Das NAS im WorldWideWeb - wie regelt ihr das?

Ja auch per VPN.

Nur per VPN.

Ich weiß, dass "nur" per DYNDNS und Portfreigabe sehr bequem ist.

Aber leider haben sämtliche Hersteller "Fehler" in der Software und auch ein Portwechsel ändert nichts dran.

Es gibt ausreichend Portscanner, die nicht nur auf Port 80 / 443 schauen. Und dann ist meistens auch nicht der Port das Einfalltor.

Zitat von BSI - Bundesamt für Sicherheit in der Informationstechnik

Generell empfiehlt das BSI, mit Portfreigaben äußerst sparsam umzugehen. Geben Sie einen Port nur dann frei, wenn Sie die technischen Auswirkungen tatsächlich abschätzen können. Ziehen Sie im Zweifel lieber einen fachlich beschlagenen Freund oder Bekannten zu Rate oder wenden Sie sich gegebenenfalls an einen Dienstleister. Speziell beim Einsatz von NAS-Webservern und ähnlichen Anwendungen ist es das Beste, auf riskante Port-Freigaben komplett zu verzichten. Dazu können Sie entweder ein VPN-fähiges NAS-Gerät nutzen oder ein VPN auf Ihrem Heimnetz-Router einrichten. Weil dabei alle Zugriffe aus dem nicht vertrauenswürdigen Internet über verschlüsselte VPN-Verbindungen erfolgen, bleibt Ihr Netzwerk vor kriminellen Fremdzugriffen aus dem Internet geschützt.

Es gibt eine recht bekannte / berüchtigte Suchmaschine. Da hab ich gerade einfach mal nach QNAP & Synology gesucht.

Final kann ich nur sagen:

- hoffentlich ist ein Backup (getrennt / offline) vorhanden

- hoffentlich sind es keine wichtigen Daten

- viel Glück....

Zitat von awmst4

Ich halte VPN per se nicht für sicherer,

Ahja - von was für einer Art VPN sprichst Du jetzt konkret?

Also VPN ist immer so sicher wie man es ausgestaltet. Ein Zugriff mit einfachen Passwörtern ist nicht wirklich besser. Bei Zertifikaten sieht die Sache schon anders aus. Die Geräte einfach ins Netz hängen hat aber nun einmal keine Sicherheit.

Bestes Beispiel der Exchange Angriff im Frühjahr letzten Jahres. Da kam der Patch 4 Stunden nach erfolgtem Angriff. Ein Reverse Proxy hat und hätte hier auch nicht geschützt da der Angriff über gültige urls erfolgte.

Bei VPN kann man sich auch VPN on Demand einrichten. Da definiert man welche Anwendungen oder URL durchs VPN gehen sollen und bei Bedarf wird die Verbindung aufgebaut. Das funktioniert zumindest bei Apple ganz gut. Bei Android hab ich das noch nicht probiert.

Zitat

Ich halte VPN per se nicht für sicherer, viele Firmen machen ja auch hier eine zweistufige Authentifizierung (VPN und Citrix) bevor man ins interne Netz kommt, was zeigt, das diese ebenfalls nicht allein auf VPN vertrauen

Das missverstehst du. Die Firmen vertrauen der Sicherheit von Citrix nicht und schützen diesen zusätzlich per VPN.

Zitat von awmst4

Hier wird ja nur von VPN gesprochen. Das kann auch PPTP sein, L2TP ist bei Android mit Version 12 raus geflogen.

Wer ein VPN Client nutzt, muss die Integrität des Clients sicher stellen. Das werden die wenigsten bei Smartphones sicherstellen können.

Ok, also sprichts Du von Einwahl-/Road-Warrior-VPN - damit bin ich dann fast bei Dir. Allerdings trifft dies dann auch nur für die "Consumer"-Varianten zu, professionelle VPN-Firewall Lösungen bieten gleich passende Einwahlclients an. Hier wird nicht nur der Tunnel, sondern auch die Benutzerauthentifizierung von/in der FW geregelt, dies per se als unsicher zu bezeichnen, ist sehr gewagt.

Zitat von awmst4

Gerät einfach ins Netz hängen = ohne Verschlüsselung und ohne Passwort ja, ist unsicher

Bei einem VPN ist dein Client im Netzwerk, die wenigsten hier werden die Integrität aller Clients sicherstellen können, insbesondere, wenn andere Familienmitglieder die Geräte nutzen können und auch Apps installieren können. --> Die meisten Bedrohungen und Angriffe kommen mittlerweile aus dem inneren des Netzes!

Der Exchange Angriff war ein Problem, das viele Admins zu faul waren, die Updates einzuspielen. Exchange nutzt auch nach wie vor nicht die aktuellen Sicherheitsstandards (TLS 1.2 anstatt 1.3).

Du scheinst dir aber sehr sicher zu sein, das dein VPN eine ZERO DAY Lücke nicht treffen wird, und das du auch nachts 30 min nach dem ersten Angriff einen evtl. vorhanden Patch sofort einspielst. <-- Das meine ich mit zu viel Zuversicht in VPN Sicherheit.

Und nein, ich missverstehe nicht. Die meisten im Büro arbeiten auf dem normalen Desktop. Im "Mobilen Arbeiten" reicht der VPN aber nicht aus, um mit dem Desktop zu Arbeiten. Es wird zusätzlich per Citrix ein Desktop zwischengeschaltet, damit man auf Laufwerksfreigaben kommt.

In meinem Konstrukt gehe ich davon aus, das alle Clients böse sind und für jeden dienst einzeln sich legitimieren müssen, nach den aktuellsten Standards. Mit einem VPN würde ich davon ausgehen, das der Client vertrauenswürdig wäre und ich alle Ressourcen im Netz zur Verfügung stelle.

Alles anzeigen

Das Problem beim Exchange konnte man als Admin nicht lösen da der Patch nach der ersten Angriffswelle kam. Egal. Ist Off-topic.

Grundsätzlich ären wir bei dem von dir skizzierten Fall aber beim Zero Trust networking und dann vertraut man auch den PCs im Netz nicht.

Aber da die Frage um einen Zugriff nach zu Hause ging würde ein VPN mit Zertifikaten statt Kennwörtern schon reichen. So mache ich das zu Hause. Denn letzten Endes sind die Angehörigen zu Hause ja dann auch im Netz per WLAN.

Wenn du dein Netz zu Hause noch separierst mit unterschiedlichen zugriffen für die Clients kannst du dies per VPN ja auch machen.

Der TE spricht von Portfreigabe ohne irgendwas...

Und da ist ein "Consumer-VPN" auf jeden Fall besser...

Rest kommt dann je nach Ausstattung / Wissen / Knoff-Hoff...

Sowas wie "auf jeden Fall besser" gibt es natürlich nicht. Es sind immer ALLE Umstände zu beachten. Eine Bewertung kann man IMMER nur dann machen, wenn alle Faktoren bekannt sind. Ein VPN kann natürlich genauso unsicher sein, wie eine direkte Portfreigabe, wenn die Umstände entsprechend sind.

Das ist genauso gültig, wie das eine Portfreigabe per se erstmal nichts schlechtes ist, WENN man entsprechende Maßnahmen trifft und weiß, was man tut. Und darum ging es ja hier: Wie kann ich mich so weit es geht absichern, wenn ich einen Port freigeben möchte oder muss. Da gibt es Möglichkeiten, die man individuell abstimmen sollte und gar muss. Am Ende gibt es, bei Verwendung des Internets (aber selbst ohne) keine 100%ige Sicherheit. Nur das ist wirklich klar.

Aber bei der Fragestellung des TE inkl der Aussage, dass er bei der Portfreigabe / DYNDNS wegen dem „WAF“ bleibt und eigentlich „nur mal so fragt“ sehe ich die Aussage, dass Portfreigabe per se nichts schlechtes ist als sehr gefährlich an.

Vermutlich wissen 7-8 von den hier geschriebenen was und wie es gemeint ist.

Und auch, wie eine Absicherung aussehen kann.

Für den Rest liest sich das nach Freifahrtschein.

Daher bleibe ich bei meiner (pauschalierten) Aussage:

Keine Portfreigabe aufs NAS => nutzt VPN

Zitat von kleinp

Keine Portfreigabe aufs NAS => nutzt VPN

Das wäre die sicherste Variante also auch die zu bevorzugende wenn man keine Ahnung hat. Ansonst gibt es natürlich Möglichkeiten den Zugriff zu gestalten über Portfreigaben.

Zitat von Sternmiere

Da bei mir leider aktuell auf meinem CloudKey-Gen2 Wireguard noch nicht so einfach zu installieren ist wie auf den neueren Kisten, nutze ich bei mir DynDNS mit meinem pers. Zugang. Zusätzlich zum Username/Passwort ist auf jedem Benutzerkonto auch noch 2FA installiert.

Du wirst auch mit neueren Controllern oder Updates für den CloudKey - genauso wie ich - nicht in der Genuss einer Lösung von Ubiquiti kommen, da das USG nach aktueller Sachlage kein neues OS (Version 3.x) bekommen wird. Da wirst auch Du Dir einen anderen Weg suchen müssen. Ich habe meinen HIER gefunden, muss das aber auch noch etwas ausschmücken.

---

Update: auf einem USG-3 ist es nun schon Reboot-fest iTweek .

Zitat von awmst4

Wenn man keine Ahnung hat, nutzt man Quickconnect und macht keine Portfreigaben!

Aha, und wie macht das Quickconnect? So lange, wie wir bei TCP/IP bleiben, braucht es Ports, egal wer diese auch immer händelt. Und was Deine VPN-Allergie betrifft, jegliches VPN ist vor Angriffen von der Seite sicher, solange sich nicht gerade die NSA damit befasst. Das Problem sitzt an den Enden, niemand wird Zeit und Rechenleistung investieren, um Ziele mit solch geringem Wert, wie ein NAS mit der privaten Pornsammlung zu knacken. Daher sollte man mal die Kirche im Dorf lassen und wenn man seinen VPN-Zugang nicht gerade ans schwarze Brett im Supermarkt pinnt, sind als Zugangssicherung auch der Vor- und Nachnahme der Oma mütterlicherseits vollkommenden ausreichend. Jedenfalls ist für den vom TE angefragten Fall jedes VPN, selbst PPTP exponential sicherer, als die Pornkiste öffentlich in I-Net zu stellen. Eine Brute-Force-Attacke ist nämlich auch von einem Scriptkiddie (gibts die überhaupt noch?) schnell gefahren.

Quickconnect benötigt keinen offenen Port nach außen, weil die Verbindung vom NAS initiiert wird und nicht von außen kommt. Das macht es nicht sicher, aber es kommt ohne offene Ports aus.

Zitat von skippa78

Quickconnect benötigt keinen offenen Port nach außen, weil die Verbindung vom NAS initiiert wird und nicht von außen kommt.

Auch dann werden Ports geöffnet (und müssen offen gehalten werden), an sonst wäre ein Traffic von außen durch die Brust ins Auge überhaupt nicht nicht möglich