Sicherheit NAS/Cloud Synology über UDM-Pro

Es gibt 9 Antworten in diesem Thema, welches 1.464 mal aufgerufen wurde. Der letzte Beitrag () ist von Eckart.

    Moin Moin,


    eine Hilfsorganisation bei der ich mit dabin bin, betreibt eine NAS/Cloud Synology zum Datenaustausch usw..

    Nun verzeichnet die UDM-Pro ca. 80 Threat-Meldungen/Zugriffsversuche aus allen Ländern der Welt.

    Wird immer alles erfolgreich geblockt bisher.


    In Moment ist das NAS/Cloud System noch bei uns mit anderen Geräten im Netzwerk eingebunden.


    Sollte wahrscheinlich lieber in ein eigenständiges VLAN und kann ich dieses weiter schützen, sodass ich trotzdem zugriff über das Internet habe?

    Oder muss damit leben, dass die bekannten Ports ständig abgefragt werden?


    Vielen Dank und Gruß

    Eckart

    Hallo Eckart ,


    NAS und Internet haben wir die Tage erst in einem anderen Threat diskutiert:

    Thema
    Das NAS im WorldWideWeb - wie regelt ihr das?
    Mal ne Rundfrage, da ich seit langem wieder Mal den externen Versuch des Zugriffs auf mein NAS hatte.

    Grundsätzlich soll das NAS extern zugänglich sein. Am Besten simpel wie aktuell mit DynDNS und App oder per Browser.
    Zu Beginn hatte ich schlichtweg den Standard-Admin Account deaktiviert und nach 3 Fehlversuchen nen automatischen Block drin von ein paar Tagen. Da ich aber gestern Abend wieder mehrer Anmeldeversuch hatte (eh nur mit „admin“ also grundsätzlich keine Gefahr), habe ich heut…
    franzbertbua

    Ob Du nun eine FRITZ!Box oder ein Gerät aus dem Hause Sophos oder C.I.S.C.O. vor das NAS hängst: das macht das NAS leider nicht sicherer.

    Zitat von skippa78

    Wenn es möglich ist, auf das NAS nur per VPN zugreifen und keine Portfreigaben verwenden oder zumindest einen Reverse-Proxy verwenden und die Firewall situationsgemäß konfigurieren.

    Dem kann ich sonst nur zustimmen.

    Zitat von skippa78

    Wenn es möglich ist, auf das NAS nur per VPN zugreifen und keine Portfreigaben verwenden oder zumindest einen Reverse-Proxy verwenden und die Firewall situationsgemäß konfigurieren.

    Naja, das macht recht wenig Sinn, wenn das Teil einem größeren und dann noch wechselnden Personenkreis zugängig sein soll, so wie das bei einer Hilfsorganisation der Fall sein wird. Man kann dann nicht erst für jeden einen VPN-Zugang anlegen und dann auch noch darauf vertrauen, dass dieser nicht mißbraucht wird (man wähnt sich ja sicher).


    Jedenfalls bleibt einem dann nichts weiter übrig, als das Teil öffentlich in I-Net zu stellen und mit entsprechender (gern mit Multifaktor) Authentifizierung abzusichern. Auf das Teil drauf gehören dann auch nur und ausschließlich die Daten, welche der Sache dienen und ganz, ganz wichtig, dass Teil selbst hat gefälligst in einer (echten) DMZ zu stehen.


    Auf diese Weise betreibe ich selbst seit meheren Jahren zwei Hosts, welche völlig offen im i-Net stehen und per FQDN für jeden erreichbar sind (sobald man den FQDN kennt), übermäßige, oder gar erfolgreiche Angriffe konnte jedoch ich noch nicht feststellen (da sieht es bei VoIP schlimmer aus). Der Datenabgleich mit den Daten im LAN erfolgt dann firewallgeschützt durch automatische Replikation, die Verwaltung ebenso geschützt mittels RDP. Der Zugang für Dritte (und der denen gewährten Rechte) wird durch den Versand von Freigabelinks geregelt - berechtigte Nutzer haben ein eigenes Konto mit (sieh vor) entsprechender Authentifizierung.

    Guten Abend,


    erst mal allen vielen Dank für eure Antworten! :thumbs_up:


    Der Zugriff soll aus dem Internet möglich sein, bzw. kennen sie es nicht anders.

    Aktuell haben 15 Personen zugriff, die sich darüber austauschen usw..

    Alle sind so flexibel wie ein Amboss. Sollte also so einfach wie möglich sein.


    Zu mir selbst:

    Ich habe bisher nur mein Netzwerk und das, der Hilfsorganisation aufgebaut.

    Komme aus einem anderen Bereich der Elektrotechnik.


    Werde noch mal prüfen, dass die Synology nur Verbindungen aus Deutschland erlaubt, wie in dem verlinken Beitrag geschrieben.


    bic

    Um deinen Vorschlag umzusetzen, fehlen mir wohl die fähigkeiten.

    Würde man dafür eine zusätzliche Firewall (Gerät XY) vor die UDM-Pro setzen und dazwischen das NAS?

    Hast du die dsm ports mal geändert und den Standard Administrator durch einen eigenen Administrator ersetzen, Gruppen und Nutzer anlegen den Rechte zuteilen und Firewall einrichten das wären erst mal zwingend notwendig. Mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Gefällt mir 1
    Zitat von Eckart

    Würde man dafür eine zusätzliche Firewall (Gerät XY) vor die UDM-Pro setzen und dazwischen das NAS?

    Dies wäre die Bastellösung, schöner wäre eine Firewallappliance, welche einen dedizierten DMZ-Port besitzt. Im Prinzip also so:



    Technisch gesehen ist beides das Gleiche.

    Moin Moin,


    vielen Dank für die Antworten!


    Habe die angesprochenen Verbesserungen an der Synology vorgenommen, bzw. Ports müssen noch geändert werden.

    Dann schaue ich mir danach VPN und DMZ an und entscheide dann, wie wir weiter machen.


    Hab vielen Dank :thumbs_up: