Hallo Leute, Am 19.01.2014 12:29, schrieb Martin Steigerwald: > Ich würde das eher wie folgt lösen: > > - NAS läuft intern. > > - Ein Debian-basierter Server – so ein kleines lüfterloses Miniplatinen- > Computer-Teil – erlaubt – durch eine Firewall geschützt – begrenzten Zugang zu > einem Verzeichnis auf dem NAS vielleicht via NFS-Mount eines Exports her auf > einer eigenen Partition oder einem eigenen logischen Laufwerk auf dem NAS > liegt und somit gegen trotz no_subtree_check gegen Übergriffe auf andere > Exports gesichert ist. > Ehrlich gesagt sehe ich nicht den Sinn. Sofern jemand die Firewall überwindet und den Server kompromittiert, hat er auch Zugriff auf das NAS. Ob die Daten auf dem Server selbst oder auf einem NAS liegen, macht dann doch kaum einen Unterschied, oder? > Ich würde den Internet-Zugriff nicht direkt auf dem NAS laufen lassen. > Möglicherweise selbst dann nicht, wenn ich da direkt Debian mitsamt Security > Updates drauf laufen lassen kann. Das Risiko, dass mir jemand auf der Storage- > Box, ob nun mit Hersteller-Firmware oder Debian, durch das Erlangen von Root- > Rechten an *sämtliche* meiner Daten kommt, wäre mir einfach zu hoch. > Ich hatte bereits erwähnt, das man natürlich nicht automatisch mehr Sicherheit auf einem NAS haben dürfte, nur weil man "eigene" Software darauf laufen lässt anstelle der originalen Firmware. Allerdings dürfte das Vertrauen in die Maintainer einer Distribution wie Debian größer sein als in einen kommerziellen Hersteller, für den Updates nur ein Kostenfaktor sind, den er vermeiden möchte, nachdem er mit dem Verkauf des Gerätes Geld verdient hat. Eine Community bietet dagegen eine höhere Wahrscheinlichkeit, das Sicherheitslücken entdeckt und zeitnah geschlossen werden (was natürlich nicht selbstverständlich ist, wie die teilweise uralten, jetzt erst entdeckten Lücken im X-Server zeigen). Ich habe gelesen, das die beste Sicherheit die Dienste bieten, die gar nicht erst laufen (auf einem mit dem Internet verbundenen Gerät). Insofern macht ein NAS, das nur bestimmte Funktionen bietet, durchaus Sinn. Leider haben es aber die Hersteller nicht nötig Updates zu liefern, wenn sie nicht durch Veröffentlichung von Bugs dazu "motiviert" werden, wie man an DSL-Routern sieht. Aus diesem Grund würde ich einem NAS oder Server mit "eigener" Software mehr vertrauen als mit originaler Firmware. > Eventuell würde ich das sogar komplett trennen und auf dem Server fürs > Internet ein eigenen kleinen Datenspeicher drauf packen, der aber nur die > Daten aufnimmt, über die ich via Internet zugreifen möchte. Das wäre für mich > wahrscheinlich auch das wahrscheinliche Setup. > > Ciao, > Das wäre vermutlich die sicherste Lösung, aber auch die unbequemste, was die Handhabung betrifft. Ich meine, sofern ich keinen Zugriff aus dem Internet _brauche_, kann ich natürlich darauf verzichten, NAS oder Server aus dem Internet zugänglich zu machen. Dann ist die Wahrscheinlichkeit ziemlich gering, das jemand an meine Daten kommt :-) Will ich aber Zugriff aus der Ferne haben, muss ich den Kompromiss eingehen und das Teil mit dem Internet verbinden. Das damit die Gefahr eines Angriffs besteht, dürfte klar sein. Den Umfang der Daten zu begrenzen, auf die man über das Internet Zugang hat, ist eine Möglichkeit. Ich sehe sie aber nicht als sinnvoll an, denn alternativ zum Fern-Zugriff müsste ich dann die wichtigen Daten, die ich unterwegs ja mal brauchen könnte, per Festplatte, USB-Stick oder Speicherkarte mitnehmen und jedes Mal zu Hause mit NAS/Server abgleichen. Ich müsste also abwägen, welchen Teil meiner Daten ich sozusagen online stellen kann, ohne das bei einem Angriff auf mein System meine Identität und (quasi) mein Leben zur Beute von fragwürdigen Subjekten wird. Das dürfte sich als ziemlich schwierig herausstellen, denke ich. Wie wägst Du das denn ab? Welche Lösung nutzt Du denn statt dessen? Ich kopiere derzeit immer manuell die entsprechenden Daten, was aber dauert und nervig ist. Eine andere Lösung wäre schon nicht schlecht. -- Mit freundlichem Gruß Jan Kappler
Attachment:
signature.asc
Description: OpenPGP digital signature