Hey, Leute ich wollte mal fragen wie gefährlich ihr Port Forwarding auf dem Synology NAS seht. Findet ihr es arg gefährlich? Offene Ports zum NAS zu haben oder sagt ihr dass das NAS gut geschützt ist und ohne Passwort man da nicht reinkommt. Ich bin derzeit am überlegen ob ich das so Konfiguriere dass man nur darauf Zugreifen kann wenn man von einer bestimmte Festen iP-Adresse zugreift und alle anderen iPs geblockt werden oder ob doch Port Forwarding reicht und das doch sicher genug ist. Was es einfacher macht auf das NAS zuzugreifen.
Synology NAS Port Forwarding gefährlich?
- Ersteller Jxsua
- Erstellt am
Skudrinka
Admiral
- Registriert
- Sep. 2008
- Beiträge
- 9.237
Guck mal was passieren kann:Jxsua schrieb:
https://www.computerbase.de/forum/t...rn-nach-hacker-angriff.2189628/#post-29261260
Christian1297
Rear Admiral
- Registriert
- Nov. 2012
- Beiträge
- 5.337
Wenn du alle Sicherheitsupdates von DSM einspielst ist die Gefahr relativ gering aber speziell bei solchen Großserien-Geräten finden Leute immer was zum ausnutzen. Ich schlafe besser wenn mein Heimnetz nur per VPN erreichbar ist.
PunchingTree
Cadet 3rd Year
- Registriert
- Juni 2011
- Beiträge
- 56
Sicherer Zugriff auf interne Daten und Dienste sollten nur im lokalen Netzwerk möglich sein.
Zugriff auf das lokale Netzwerk von externen Situationen aus sollte per VPN stattfinden.
Das gilt sowohl für die IT-Infrasturktur von Firmen als auch für private NAS.
Zugriff auf das lokale Netzwerk von externen Situationen aus sollte per VPN stattfinden.
Das gilt sowohl für die IT-Infrasturktur von Firmen als auch für private NAS.
Ja das versteh ich. Das Gerät nutzen allerdings viele User und ich stelle darüber auch gerne Dateien usw. Für Freunde bereit. Wenn das allerdings nur über VPN erreichbar ist ist das etwas nervig. Übrigens nervt mich es wenn ich ein VPN ins direkte Heimnetz nutze da meine Internet Geschwindigkeit darunter leidet und wenn zuhause was geladen wird ich auf dem Handy unterwegs kaum noch Speed habe… da ja mein Upload zuhause die maximale Download Geschwindigkeit für unterwegs ist. Und es immer ein und auszuschalten nervt ja auch. Daher habe ich bei einem VPN Anbieter eine dedizierte eigene iP gebucht für ein paar Euro im Monat… dort habe ich dann eine WireGuard Datei die ich auf so vielen Geräten wie ich will installieren kann und dann über das VPN auf mehreren Geräten gleichzeitig knapp 600mbits im Download. Der Zugriff auf dem NAS ist aktuell beschränkt dann nur auf diese einzelnen iPYChristian1297 schrieb:
hm ja versteh ich allerdings kann ich das NAS dann nicht nutzen um Dateien mit Freunden zu teilenPunchingTree schrieb:
D
Donnidonis
Gast
Wenn du ein VPN auf der NAS laufen lässt (z.B. WireGuard) und den Port Forwardest ist es kein Problem (klar passieren kann immer was). Aber den Port für die Synology Oberfläche würde ich nicht öffnen. Über den VPN dann aus dem internen Netz zugreifen.
Edit: wenn du kein VPN willst: dann bleibt dir nichts anderes übrig. Ich würde es trotzdem nicht machen.
Edit: wenn du kein VPN willst: dann bleibt dir nichts anderes übrig. Ich würde es trotzdem nicht machen.
Ich habe das aktuell so dass ich einen VPN Server für ein paar Euro im Monat direkt in Frankfurt gebucht habe mit eigener fester iP. Das zugriff auf das NAS ist in der Firewall dann nur von dieser iP-Adresse aus gestattet. Das sollte ja genauso sicher sein oder? Sonst ist der Zugriff und das Internet über das VPN ja so langsam wenn ich mich nachhause verbinde und mir den Upload Speed nutzen kann. Bei 10 Geräten. Bei dem gemieteten VPN habe ich halt über WireGuard 600mbits Download Speed. Und kann unbegrenzt Geräte mit dem Server verbinden da dieser ein 10GBITS Glasfaser Anschluss hat. So hat man dann auf allen Geräten simultan 600mbits Download. Das WireGuard nicht mehr her gibt bei einer einzelnen Verbindung.PunchingTree schrieb:
Ergänzung ()
Und ein gemieteter VPN Server bei einem seriösen Anbieter mit fester iP? Und Zugriff in der syno auf diese iP beschränken? Sonst habe ich auf den 10 Geräten unterwegs ja nur total lahmes Internet und diese sind auf mein Internet zuhause angewiesen was mein Upload so her gibt. Durch den gemieteten Server hätte ich halt eine Turbo Verbindung und keine heimnetz Auslastung. Ist das genauso sicher von nur einer iP-Adresse?Donnidonis schrieb:
Skudrinka
Admiral
- Registriert
- Sep. 2008
- Beiträge
- 9.237
Jxsua schrieb:
Jxsua schrieb:
Was du was noch nervt?Jxsua schrieb:
Verschlüsselte Dateien.
Am Ende ists deine Entscheidung.
Aber ich käme nie auf die Idee das private Netz zugänglich zu machen.
Dafür gibt es externe Server die zu mieten sind.
PunchingTree
Cadet 3rd Year
- Registriert
- Juni 2011
- Beiträge
- 56
Das stimmt, ja.Jxsua schrieb:
Würdest du diese Freunde denn per VPN in dein Netzwerk lassen? Wenn du die Freunde, aus welchen Gründen auch immer, nicht in deinem Netzwerk lassen willst, würde ich diese persöhnlich auch nicht auf mein NAS lassen wollen.
Ansonsten wäre wohl insteressant, was genau der Anwendungszweck ist. Warum müssen mehrere Personen Zugriff auf dein NAS haben? Ich denke, dass wir nur dann beurteilen können, ob die Lösung passt, wenn wir wissen was eigentlich erreicht werden soll.
Nilson
Grand Admiral
- Registriert
- Dez. 2008
- Beiträge
- 25.464
Portweiterleitungen per se sind erstmal weder sicher noch unsicher. Es kommt immer darauf an, welcher Dienst dahinter steckt.
Aktivierst du den VPN-Server auf dem NAS, richtest du auch eine Portweiterleitung auf das NAS ein.
Daher stellt sich die Frage, welchen Dienst du denn erreichbar machen willst? Synology bietet ja duzende von Protokollen und Apps an, mache sind eher geeignet direkt erreichbar zu sein als andere.
DS Cloud / DS Drive ist z.B. eine ganz andere Geschichte als z.B. SMB oder das Admininterface direkt erreichbar zu machen.
Aktivierst du den VPN-Server auf dem NAS, richtest du auch eine Portweiterleitung auf das NAS ein.
Daher stellt sich die Frage, welchen Dienst du denn erreichbar machen willst? Synology bietet ja duzende von Protokollen und Apps an, mache sind eher geeignet direkt erreichbar zu sein als andere.
DS Cloud / DS Drive ist z.B. eine ganz andere Geschichte als z.B. SMB oder das Admininterface direkt erreichbar zu machen.
Christian1297
Rear Admiral
- Registriert
- Nov. 2012
- Beiträge
- 5.337
Du kannst Wireguard auch einfach als Splittunnel konfigurieren. Dann geht nur der Traffic der zum NAS muss durch das VPN der und der rest direkt ins Internet.Jxsua schrieb:
Bei der Frage ob eine Portfreigabe okay ist oder nicht kommt es auch drauf an wie gute deine Backups sind und wie sensibel die auf dem NAS liegenden Daten.
Geht es nur um normale Urlaubsbilder und anderes triviales Kram ist ein Datenklau oder Verschlüsselung eventuell nicht so schlimm und wenn du ein abgetrenntes Backup hast kannst du deine Daten im Zweifelsfall ja auch jederzeit wiederholen.
Es sind dort vertrauliche Daten gesichert. Wenn ich den Zugriff auf das NAS auf eine einzige externe iP-Adresse beschränke sollte das ja auch vollkommen sicher sein oder nicht? Da alle andern iPs ja geblockt werden?
Christian1297
Rear Admiral
- Registriert
- Nov. 2012
- Beiträge
- 5.337
Das NAS ist ja trotzdem aus dem Internet sichtbar. Du musst dich also immer noch drauf verlassen dass es keine Sicherheitslücke in diese IP-Sperre oder einem anderen Teil des offengelegten Bereich gibt. Bei einem VPN zum Router sieht ein Angreifer das NAS erstmal gar nicht.
Ja es ist ja mit dem Internet verbunden. Allerdings in der Firewall so eingestellt dass der Zugriff nur von einer einzigen bestimmten iP Adresse erlaubt ist alle anderen iPs werden geblockt. Meine Frage jetzt: ist das nicht genauso sicher ? Da ja der Angreifer gar keine Chance hat auf das NAS zuzugreifen und eine Verbindung herzustellen
Oli_P
Commodore
- Registriert
- Mai 2006
- Beiträge
- 4.857
Also ich bin jetzt kein Firewall-Experte. Aber den Port fürs NAS öffnest du zu allererst in deinem Heim-Netzwerk. Das öffnen ist immer "von innen". Von ausserhalb (also dem Internet) kann man den Port nicht öffnen. Wenn du jetzt immer mit der selben IP von ausserhalb zugreifst und die Firewall eben nur diese IP zulässt, dann solltest du auf der sichereren Seite sein. Aber wie geschrieben bin ich kein Firewall-Experte.
D
Donnidonis
Gast
Aber es macht doch keinen Unterschied, ob du nun von der einen IP zulässt oder von allen, denn: Wenn dein vServer dazwischen kompromittiert wurde (der ja auch per Wireguard läuft, von allen IPs erreichbar), kann jemand von da direkt auf deine NAS durch. Also ist es egal ob du WireGuard auf der NAS oder auf dem vServer hast.