Port-Weiterleitung - aber möglichst sicher?

mrHS · Beitrag von **mrHS** » 03 Sep 2022, 10:26

Hallo liebes Forum,

ich hätte mal eine Frage, wie man folgende Anforderung möglichst sicher umsetzt:

Wir haben eine Synology Diskstation, die nichts anderes macht, als eine Groupware zu betreiben, über die Familie ihre Kalender per ActiveSync synchronisieren und sich gegenseitig freigeben.

Diese muss also aus dem Internet erreichbar sein. Normalerweise wäre ja ein VPN sinnvoll, aber das kann ich einigen Familienmitgliedern nicht so wirklich erklären, außerdem sollen die auch nicht Zugang zu meinem Netzwerk haben und auch nicht jedes Mal für die Synchronisierung ein VPN anschalten müssen auf ihren Smartphones oder iPads.

Da bleibt dann doch nur noch eine Port-Weiterleitung, oder? Die Weiterleitung wäre auf Port 443 auf die Diskstation. Jetzt wollte ich gerne mal fragen, ob man das irgendwie sicherer machen kann? Wäre es z.B. eine Idee, die Diskstation an einen Port des Lancom Routers zu hängen, z.B. ETH 3 und dem dann ein separates LAN zuzuweisen, sodass wenn Unbefugte über den offenen Port auf die Diskstation kommen und es da irgendeine Schwachstelle gibt, damit diese dann nicht im eigentlichen LAN sind?

Oder wie macht man das sinnvollerweise, um das Risiko gering zu halten?

Vielen Dank!

Dr.Einstein · Beitrag von **Dr.Einstein** » 03 Sep 2022, 10:48

Hallo,

1. Ändere unbedingt den Port 443 ab (zumindest extern) auf irgendwas > 1024, was weiß ich 55443. Dadurch hast du schonmal 99% der möglichen Angriffsversuche unterbunden.

2. Genau wie du es beschrieben hast, setze ein 2. LAN auf und hänge die Synology dort rein. Du kannst das LAN dann statt als Intranet als DMZ bezeichnen. Dadurch hast du automatisch Zugriff von deinem LAN Netzwerk. Andersrum jedoch nicht. Die Lancom Router haben im Ausliefungszustand sogar eine vorkonfigurierte DMZ. Dort müsste lediglich eine IP-Adresse und das logische LAN-x abgeändert werden.

Gruß Dr.Einstein

GrandDixence · Beitrag von **GrandDixence** » 03 Sep 2022, 16:47

Oder wie macht man das sinnvollerweise, um das Risiko gering zu halten?

Die sicherste Lösung ist die Realisierung eines VPN-Tunnels von den Mobilgeräten zum eigenen Server (hier: Synology Diskstation) mit "Always On" in Kombination mit "Split Tunneling". Solange eine Internetverbindung besteht, läuft auf Mobilgeräten mit vorkonfigurierter "Always On"-VPN-Lösung (vollautomatisch) im Hintergrund ein VPN-Tunnel zu den eigenen Server. Siehe dazu:

alles-zum-lancom-advanced-vpn-client-f3 ... 17814.html

fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

https://docs.microsoft.com/en-us/azure/ ... ser-tunnel

https://support.google.com/work/android ... 3914?hl=en

https://wiki.strongswan.org/projects/st ... NClient/63

https://wiki.strongswan.org/issues/3625

Weiter ist im Heimnetzwerk respektive Firmennetzwerk eine konsequente und strikte Netzwerksegmentierung mit VLAN und der Einsatz von sehr strikten und scharfen Firewallregeln erforderlich (ARF). Einstieg dazu:
fragen-zum-thema-vpn-f14/entfernte-vpn- ... ml#p109826

fragen-zum-thema-firewall-f15/schulnetz ... 18890.html

Beim Einsatz von "Always On"-VPN ist mit einem erhöhten Energieverbrauch der Mobilgeräte zu rechnen, was zu verkürzter Akkulaufzeit führt. Weiter sind auch Probleme mit den Energiesparfunktionen der Mobilgeräte zu erwarten. Siehe dazu:
https://community.sunrise.ch/d/20070-gi ... achrichten

Für Cloudlösungen werden heute gerne SSO mit "Web Application Firewall" (WAF), "Application Layer Firewall", "Proxy Firewall" oder Proxy-ähnlichen Lösungen realisiert. Diese Firewall respektive Proxy schützt das Firmennetzwerk oder das Heimnetzwerk vor unerwünschten Zugriff aus dem Internet. Bei all diesen Lösungen wird der aus dem Internet stammende, verschlüsselte Datenverkehr (zum Beispiel: HTTPS) erst zum Server weitergeleitet, wenn sich der Benutzer erfolgreich bei der Firewall oder Proxy angemeldet hat. Die Anmeldung kann zum Beispiel bequem mit "Windows SSO" erfolgen.
https://de.wikipedia.org/wiki/Single_Sign-on

https://en.wikipedia.org/wiki/Single_sign-on

https://de.wikipedia.org/wiki/Web_Application_Firewall

https://de.wikipedia.org/wiki/Proxy_(Rechnernetz)

https://de.wikipedia.org/wiki/Firewall# ... _Firewall)

Die Nachteile dieser Firewall- oder Proxy-Lösungen habe ich unter:
fragen-zur-lancom-systems-routern-und-g ... ml#p103924
aufgezeigt.

Eine typische SSO-Lösung ist das "Windows SSO" vom Webbrowser Firefox:
https://support.mozilla.org/de/kb/infor ... indows-sso

plumpsack · Beitrag von **plumpsack** » 03 Sep 2022, 19:00

mrHS hat geschrieben: ↑03 Sep 2022, 10:26 Wir haben eine Synology Diskstation, die nichts anderes macht, als eine Groupware zu betreiben, über die Familie ihre Kalender per ActiveSync synchronisieren und sich gegenseitig freigeben.

Das muss aber eine ganz große Familie sein, früher ging das mit einem Klo- bzw. Flur-Kalender und einem Telefon

mrHS · Beitrag von **mrHS** » 03 Sep 2022, 19:19

plumpsack hat geschrieben: ↑03 Sep 2022, 19:00
mrHS hat geschrieben: ↑03 Sep 2022, 10:26 Wir haben eine Synology Diskstation, die nichts anderes macht, als eine Groupware zu betreiben, über die Familie ihre Kalender per ActiveSync synchronisieren und sich gegenseitig freigeben.
Das muss aber eine ganz große Familie sein, früher ging das mit einem Klo- bzw. Flur-Kalender und einem Telefon

Naja, es leben halt nicht alle unter einem Dach, wobei ein Flurkalender früher wirklich viele Jahre gute Dienste geleistet hat.

Danke auch für die anderen beiden Antworten. Ich glaube, ich versuche es erst mal mit Dr Einsteins Vorschlag, auch wenn ich GrandDixence sehr dankbar für den Aufwand bin. Ehrlicherweise habe ich aber nicht alles so richtig verstanden. Das muss ich mir alles noch genauer aneignen.

plumpsack · Beitrag von **plumpsack** » 03 Sep 2022, 19:47

mrHS hat geschrieben: ↑03 Sep 2022, 19:19 Naja, es leben halt nicht alle unter einem Dach, wobei ein Flurkalender früher wirklich viele Jahre gute Dienste geleistet hat.

Und immer schön nach

Code: Alles auswählen

"CVE Synology Diskstation"

suchen, damit die "Familienmitglieder" auch wissen worum es geht

overcast37 · Beitrag von **overcast37** » 05 Sep 2022, 20:53

mrHS hat geschrieben: ↑03 Sep 2022, 10:26 Hallo liebes Forum,

Oder wie macht man das sinnvollerweise, um das Risiko gering zu halten?

Vielen Dank!

Hi, ist es eine Weboberfläche welche erreicht werden soll oder nur eine Adresse welche in der App hinterlegt wird?
Falls Weboberfläche kann ich dir zu Cloudflare raten. Dort kannst du mit der Firewall schonmal 99% der Abfragen blocken. Die restlichen 1% kannst du mit Cloudflare`s ZeroTrust (Access) schützen. Hier kannst du verschiedene, zusätzliche Legitimationsverfahren festlegen bevor man zur eigentlichen Website kommt. Hierzu kannst du in deiner Synology Firewall alle Adressen blocken welche nicht von Cloudflare kommen.

Ich habe das eine Zeit lang für meinen Vaultwarden genutzt, leider hat die App aber darüber nicht funktioniert.

Egal wie du es machst: leg in deiner Synology eine anständige Firewallregel fest! (Geoblocking hilft schon sehr viel)

plumpsack · Beitrag von **plumpsack** » 05 Sep 2022, 21:58

overcast37 hat geschrieben: ↑05 Sep 2022, 20:53 ... kann ich dir zu Cloudflare raten.

Siehe hierzu:

GDPR - General Data Protection Regulation / DSGVO Datenschutz-Grundverordnung und Cloudflare, Inc.

Ich glaube der hat mit CVE und Synology Diskstation genug zu tun ...

LANCOM-Forum.de

Port-Weiterleitung - aber möglichst sicher?

Port-Weiterleitung - aber möglichst sicher?

Re: Port-Weiterleitung - aber möglichst sicher?

Re: Port-Weiterleitung - aber möglichst sicher?

Re: Port-Weiterleitung - aber möglichst sicher?

Re: Port-Weiterleitung - aber möglichst sicher?

Re: Port-Weiterleitung - aber möglichst sicher?

Re: Port-Weiterleitung - aber möglichst sicher?

Re: Port-Weiterleitung - aber möglichst sicher?