ComputerBase Menü
Aktuelles

NextCloud: QNAP NAS außerhalb meines Heimnetzwerkes zugreifbar machen?

B

bandchef

Lt. Commander
🎅 Nikolaus-Rätsel-Elite
Registriert
Juli 2016
Beiträge
1.689
Hallo liebe Community,

da ich einen Passwortmanager nutze der als Synchronisation die NextCloud unterstützt, habe ich mir gedacht, dass es vielleicht eine gute Idee wäre so etwas sensibles meine persönlichen Passwörter auf meinem eigenen NAS zu speichern, als in irgendeiner Cloud eines riesigen Konzerns.

Nun ist es so, dass ich eine QNAP NAS TS-251A besitze für die es wohl die NextCloud als installierbare Anwendung geben soll.

Aber: Wie bekomme ich mein NAS von außen zugriffbereit? Was muss ich dafür tun?
 
Vllt. wäre es sinnvoll von der anderen Seite das Thema anzugehen.
Wie kommst du sicher von außen in dein Heimnetz ?
Stichwort: VPN
Da dürfte es für QNAP NAS sicherlich fertige VPN Server geben.
 
  • Gefällt mir
Reaktionen: DFFVB, spcqike und Der Lord
Die meisten Nextcloud-Apps sind afaik Community-Apps, sprich sie wurden mal erstellt und werden vielleicht auch gepflegt oder auch nicht mehr oder es wurde pausiert oder, oder oder, sprich es kommen selten zeitnah keine Updates heraus, meine Erfahrung ist aber, dass solche Projekte nach kurzer Zeit eingestellt werden -> Nextcloud selbst installieren. Etwas Linux-Kenntnisse nötig. Generische Anleitungen gibt es bei Nextcloud. Aus eigener Erfahrung kann ich dir also eine Nextcloud per App zu installieren nicht empfehlen. Nicht selten sind da dann Standardpfade umgebogen und man kommt mit den allgemeinen Hilfen von Nextcloud nicht mehr klar, wo was liegt.

Da du nach sowas Fragen muss, rate ich dir das alles per VPN zu machen, da du vermutlich nicht weißt, wie man einen frei erreichbaren Webserver richtig absichert (Firewall, DMZ, HTTP-Servereinstellungen, Trennung vom herkömmlichen LAN) - zudem ist dafür ein NAS zu nutzen nicht wirklich zu empfehlen aus dem Internet erreichbar zu sein.

Welche VPN Lösung du nimmst, liegt bei dir, vielleicht bietet dein Router was (gerade bei Fritzboxen), oder du nutzt die VPN-Lösung des NAS.

Achja, und du solltest keinen DS-Lite Internet Anschluss haben (vorwiegend bei Kabel-Internet genutzt), sonst wird das schwer mit dem Zugriff per VPN von außen.

Um das VPN von außen zu erreichen musst du einen DDNS-Dienst einrichten, ebenfalls am Router oder NAS.

Und nicht vergessen ein Backup - am besten mehrere mit Versionierung und an verschiedenen Standorten davon zu erzeugen - wäre ja doof, wenn das Passwort-File weg wären, oder?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Helge01 und GaborDenes
Falls Du eine Fritzbox hast, wäre eine VPN Lösung darüber am schönsten, da ist die Einrichtung auch nicht so kompliziert. Alternativ ein andersweitiger VPN Endpoint.
Den Netzwerkspeicher als VPN Endpoint und damit von aussen zugreifbar zu machen, rate ich davon ab da gerade diese Fertig NAS immer wieder Sicherheitslücken aufweisen.
 
  • Gefällt mir
Reaktionen: Der Lord
bandchef schrieb:
habe ich mir gedacht, dass es vielleicht eine gute Idee wäre so etwas sensibles meine persönlichen Passwörter auf meinem eigenen NAS zu speichern, als in irgendeiner Cloud eines riesigen Konzerns.
Zum Vergrößern anklicken....
Grundsätzlich keine schlechte Idee. Allerdings gewinnt man erst dann, wenn man das zu Hause selbst sicherer betreiben kann, als man die Verschlüsselung des Passwortsafes einschätzt. Den kann man ja mit einem lokalen Keyfile zusätzlich zum Passwort verschlüsseln, so dass der Safe "eigentlich" nicht realistisch knackbar sein sollte.

Gerade bei NAS Systemen kann es immer zu kritischen Sicherheitslücken kommen, die zu spät gepatched werden. Man muss sich auch selbst drum kümmern.

Wenn, dann besser mit VPN statt das NAS direkt per Portweiterleitung anzubinden.
 
Stand ja vor nem ähnlichen Szenario mit QNAP NAS. Bei mir wurde es ein Raspberry Pi mit Wireguard. Funktioniert 1a!
 
Oder Du machst es so, dass Du Deine Passwörter einfach immer nur im LAN syncen... so mache ich es...
 
Ich verwende Keypass . Die Datenbank liegt bei mir in OneDrive. Zusätzlich zum Password verwende ich noch ein keyfile das als zweiter Faktor dient. d.h. alle Geräte mit denen ich auf die KeePass Datenbank zugreife brauchen dieses KeyFile.
Wenn jemand mein OneDrive hacken sollte fehlt das KeyFile. Für OneDrive ist 2FA eingestellt.
Wenn mein PC/Handy gehackt wird fehlt das relativ komplexe Passwort. Meiner Einschätzung nach würde das Setup auch nicht sicherer wenn ich die db bei mir in nextcloud hätte.

https://keepass.info/help/base/keys.html
 
  • Gefällt mir
Reaktionen: calippo
Naja, selbst wenn einer dein OneDrive hacken sollte, also zugriff auf das Keyfile hat, fehlt auch dort das Passwort.
cloudman schrieb:
Wenn jemand mein OneDrive hacken sollte fehlt das KeyFile.
Zum Vergrößern anklicken....
Selbst ohne Keyfile fehlt noch immer das Passwort, oder hast du bei Onedrive und dem Passwortfile das gleiche Passwort? Nachteil bei Passwortfiles ist, dass es keinen Brute-Force-Schutz gibt. Also muss es lang genug sein.
Edit: @DFFVB Dieser Beitrag bezog sich auf "Selbst ohne Keyfile". Ich wollte diese Gegendarstellung, weil es sich sonst hier schnell so liest, also ob es reicht, dass ein Angreifer das Passwortfile in der Hand hält. Hier scheint der TE ja Angst zu haben, jemand könnte an die Passwortdatei kommen, aber selbst wenn man daran kommt, fehlt einem ja noch das Passwort dafür. Klar mit einer 2FA/MFA (aka Keyfile) ist das auch afaik gegen BF Attacken geschützt, sofern der Angreifer nicht auch das hat.

In meinen Augen schützt so ein Passwortmanager wie Keepass vor dem "versehentlichen" Abgreifen durch Angreiffe. Der gezielte, geplante lanfristige Angriff (z.B. Staatstrojaner) auf die Passwörter mit monatelanger Vorbereitung wird kaum nicht verhindert. Die fangen da dann ja bei Social-Engineering an....
 
Zuletzt bearbeitet:
Ich glaube, so richtig Gedanken darüber hab ich mir noch gar nicht gemacht, mir geht es eher so darum weil da ungenutztes Potential rumsteht und weniger um den Sicherheitsaspekt. Bei mir liegt das File von Enpass in der iCloud und dort habe ich ein extrem komplexes Passwort. Das zu knacken wird nicht funktionieren.

Ob man ein zweites Keyfile zum entsperren in Enpass benutzen könnte, weiß ich gar nicht. Ich glaube aber nicht.
 
Nein - nicht ganz. Die Datenbank ist mit einen Passwort geschützt. Die Datenbank liegt auf OneDrive.
Um die Datenbank zu öffnen wird ein Keyfile UND das Passwort benötigt.
Das Keyfile liegt natürlich nicht in Onedrive sondern auf meinen Geräten lokal.
Und nein natürlich ist das OneDrive Kennwort ein ganz anderes.
Das Keyfile besteht aus 32 Bytes ist also ein zusätzlicher 256 bit key und random.
Das Password wird auch noch über Argon2 key derivation verschleiert. Es besteht aus den Anfangsbuchstaben einen sinnlosen Satzes den ich mir ganz gut merken kann.
Zumindest für meine Bedürfnisse erscheint mir das sicher genug

KeePass ist mit Sicherheit nicht die schönste Software aber open source und auf allen Platformen verfügbar die ich benutze.

Aber das ist jetzt eigentlich offtopic. Mein Punkt ist, dass ich der Verschlüsselung soweit vertraue, dass ich kein Problem habe die Datenbank in die Cloud zu legen.
Absehen davon dürfe es auch nicht so einfach sein OneDrive zu hacken wenn 2FA für den Account aktiv ist

Die größte Gefahr ist meiner Meinung nach ein Virus/Malware die Daten abgreift bevor etwas verschlüsselt ist (keylogger etc...)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: DFFVB
conf_t schrieb:
Nachteil bei Passwortfiles ist, dass es keinen Brute-Force-Schutz gibt.
Zum Vergrößern anklicken....

Ja und nein, ich bin kien pro, hab das aber mal länger recherchiert, und ja man kann Brute forcen aber mit Key file ging es bei mir nicht, und die offiziellen Anleitungen waren alle auch schon einige Jahre alt... nun gibt es ja auch neue Key File formate... also denke schon dass das passen sollte. Ist ja auch so, dass Key File PLUS kompelxes Passwort...
 
cloudman schrieb:
dass ich der Verschlüsselung soweit vertraue
Zum Vergrößern anklicken....
Der Verschlüsselung selbst vertraue ich soweit auch, aber nicht unbedingt jede Software die diese nutzt. Closed Source vertraue ich schon mal gar nicht und Open Source nur bedingt.
 
Zuletzt bearbeitet:
cloudman schrieb:
Meiner Einschätzung nach würde das Setup auch nicht sicherer wenn ich die db bei mir in nextcloud hätte.
Zum Vergrößern anklicken....
Mache ich 1:1 genau so wie du es in deinem Beitrag beschrieben hast, aus den selben Gründen.

Ich würde soweit gehen davon abzuraten sich selber was zu bauen, wenn man nicht viel Erfahrung als IT Admin hat.
 
conf_t schrieb:
Nachteil bei Passwortfiles ist, dass es keinen Brute-Force-Schutz gibt. Also muss es lang genug sein.
Zum Vergrößern anklicken....
Also ich würde das genau umgekehrt formulieren: Vorteil von Keyfiles ist, dass sie lang genug sind/sein können, so dass Brutforce nicht sinnvoll möglich ist. Bei Enpass ist das automatisch erzeugte Keyfile z.B. 64 Stellen lang.
Wenn das geknackt werden kann, dann ist imho die gesamte Kommunikation und Sicherheitsmechanismen im Internet als kompromittiert anzusehen (unter der Annahme, dass der Passwortsafe keine Implementierungsfehler oder Backdoors hat)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz