Hallo zusammen! Ich wohne in einer WG, in der wir uns einen Internetzugang teilen. Alle Devices sind über Wlan verbunden. Ich würde mir gerne ein NAS (Synology oder so) zulegen, bin mir aber im Moment nicht ganz sicher, wie das beste Setup aussieht. Ich kann das NAS mit Kabel an den Router hängen, das ist aus Performance-Gesichtspunkten auf jeden Fall vorteilhaft. Ich will aber nicht, dass jeder Zugriff auf das NAS hat (dank Passwortschutz easy), im besten Fall ist es auch nicht sichtbar im LAN. Kann man sowas einrichten? Das NAS sollte also keine Ordner einfach so freigeben, DLNA Server anbieten, usw. Welches NAS macht Sinn für sowas? Viele Grüße, Georg
Bei jedem NAS kannst du Sichtbarkeit, Zugriffsrechte, usw einstellen.
Schorsch schrieb: > Ich will aber nicht, dass jeder Zugriff auf das NAS hat (dank > Passwortschutz easy), im besten Fall ist es auch nicht sichtbar im LAN. > Kann man sowas einrichten? Das NAS sollte also keine Ordner einfach so > freigeben, DLNA Server anbieten, usw. Dann wäre es sinnvoll die NAS nicht in DAS WG-Netz zu hängen. Eine NAS hat nun mal Netzwerk Traffic und denn kannst du nur schlecht verbergen. Einige Netzwerk Protokolle deiner NAS sind auch nicht so geeignet für ein quasi öfffentliches Netzwerk. Mit der Security Brille auf der Nase, ist es sinnvoll zwischen dem "Router" und deinen Geräten einen weiteren Router&Firewall zu hängen. Vielleicht auch mit VPN Access damit deine eigenen Geräte die NAS VIA Wlan erreichen. Aber insgesamt ist dass vielleicht auch etwas Oversize, da solltest du deine persönlichen Prioritäten zwischen Sicherheit und Bequemlichkeit abwägen. letztendlich ist die Frage wie sehr misstraust du deinen Mitbewohnern :D
Sowas kann man auch mit V-Lan lösen. Somit steht das NAS nur dem zu verfügung, der Zugriff auf das entsprechende Segment hat. Vorausgesetzt, das Nas und den PC/Notebook kann V-Lan. Dazu einen managed Switch und schon läuft alles auch in einer WG. Es würde bereits ein 'Smart Managed' Switch reichen.
Man kann VLANs auch ohne einen Managed Switch benutzen. Solange der Switch die laengeren VLAN-Frames kann. Ist natürlich dann Security per Obscurity.
Thomas S. schrieb: > und schon läuft alles auch in einer WG. Es gibt genauso viele Gründe für wie gegen ein WG-NAS. Wenn in der Küche das Geschirr schon nicht aufgeräumt wird, wird auch bald dieses NAS ein Opfer von Schlamperei sein? Außerdem sollte man rechtzeitig an ein regelmäßiges Backup denken (was auch Geld kostet für zusätzliche Festplatten).
Häng das NAS ins WG LAN/WLAN, erstell dir einen Benutzer am NAS und nur der kann auf die Netzlaufwerke zu greifen. Vielleicht kann man es noch irgendwie verstecken, ein Gerät mit dem offenen Port wird man aber dennoch im LAN finden. Ich seh da jetzt keinen Grund der dagegen spricht. Alles andere machst du eher zum Selbstzweck.
Wenn ein Nas, oder Sonstwas im gleichen Netzsegment hängt ist es angreifbar. Anders, wenn jeder sein 'eigenes' V-Lan hat.
Thomas S. schrieb: > Wenn ein Nas, oder Sonstwas im gleichen Netzsegment hängt ist es > angreifbar. > > Anders, wenn jeder sein 'eigenes' V-Lan hat. Es schreibt sich immer noch VLAN. Auch sonst ist das Bullshit. Er schrieb, dass alle Geräte per WLAN am Router hängen. Was soll da das VLAN? Zum Router hat er nichts geschrieben. Wenn das ein besseres Gerät - also nicht der übliche Fritzbox-Müll - ist und Multi-SSID kann, dann kann er sich ein eigenes WLAN aufspannen und in der Firewall auf dem Router entsprechende Netze und Regeln einrichten. Allerdings bringt das auch nur mehr Sicherheit, wenn das NAS entweder verschlüsselt oder physisch gesichert ist. Wenn das Ding in der Besenkammer steht und jeder die unverschlüsselte Platten kurz ausbauen kann, hilft alles andere auch nicht mehr.
John Doe schrieb: > Wenn das ein besseres Gerät - also > nicht der übliche Fritzbox-Müll - ist ... würde Schorsch hier nicht fragen, bei dem wäre er vermutlich schon an der Grundeinrichtung gescheitert. > und Multi-SSID kann, dann kann er > sich ein eigenes WLAN aufspannen und in der Firewall auf dem Router > entsprechende Netze und Regeln einrichten. Firewallregeln kann ich auch ohne Multi-SSID, auch im drahtgebundenen LAN kann ich IP-basiert Zugriffe reglementieren. Das bleibt aber ein Katze-Maus-Spielchen, wie hoch man die Sicherheitsstufe ansetzen will.
Thomas S. schrieb: > Wenn ein Nas, oder Sonstwas im gleichen Netzsegment hängt ist es > angreifbar. Argumente eines Dummschwätzers: "Jedes System ist zu hacken". Sowas kommt immer von Leuten die sich nicht mit der Fragestellung beschäftigen. Du nutzt bestimmt auch kein Auto oder Handy mehr, ist ja alles zu hacken. > Anders, wenn jeder sein 'eigenes' V-Lan hat. Das ist natürlich die absolute Sicherheit für alles. Schorsch schrieb: > Ich will aber nicht, dass jeder Zugriff auf das NAS hat (dank > Passwortschutz easy), im besten Fall ist es auch nicht sichtbar im LAN. > Kann man sowas einrichten? Das NAS sollte also keine Ordner einfach so > freigeben, DLNA Server anbieten, usw. > Welches NAS macht Sinn für sowas? Jede NAS macht Sinn wenn du dich mit den Einstellungen beschäftigst. Jeder Hersteller beitet dazu ausreichend Knowlegede-Base-Material an. Wenn du davon ausgehst, dass deine NAS "einfach so" Netzwerkfreigaben preisgibt, hast du was falsch gemacht oder was nicht verstanden. Datenverkehr mitschneiden und das System kompromittieren, solche Aussagen kommen nur von Leuten mit Verfolgungswahn. Das ist alles nicht zielführend. So einfach ist das nicht, wenn du die Grundregeln beachtest.
An alle 'Professoren' und 'Doktoren' der Materie John Doe schrieb: > Es schreibt sich immer noch VLAN. > > Auch sonst ist das Bullshit. > Er schrieb, dass alle Geräte per WLAN am Router hängen. Was soll da das > VLAN? Martin S. schrieb: > Argumente eines Dummschwätzers: "Jedes System ist zu hacken". > > Sowas kommt immer von Leuten die sich nicht mit der Fragestellung > beschäftigen. > > Du nutzt bestimmt auch kein Auto oder Handy mehr, ist ja alles zu > hacken. Wenn Ihr euch mal die Mühe machen würdet, dann wäre hier von Euch weniger BULLLSHIT zu lesen. Und danke.... Die gefundenen Rechdschreibvehler dürft Ihr natürlich behalten. Anbei der Link zum Erfolg: Link:https://www.security-insider.de/netzwerk-traffic-mihilfe-von-vlans-taggen-segmentieren-und-managen-a-98549/
Und was bringen die VLANs, solange jeder physischen Zugriff auf die Geräte hat? Ich vermute kaum, dass NAS, Switch und WiFi-AP in ner WG in einen speziell zugangsgeschützten Bereich befinden. Und ohne Kontrolle des physischen Zugangs ist eigentlich jede klassische Security-Maßnahme nur ein mehr oder weniger freundliches "wäre nett wenn du kein Unsinn machst". (Konkret: dann stöpsel ich halt mein Port in den Port vom OP während der mal nicht da ist, und schon bringen die VLANs genau nix.)
@Johannes F. (doppelgrau) Wenn Du seinen Eingangstread gelesen hast, dann weißt Du, dass er kein High-Security-Szenaria anstrebt. Wenn er bei sich einen Access-Point installiert, der zum einen zum W-Lan und zum Internet geht, zum anderen in seiner Welt, sein Netz mit V-Lan aufzieht, und da sein Nas installiert, was soll bitte dann passieren? Und dann noch die Freigaben im Nas setzt. Und am Switch (und oder Nas) vieleicht mit Mac-Table arbeitet. Ist aber knackbar. Aber zumindest eine Hürde. Die ist gängige Praxis auch bei Ämtern.
Was reitest du auf den VLANs rum, die bringen in dem Szenario genau nix. Und bei den Ämtern hoffe ich mal, das die IT (Server & Switche) da nicht so ungesichert rumsteht wie in ner WG und zusätzlich 802.1X genutzt wird für die Zugangskontrolle. Also konfiguriert man das NAS halbwegs vernünftig (Updates einspielen, sichere Passwörter) und alles darüber hinaus ist wenn man ehrlich ist nur fürs Ego gut was man tolles gemacht hat, bringt aber nix. Weil wenn einer der Mitbewohner an die Daten will, baut er im Zweifel einfach die Platte aus dem NAS aus...
Siehe Link:https://www.qnap.com/de-de/how-to/tutorial/article/wie-verschl%C3%BCssel-ich-daten-auf-einem-qnap-nas/ Wie verschlüssel ich Daten auf einem QNAP NAS? Über AES-Verschlüsselung: Der Advanced Encryption Standard (AES) ist ein von der US-Regierung übernommener Verschlüsselungsstandard. Dieser Standard besteht aus drei Blockverschlüsselungen, AES-128, AES-192 und AES-256. Jedes AES-Verschlüsselungsverfahren hat eine 128-Bit-Blockgröße mit Schlüsselgrößen von jeweils 128, 192 und 256 Bits. Die AES-Verschlüsselungsverfahren wurden umfassend analysiert und werden mittlerweile weltweit eingesetzt. (Quelle: http://en.wikipedia.org/wiki/Advanced_Encryption_Standard) Bevor Sie beginnen Bitte machen Sie sich Folgendes bewusst, bevor Sie mit der Anwendung der Datenverschlüsselungsfunktion des Turbo NAS beginnen. Die Verschlüsselung des QNAP NAS erfolgt auf Volume-Basis. Ein Volume kann ein einzelner Datenträger, eine JBOD-Konfiguration oder eine RAID-Gruppe sein. Sie müssen bei der Erstellung eines Datenträger-Volume am NAS festlegen, ob Ihre Daten verschlüsselt werden sollen oder nicht. Sie können ein Volume nach der Erstellung nicht mehr verschlüsseln, sofern Sie das Datenträger-Volume nicht erneut initialisieren und alle darauf befindlichen Inhalte löschen. And so long Wenn mann will, geht das !
Thomas S. schrieb: > Wenn mann will, geht das ! Hilft aber nicht gegen Angreifer die Mitbewohner sind und physischen Zugang haben. Dann modifizieren die halt die Firmware, dass die beim nächsten Start die Schlüssel mitschneidet oder wenn das NAS schon USB 3.1 hat mit etwas DMA im Speicher den Schlüssel suchen?! Und bevor das Argument kommt mit "keine High-Security Lösung gefordert", sag ich ja, taugliche Passwörter, Sicherheitsupdates und gut in der Realität.
Johannes F. schrieb: > baut er im Zweifel > einfach die Platte aus dem NAS aus... Darum verschlüsselt man auch die Laufwerke. Ich hatte mal meinen NAS für Warungsarbeiten runtergefahren und vergessen, das verschlüsselte Volume zu mounten. Nachts um 3:01 Uhr, wo die Backup-Jobs gemacht werden sollten, hagelte es reihenweise Fehlermeldungen per Mail aufs Handy. Da stand ich im Bett!
@Johannes F. (doppelgrau) Kannst Du etwa einen AES 256 in adäquater Zeit entschlüsseln?
Thomas S. schrieb: > @Johannes F. (doppelgrau) > > Kannst Du etwa einen AES 256 in adäquater Zeit entschlüsseln? Mit dem Passwort, klar. Und an das kommt man ja über DMA oder halt Modifikation der Firmware wenn ich physischen Zugang zu dem Gerät habe.
Johannes F. schrieb: > Und an das kommt man ja über DMA Sind diese Daten im RAM immer am gleichen Fleck? Früher ja, heute???
@ Johannes F. (doppelgrau Wirklich ??? Du bist der Größte !!! Dann ist das AES für den Arsch ? Passwort weiß der Themenmstarter und sonst keiner !
Thomas S. schrieb: > Dann ist das AES für den Arsch ? Wenn man glaubt, dass man mit ein paar Buzzwords x-beliebig viel Sicherheit erkaufen kann: ja. Sowas hilft gegen Spielkinder. Aber gegen die hilft auch ein an sich sicher aufgesetztes System, da brauchst du keinen VLAN-Zirkus aufziehen oder x verschiedene SSIDs im gleichen WLAN-Accesspoint. Das heißt nicht, dass man nicht deshalb das NAS trotzdem verschlüsseln kann und sollte. Wenn du wirklich auch noch netzwerkmäßig physisch sicher sein willst, dann kannst du einiges mehr an Aufwand treiben: abgeschlossener Netzwerkschrank, 802.1x. Nur: braucht man so einen Zirkus im privaten Wohnumfeld tatsächlich? Leute wie du können sich vermutlich nicht vorstellen, dass man einen ordentlich aufgesetzten Server einfach so am Internet betreiben kann, ganz ohne Firewall, VLANs, Security by obscurity etc. pp. Da laufen dann einfach nur genau die Dienste, die man wirklich braucht (die kann man dann eh nicht verfirewallen, und andere Ports, die man verfirewallen müsste sind gar nicht erst offen). Je nach Szenario noch Sicherung gegen Brutforce-Attacken durch künstliche Timeouts, Ersatz von Passwörtern durch Schlüsselpaare wo immer möglich (bspw. keine passwortbasierten ssh-Logins überhaupt erst zulassen, dann können da noch so viele Leute mit ihrem Bruteforce-Käse an die Tür klopfen), und: keep it simple.
Ich bin mir sicher, die Datenstrukturen von dm-crypt & lvm kann man schon relativ gut identifizieren, zumal ja auch der mögliche Adressbereich grob einzugrenzen ist. Und wenn es am Ende noch 10k Kanidaten sind, dauert es halt 15 Minuten. Alternativ den samba-Prozess im RAM patchen, dass der kein AUTH mehr macht, oder bestimmt noch 300 andere Varianten an die ich gerade nicht denke. Am Ende kann man eigentlich immer sagen: physischer Zugang zerstört jedes Konzept. Man kann natürlich versuchen die Hürden hoch zu setzen, aber solange man das System in der Realität praktisch nutzbar halten will... (Klar, eine Kiste drumherum mit 100 Sensoren die Öffnung erkennen und automatisches auslösen einer Termitladung bei jeglicher Andeutung eines Versuchs und bei längeren Stromausfall wäre vermutlich schwer zu knacken, aber auch schwer der Versicherung/Feuerwehr zu erklären, nachdem jemand etwas unsanft einen Kasten Wasser darauf abgestellt hatte.)
Thomas S. schrieb: > Passwort weiß der Themenmstarter und sonst keiner ! Und das wird niemals im RAM des NAS abgelegt oder im Webinterface eingegeben, wo man das Auslesen/Abfangen kann?
Jörg W. schrieb: > Wenn du wirklich auch noch netzwerkmäßig physisch sicher sein willst, > dann kannst du einiges mehr an Aufwand treiben: abgeschlossener > Netzwerkschrank, 802.1x. Ganz vergessen: natürlich kein WLAN.
@Jörg W. (dl8dtl) (Moderator) Deshalb hab ich auch kein 'Speedport' und keine Fritzbox! Und in meinem Router sind auch nur die Ports offen, die ich benötige. Derzeit läuft bei mir auch kein Virenscanner (weil erst neu aufgesetzt). Und bin bislang trotzdem sauber. Achja, mal arbeite ich unter XP, mal mit Win7, mal mit Linux (Open Suse) Mein Router ist ein Lancom.
Thomas S. schrieb: > Achja, mal arbeite ich unter XP, mal mit Win7, mal mit Linux (Open Suse) Jemand der die Security-Regel Nr. 1 missachtet (halte deine Systeme aktuell - mindestens zwei der drei OS sind EOL und bekommen keine Security-Updates mehr) will hier groß was über security-Konzepte erzählen? Bitte entschuldige, dass ich doch etwas schmunzeln muss.
Ich habe sowas auch noch laufen – in VMs ohne Netzwerkzugriff. :) Thomas S. schrieb: > Und in meinem Router sind auch nur die Ports offen, die ich benötige. Genau das meinte ich: ein ordentlich aufgesetztes System braucht sowas nicht. Da ist auf dem Zielsytem nur das offen, was benötigt wird, nicht in irgendeinem Firewall davor. Klar ist es manchmal bequemer, wenn man den Firewall davor als Ruhekissen nehmen kann und sich über die Kisten dahinter nicht so viele Gedanken machen muss, was sie gerade alles offen haben. Aber für einen Server (und ein NAS ist einer) würde ich micht nicht drauf verlassen, sondern den lieber ordentlich administrieren. Wobei der Konjunktiv in meinem Falle gar nicht so angebracht ist, denn tatsächlich adminstriere ich öffentlich sichtbare Server seit Jahrzehnten …
Jörg W. schrieb: > ein ordentlich aufgesetztes System Ein ordentlich aufgesetztes System hat auch regelmäßige Backups. Schorsch schrieb: > Das NAS sollte Das NAS sollte noch vor Auflösung der WG angeschafft und getestet sein. Also los! Erfahrungen sammeln!
Bau ein eigenes Netz auf, dann sieht man nur noch den Traffic der aus dem NAT-Gateway kommt
Thomas S. schrieb: > Deshalb hab ich auch kein 'Speedport' und keine Fritzbox! > > Mein Router ist ein Lancom. Vor DSL musste ich ISDN nutzen, zuerst auf einem PC, der keine Verbindung zum Netzwerk hatte, da hat die Kerio-PFW gute Dienste geleistet. Die ist mit Protokoll und IPs zu konfigurieren, typische Heimwerker waren damit überfordert. Internet per ISDN habe später mit einem Router ins Netzwerk gelassen, Zyxel Prestige mit Beratung durch einen befreundeten Admin. Später gab es einen bintec, auch da war Nachhilfe notwendig. Dann gab es DSL mit Teledumm Speedport, geht garnicht - nach ein paar Monaten kam ein bintec R3000w an die Leitung. WLAN vom Draht getrennt, eine echte DMZ, Routingregeln ... für Privatanwendungen deutlich übertrieben. Letztes Jahr lieferte der neue Anbieter eine Fritzbox mit, die ja quer über alle Zeitungen und Foren als furchtbar toll dargestellt wird. Ich vermisse in dem Ding viele Dinge, die ein 'richtiges' Netzwerk ausmachen - nach knapp zwei Wochen kam sie ins Kramregal, und wieder hängt eine bintec-Schachtel am Rindernet.
Johannes F. schrieb: > Und das wird niemals im RAM des NAS abgelegt oder im Webinterface > eingegeben, wo man das Auslesen/Abfangen kann? In was für einer Systemumgebung bewegst du dich, als das man sowas als real existentes Szenario sieht.... Thomas S. schrieb: > Anbei der Link zum Erfolg: > Link:https://www.security-insider.de/netzwerk-traffic-mihilfe-von-vlans-taggen-segmentieren-und-managen-a-98549/ Jap alles ganz toll und sicher. ( ;) ) Leider immer noch am Thema vorbei von daher ist das eingebrachte schon korrekt. Sicherheit fängt wo anders an. Es geht hier um jemanden der noch nie eine NAS eingerichtet hat und danach fragt ob "Netzwerkfreigaben" einfach so freigegeben werden. Und du kommst mit VLAN.
Privat: garnicht, daher steht mein NAS neben dem Schreibtisch im Schrank. Beruflich: Tauchen regelmäßig personenbezogene Daten auf, und unser Datenschutzbeauftragter würde uns Köpfen, wenn die auf einen Server gespeichert sind der keinen Zugangsschutz hat (bzw. im Fall der Fälle wäre man dann echt geliefert). Aber grundsätzlich verstehe ich nicht, warum die meisten soviel Angst vor dem Hacker aus dem Internet haben, aber den physikalischen Zugang komplett ignorieren. Beim Hack aus dem Internet stelle ich die Regeln auf, ich definiere welche Dienste überhaupt erreichbar sind, welche zusätzlichen Schutzmaßnahmen getroffen werden (z.B. Verzögerungen bei Brute-Force oder temporäre Sperren bei allgemein komischen Verhalten...). Wenn der Angreifer erst einmal physikalisch mit dem System interagieren kann, kann er die Regeln machen, und du musst im Vorfeld sicherstellen, dass er trotzdem verliert ...
Jörg W. schrieb: > Klar ist es manchmal bequemer, wenn man den Firewall davor als > Ruhekissen nehmen kann und sich über die Kisten dahinter nicht so viele > Gedanken machen muss, was sie gerade alles offen haben. Da willst du ja meistens im Intranet mehr offen haben.
Udo S. schrieb: > Jörg W. schrieb: >> Klar ist es manchmal bequemer, wenn man den Firewall davor als >> Ruhekissen nehmen kann und sich über die Kisten dahinter nicht so viele >> Gedanken machen muss, was sie gerade alles offen haben. > > Da willst du ja meistens im Intranet mehr offen haben. Ein ordentlich aufgesetzter Server ist eigensicher. Selbst, wenn ich Dinge nur fürs Intranet benutzen will: der Firewall sollte stets nur eine doppelte Absicherung sein, die angebotenen Dienste müssen selbst sicher genug sein, dass sie auch ohne Firewall nicht kompromittierbar sind. Alles andere artet in Glücksspiel aus.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.