Synology NAS offline betreiben

[Razor-Design]

Hallo zusammen,

ist es möglich ein Synology NAS (konkret das Synology DS214+) sinnvoll offline zu betreiben? Soll heißen die Daten auf dem NAS sollen NICHT aus dem Netz abrufbar sein - weder per APP, noch per sonstwas. Leider scheint das ja der letzte Schrei zu sein und ich gehe davon aus dass das NAS fröhlich anfängt diverse Verbindungen aufzubauen, sobald es auch nur das Internet riechen kann.

Ich beschreibe mal zwei mögliche Szenarien:

1.) NAS soll nur von einem Rechner verfügbar sein:

Das NAS hängt per Netzwerkkabel an einem Rechner, welcher 24/7 am Netz ist. Das NAS selbst soll aber keinen Netzzugang bekommen. Hier würde es ja theorethisch reichen in den Rechner zwei Netzwerkkarten einzubauen, eine fürs Internet und eine fürs NAS. Dadurch wären die Netzwerke ja bereits voneinander getrennt oder übersehe ich hier was? Gibts dafür evtl. noch eine bessere / sichere Lösung ?

2.) NAS soll im gesamten "Heimnetz" verfügbar sein:

Das Internet hängt direkt am KabelBW Router wo direkt alle Rechner direkt angeschlossen sind. Durch das Zwischenschalten eines VLAN-Switches ? (von Cisco gibts günstig welche) könnte ich die beiden Netze Internet und Heimnetz trennen und so das NAS nur intern verfügbar machen ?

Rein vom Gefühl sagt mir die erste Lösung mehr zu, aber das ist natürlich die unbequemere Variante.

Ist es überhaupt sinnvoll möglich das NAS offline zu betreiben? Es sind ja auch Funktionen wie Virenscanner etc. integriert, welche dann ja keine aktuelle Signaturen bekommen würden? Hat das vielleicht so schon jemand im Einsatz?

 

[Nodpf]

Wozu dann überhaupt ein NAS system? Kauf dir ne 50€ platte und häng sie ans pc.

 

[timiner2mc]

Stimmt.
Das hießt, es macht sicherlich mehr Sinn, die Netze zu trennen. z.B. per VLAN.
Allerdings musst du noch zwischen den beiden Netzen routen. falls Du Internet im "Heimnetz" haben willst. Nur hast Du dein NAS dann wieder am Internet...
Was genau ist deine Zielsetzung? Willst Du immer wenn Du aufs NAS zugreifen willst an den einen Rechner rennen?

 

[VivianMeally]

Jep, ist möglich.
zu fall 1.
Dem Nas eine static IP(ohne dns/gateway einstellungen) vergeben aus dem gleichem netz von deine 2te Netzwerkkarte im PC.


zu fall 2
Synology an den Router/Switch einschließen und keine dns/gateway einstellen. Kannst auch noch zusätzlich mit dem synology internen Firewall spielen.

In beiden fällen hat deine Nas keine inet zugang, und kann eine Antiviren-Signaturen oder Updates ziehen.

Dann frage ich mich, wieso du dann eine NAS brauchst wenn es nur von einem PC und user benutzt werden soll. Reicht da nicht ne externe festplatte?

 

[Razor-Design]

Also hier mal meine Überlegungen warum ein NAS und keine externe Platte:

- Externe Platte wäre direkt mit dem Rechner A (24/7 im Netz) verbunden und somit wären defakto die Daten ebenso im Netz
- NAS bietet zusätzliche Features wie Virenscanner, WOL, und ein zuverlässiges Raid System
- Zusätzliche "Sicherheitsfeatures" durch die integrierte Firewall

Ob das so natürlich Sinn macht, weiß ich auch noch nicht - deshalb der Thread hier

Ziel ist es die Daten von außen (Internet) unerreichbar zu machen, während man von "drinnen" darauf zugreifen kann. Wobei der / die Rechner im Zweifelsfall sowohl "Drinnen" als auch "Draußen" sind. Es müsste also eine saubere Trennung her.Vielleicht habe ich aber auch einen Denkfehler was die externe Platte angeht.

Evtl. gibts so eine Lösung rein logisch auch gar nicht ? Und die einzige sichere Lösung wäre über einen Netzwerkumschalter, Wie diesen hier bei Bedarf das "Internet" ab zu klemmen und nur das "interne Netzwerk" (dann egal ob externe Platte oder NAS) anzubinden ?

Hab nur nach einer schöneren Lösung gesucht, ohne dass die Daten direkt / indirekt im Netz erreichbar sind.

 

[sinio]

Warum nicht einfach eine Firewall zwischen Modem und LAN schalten, und dort einfach dem NAS jeglichen Zugriff aufs WAN verbieten?

 

[VivianMeally]

@Razor-Design
Ich bezweifele, das deine Daten so exclusiv und einzigartig sind, das die jemanden interessieren würden.
Und falls doch, dann werden hacker es auch von den pc's klauen, die nicht einmal ein Netzwerkanschluss haben.

Daher machst du dir mit deine Überlegung unnötig Stress. Kein mensch interessiert sind für deine Daten

 

[Razor-Design]

Erstaunlich dass die Diskussion in fast jedem Thread zu finden ist, aber es spielt für mich keine Rolle wen meine Daten interessieren oder nicht. Mich interessiert nur dass es meine Daten bleiben. Dass theorethisch alles möglich ist, weiß nach Snowden & co wohl sowieso jeder. Da hilft nicht einmal der Verzicht auf das Internet. Mich jagen auch (hoffentlich ) keine Geheimdienste und trotzdem interessiert mich die Frage - mit welchen Mitteln ist der höchstmögliche Schutz der Daten zu gewährleisten? Nur weil statistisch ein Unfall im Auto 1:X beträgt verzichte ich auch nicht auf den Sicherheitsgurt, weil es ein minimaler Aufwand ist diesen anzulegen. In diesem Sinne - Back to topic

@Sinio: Wäre eine Option: Die Frage ist ob das nicht sogar unsicherer ist, wie die Trennung über eine zweite Netzwerkkarte direkt an den Rechner gekoppelt. Weil hier ja eine mehr oder weniger "echte" Trennung besteht, während die Firewall lediglich per Software die Dinge auseinander hält? Oder denkst du an eine Hardwarefirewall? Gibts da überhaupt bezahlbare Geräte die eine zuverlässige Trennung erlauben?

 

[sinio]

Naja, man muss bei solchen Fragestellungen immer eine Abwägung zwischen benötigter Sicherheit und dem dabei entstehenden Aufwand durchführen. Wenn man das ganze auf die Spitze treiben möchte, dann würdest du dir einen seperaten Rechner zulegen, an den du eine externe Festplatte anschließt. Dieser hängt an keinem Netzwerk. Der Transfer von Daten geschieht ausschließlich über Wechselmedien, also z.B. ein USB-Stick, oder (weil sicherer) CDs... ;-) Man sieht also, dass man es irgendwann auch übertreiben kann.

Trotzdem verstehe ich deine Bedenken durchaus. Ja, bei meinem oben genannten Vorschlag würde das ganze tatsächlich nur per Software anhand der Quell-IP gefiltert. Um das Ganze noch einen Schritt sicherer zu gestalten, könnte man eben entweder den NAS in ein eigenes VLAN tun (und diesem VLAN keinen Zugriff in Richtung WAN erlauben, und umgekehrt), oder du besorgst dir einen günstigen 3-Port-PC, bei dem du eben an Port 1 dein WAN hast, an Port 2 dein LAN, und an Port 3 deinen NAS. Somit könntest du dem kompletten dritten Interface den Zugriff aufs WAN sperren, was noch einmal einen Ecken sicherer sein dürfte (?)
Hier würden sich z.B. ein ALIX oder APU-Board anbieten (preislich liegst du damit, inkl. Netzteil, Gehäuse und CF-/SD-Karte zwischen 150-200€). Dort dann pfSense, ipFire, OPNsense oder sontwas drauf und entsprechend konfigurieren.

Oder eben einen VLAN-fähigen Switch zulegen, wobei ich zugeben muss, dass ich damit bisher noch null Erfahrungen habe...

 

[BigBear]

Mein Xpenology arbeitet auch mehr oder weniger offline. Es sind keinerlei Portfreigaben für ihn im Router eingerichtet. Ich kann ihn von außen nur erreichen wenn ich mich per VPN ins Netzwerk einwähle. Weiß nicht in wie weit diese Methode jetzt sicher ist aber gefühlt würde ich sagen sicherer als mit Portfreigabe.

@Nodpf: Wozu ein NAS ohne Internet? Ist auch ohne Internet noch sehr praktisch wenn man alle Daten zentral gespeichert hat und alle Netzwerkteilnehmer drauf zugreifen können. Klar ginge das auch über die Netzwerkfreigabe an einem PC aber meistens verbraucht so ein PC mehr und die Verwaltung von Rechten etc ist auf einem Synology NAS imo weniger aufwändig. Und so ein Nas kann man auch einfach irgendwo in den Keller stellen, das braucht nichts außer Strom und ein Netzwerkkabel. Stichwort Geräuschpegel.
Cloud ist eben nicht alles.

 

[cholbird]

Hallo! Hast Du einmal eine Router-Kaskade erwogen? Suche bei heise nach dem string "Router-Kaskaden".

Der WAN/DSL/UMTS-Internetzugang z.B. ueber deine Fritzbox geht mit nic port1 an den wan port eines zweiten routers (z.B. eine andere gebrauchte fritzbox oder eine OpenWRT box). So hast du 3 getrennte netze mit low-power Stromkosten: 1.Netz=InternetIP des Providers, 2.Netz an den LAN ports des 1. Routers und des WAN ports des 2. Routers (z.B.192.168.178.x/24), 3.Netz an den LAN ports des 2. Routers (z.B. 192.168.1.x/24)
Die meisten Router haben 4 LAN ports, die besseren sogar GiGabit Ethernet. In diesem LAN des 3.Netzes kannst Du deine WinDofs-Kiste und dein NAS anhaengen und bist bei geringen Kosten und Pflegeaufwand recht gut geschuetzt. Dies kann auch (mit speziellen Firewall-Einstellungen) helfen, dass die Sicherheitsluecke durch "nach Hause telefonieren"-den Druckern z.B. von HP im Heimnetz eingesprerrt/ruhiggestellt werden.

Wenn Du port-Forwarding beherrschst kannst du zum besseren Schutz auch noch einen OpenWRT-Router vor das NAS oder deinen Rechner haengen, aber das ist individuell, siehe Suchstring: "Router-Kaskaden".

Was ist mit dem 2.Netz an den LAN Ports des 1. Routers und dem WAN Port des 2. Routers? Das wird eine DMZ (demilitarized zone) genannt. Hier koenntest Du einen eigenen vom Internet zugaenglichen Webserver oder aehnliches betreiben. Mit der DynDNS variante der Fritzbox sogar mit fester URL erreichbar.

Gutes Gelingen!

P.S.:
Ich mache es aehnlich, habe jedoch eine etwas bessere Ausstattung 2 Firewalls auf Basis von OPNsense (
Was ist OPNsense? & OPNsense - Wikipedia, the free encyclopedia ) und eine "FreeNAS" HP ProLiant MicroServer Gen8 ( Sammelthread: HP ProLiant G8 ) mit FreeNAS ( Was ist FreeNAS? ) und eine "Kiste" mit PC-BSD ( What is PC-BSD? ) und ZFS RAIDZ1.

 

[Progears]

Erstaunlich dass die Diskussion in fast jedem Thread zu finden ist, aber es spielt für mich keine Rolle wen meine Daten interessieren oder nicht.

Nein es ist eher erstaunlich, daß das Handbuch zum DSM bei dem Hersteller kostenlos zum Download bereitsteht und all Deine Fragen beantwortet, du aber eher den einfachen bequemen Weg wählst und hier im Forum nachfragst.

Wenn Du auf Sicherheit wert legst, dann mußt Du dich damit beschäftigen, anstelle die Arbeit von anderen machen zu lassen.
Damit das aber nicht absolut sinnlos ist, beantworte ich Deine Kernfrage "sicher Offline betreiben" mit einem Ja.
Jetzt musst Du dir nur noch das Wie erarbeiten.

 

[GrayDeath]

Damit das aber nicht absolut sinnlos ist, beantworte ich Deine Kernfrage "sicher Offline betreiben" mit einem Ja.
Jetzt musst Du dir nur noch das Wie erarbeiten.

ich würde sagen: einfachster und sicherster Weg - Netzwerk Stecker ziehen

Zu empfehlen wäre auf jeden Fall eine IT-Security Fortbildung auch wenn das keiner hören will.

 

[Progears]

Ok ich gebe mal einen kleinen Tip, den Rest muß man aber suchen.
Viel Spaß dem Moritz dabei.


idomix

 

[apejovic]

ich würde sagen: einfachster und sicherster Weg - Netzwerk Stecker ziehen

Das Netzwerkkabel entmanteln und 2 Adern über eine fernbedienbare Steckdose umleiten, dann brauchst Du nur auf die Fernbedienung drücken.

Meine DS hängt direkt (na gut,über dem Router) am Netz. Ohne VPN. Ohne HTTPS. Die automatische IP Blockierung in der DSM erledigt alles für mich. UPNP am Router natürlich ausgeschaltet.

Läuft.

 

[GrayDeath]

Das netzwerkkabel entmanteln und 2 adern über eine fernbedienbare steckdose umleiten, dann brauchst du nur auf die fernbedienung drücken.

sau geil !!!

 

[matthias80]

wenn das nas keinen Gateway eingetragen hat ist doch dein anliegen schon gelöst oder?