Xechon schrieb:
Weil ich nicht weiß wie das geht.
Hä? Du weißt nicht wie man eine Firewall konfiguriert und fragst hier nach. Dann wird VPN vorgeschlagen und deine Begründung lautet, dass du nicht weißt wie das geht
?!? Offenbar weißt du
weder wie eine Firewall funktioniert
noch wie ein VPN funktioniert. Das ist also offensichtlich kein Argument
Grundsätzlich ist Firewall nicht gleich Firewall und VPN nicht gleich VPN. Einfach einen PI mit Firewall ins Netzwerk zu hängen bringt erstmal gar nichts, weil der PI das NAS als
gleicherechtigter Netzwerkteilnehmer überhaupt nicht schützen kann, weil der PI den Traffic vom NAS gar nicht sieht, wenn man nicht eine subnetzinterne Routingkrücke einbaut.
Eine (Hardware-/PI-) Firewall sitzt am Übergang zweier Netzwerke. Man müsste das NAS daher konsequenterweise in einem separaten Netzwerk hinter dem PI betreiben, ähnlich wie zB ein Gastnetzwerk, nur dass man das dann als DMZ bezeichnet.
Ob eine Firewall hier das richtige ist, sei mal zu bezweifeln.
Szenario 1: Portweiterleitungen je Service
Ein Angreifer attackiert einen potentiell unsicheren Service über die Portweiterleitung und kapert es. Nun kann der Eindringling vom NAS aus den Rest des Netzwerks infiltrieren. In diesem Fall würde man eine Firewall
zwischen das NAS und das Hauptnetzwerk setzen und wenn ein Angreifer das NAS kapert, bleibt er in der DMZ eingesperrt und das Hauptnetzwerk sicher.
Szenario 2:
Statt über direkte, beliebig unsichere Portweiterleitungen auf alle mögliches Services am NAS geht man ausschließlich über eine einzelne Weiterleitung für das VPN. VPN ist aber explizit dafür gebaut, voll verschlüsselt. Das VPN ist dann wie ein Netzwerkkabel für unterwegs und wenn korrekt eingerichtet, bedient man NAS und Co so als säße man zu Hause.
Eingerichtet werden muss beides. Der Aufwand ist vergleichbar bzw. beim VPN, insbesondere wenn es direkt auf dem NAS läuft, eher geringer, weil für eine DMZ muss man wissen wie eine Firewall funktioniert.