenn die verrückten Preise sich wieder normalisiert haben), der als Reverse Proxy im Netz steht um den Traffic LAN-intern zu verteilen. Externe Zugriffe dann mit mit fail2ban und Geolocation-Blocking filtern und evtl. noch einen openVPN Endpunkt anbieten um das dem Router abzunehmen.
Davor eine CloudFront Distribution für Layer3/4 DDoS Schutz und einen custom http header ohne den man von außen abgelehnt wird.

Ist aber eher eine Spielerei, ob das dann tatsächlich ein Dauerläufer wird muss ich erst austesten - wenn man nur mehr Zeit für solche Experimente hätte

Suricata würd ich mir auch gern mal ansehen, da bin ich über folgenden Guide gestolpert (allerdings noch nicht durchgelesen): https://www.reddit.com/r/raspberry_pi/comments/np1a8f/building_my_home_intrusion_detection_system/

Daweil is bei mir Zugriff nur per VPN möglich, aber das is halt so unelegant wenn man Freunden Zugriff auf Plex geben möchte

Eigentlich krass wieviel Zeit und Hirnschmalz man für die Sicherheit in seinem zu Hause investiert, um so gut wie möglich nicht durch fremde gehackt wird. Auf der einen Seite sicherlich interessant was es mittlerweile alles an Hard- bzw. Software gibt. Andersrum zeigt es wie schnelllebig die Zeit in der IT ist, heute noch State of de Art morgen schon wieder veraltet, da es was neues besseres/sicheres gibt.

----------------------------

zwischen zu früh und zu spät, liegt stets der Augenblick

Eigentlich krass wieviel Zeit und Hirnschmalz man für die Sicherheit in seinem
zu Hause investiert

Genau das ist es. Und bei den Cloud Providern sitzen hunderte, die GENAU dafür sogar noch bezahlt werden.

Daher Daten in die Cloud, und alles dicht machen am privaten Router!

Und trotz der hunderten Mitarbeiter gibt es nach wie vor die Möglichkeit das es Sicherheitslücken gibt. Und während es sich bei mir nur um eine Person handelt die man angreifen würde ist es bei der Cloud doch so, wenn es eine schwerwiegende Lücke ist, man hier dann unzählige Kundenkonten angreifen kann. Hier lohnt es sich dann wohl eher.

----------------------------

zwischen zu früh und zu spät, liegt stets der Augenblick

Es gibt weltweit Millionen privater Devices, Server und Clients, die unbemerkt in fremden Händen sind. Deine Theorie hatscht.

Das sind dann meist ziemlich unbedarfte Nutzer, denen zumeist die Sicherheit nicht wichtig ist bzw. Ihre Daten. Hier ist dann das aufheulen groß, wenn der PC plötzlich durch einen wie du schreibst z.b Verschlüsselungstrojaner unbrauchbar sind, oder einfach ein simpler Virus das System lahmlegt. Ich kenne genügend Leute in meinem Umfeld denen so etwas passiert ist. Im familiären Umfeld habe ich die letzten 30 Jahre genügend PC retten dürfen oder aber die Hard- und Software zusammenstellen und bauen und in Betrieb nehmen. Und nein ich verdiene mein Geld nicht Hard- oder Software.
----------------------------

zwischen zu früh und zu spät, liegt stets der Augenblick

Ich arbeite mit den beiden Großen jeden Tag auf tiefster technischer Ebene
zusammen.

Nicht in Panik verfallen. Zeit nehmen um das NAS gut zu konfigurieren und abzusichern. Ich denke Hacker haben weniger Interesse an einem privaten NAS als an Cloudanbieter wo man viel mehr Daten abgreifen kann. Das NAS lässt sich schon ganz gut mit Boardmittel sichern. Wichtig ist stets ein Backup der wichtigsten Daten auf einem weiteren Datenträger zu haben, abseits des NAS, sollte z.b sie Festplatte kaputt gehen oder es tatsächlich mal ein Virus oder Verschlüsselungstrojaner auf das NAS schaffen und deine Daten zerstören oder verschlüsseln.
----------------------------

zwischen zu früh und zu spät, liegt stets der Augenblick

>liegen die Daten auf irgendeinem Server einer Firma (Apple, Microsoft, Google,...) die genauso gut missbraucht werden können.

Also wenn du deine Daten aufs Onedrive, oder in die iCloud oder zum Google Drive legst, dann sind die sicher. Wir verwenden Onedrive im Unternehmen und speichern sensible Firmendaten auf Microsofts Servern.

Dort ist nämlich mehr oder weniger garantiert, dass bei Bekanntwerden von Schwachstellen sofort reagiert wird.

Das einzige was du da wieder hast sind die Anbieter selbst, Google scannt momentan die eigenen Daten der User auf Copyright-geschützte Inhalte und löscht die einfach. Apple will sowas auch machen.

>Dann war es für mich als Normal-User ein Fehlkauf?

Man darf halt der Werbung nicht alles glauben. Das Internet Of Things führt dazu, dass entweder von Anfang an oder spätestens nach ein paar Jahren (wenn der Support ausläuft) von Überwachungskamera über NAS bis zur Waschmaschine (ja, es gab angreifbare Waschmaschinen mit Internetverbindung...) viel Zeugs ungesichert im Internet hängt und dort wird das prompt ausgenutzt. Das c't-Magazin hat in den letzten Jahren ungesichert im Internet hängende Kirchenglocken (werden computergesteuert geläutet), Heizungen usw usf gefunden...

Es gibt einen Router von Google, der vor kurzem 10 Jahre oder so alt wurde. Google hat gesagt, wir machen alle noch in Verwendung befindlichen Router jetzt aus der Ferne unbrauchbar, zum Briefbeschwerer, weil wir den Support nach der langen Zeit einstellen und nur so verhindern können, dass der Router bald Teil eines Botnetzes wird.

Ein Fehlkauf ist das NAS nicht, wenn du es für den Haupteinsatzzweck brauchen kannst, d.h. du speicherst zentral die Daten dort ab und kannst dann von verschiedenen Computern aus gleichzeitig drauf zugreifen. Außerdem kannst du doch noch auf Quickconnect zurückgreifen? Ich persönlich kenn das nicht, aber wenn du da keine Portfreigabe brauchst, ist es zumindest schon deutlich besser.

>Nur als Home-Server verwenden? Wie riecht ich mir diesen ein? Einfach externen Zugriff verweigern und über die IP-Adresse der Nas einsteigen?

Du aktivierst SMB (Samba) am NAS, wenn es nicht sowieso von Haus aus aktiviert ist und verbindest auf deinen Computern das NAS als Netzlaufwerk, mit der IP-Adresse vom NAS. Das musst du ja so oder so machen, sonst kommst du von zuhause doch gar nicht drauf? Und die Portweiterleitung löschst du wieder raus, dann ist das NAS nicht mehr aus aller Welt sichtbar.

Quickconnect und sowas sollte dennoch funktionieren.

>eh schon jeder Mensch ein gläserner Akt ist

Ist aber ein Unterschied ob der Staat deine Daten kennt um dir einen Perso auszustellen oder ob die auf deinem NAS gespeicherten Kopien deines Persos im Ausland landen und für Identitätsdiebstahl verwendet wird. Oder sonstige persönliche Daten die du drauf hast. Oder persönliche Fotos, vielleicht intime die dann auf irgendeiner Webseite landen.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung